Documentos de Académico
Documentos de Profesional
Documentos de Cultura
e INFORMACIÓN GENERAL
Vídeos
Introducción
f INICIO RÁPIDO
g TUTORIAL
Solución de problemas
i REFERENCIA
Migrate
Guías de migración
Entrenamiento autodirigido
d CURSOS
Architecture
Y ARQUITECTURA
Recurso compartido de archivos híbrido con la recuperación ante desastres para trabajos
tanto remotos como de sucursales locales
Estos son algunos vídeos sobre casos de uso comunes de Azure Files:
Para empezar a usar Azure Files, consulte Inicio rápido: Creación y uso de un recurso
compartido de archivos de Azure.
Contenedorización:
los recursos compartidos de archivos de Azure se pueden usar como volúmenes
persistentes para contenedores con estado. Los contenedores ofrecen
funcionalidades de "compilar una vez, ejecutarse en cualquier lugar" que permiten
a los desarrolladores acelerar la innovación. En el caso de los contenedores que
acceden a datos sin procesar en cada inicio, se requiere un sistema de archivos
compartidos para que estos contenedores puedan acceder al sistema de archivos,
independientemente de la instancia en que se ejecuten.
Ventajas principales
Fácil de usar. Cuando se monta un recurso compartido de archivos de Azure en el
equipo, no es necesario hacer nada especial para acceder a los datos: simplemente
vaya a la ruta de acceso donde se monta el recurso compartido de archivos y abra
o modifique un archivo.
Acceso compartido. Los recursos compartidos de Azure Files admiten los
protocolos SMB y NFS estándar del sector, lo que significa que puede reemplazar
perfectamente los recursos compartidos de archivos en local por recursos
compartidos de archivos de Azure sin preocuparse de compatibilidad de
aplicaciones. La posibilidad de compartir un sistema de archivos entre varias
máquinas, aplicaciones e instancias de aplicaciones es una ventaja importante para
aquellas aplicaciones que necesitan la posibilidad de compartir.
Completamente administrado. Los recursos compartidos de Azure Files pueden
crearse sin necesidad de administrar ni el hardware ni un sistema operativo. Esto
significa que no tiene que tratar con la aplicación de actualizaciones de seguridad
críticas en el sistema operativo del servidor ni ocuparse de reemplazar discos
duros defectuosos.
Herramientas y scripting. Como parte de la administración de las aplicaciones de
Azure, se pueden usar cmdlets de PowerShell y la CLI de Azure para crear, montar
y administrar recursos compartidos de archivos de Azure. Los recursos
compartidos de archivos de Azure se pueden crear y administrar mediante Azure
Portal y el Explorador de Azure Storage.
Resistencia. Azure Files se creó desde sus orígenes para estar siempre disponible.
Reemplazar los recursos compartidos de archivos en local por Azure Files significa
que ya no tendrá que tratar con problemas de red o interrupciones del suministro
eléctrico local.
Programación amigable. Las aplicaciones que se ejecutan en Azure pueden tener
acceso a los datos en el recurso compartido mediante las API de E/S del sistema.
Por tanto, los desarrolladores pueden aprovechar el código y los conocimientos
que ya tienen para migrar las aplicaciones actuales. Además de las API de E/S del
sistema, puede usar las Bibliotecas de cliente de Azure Storage o la API de REST de
Azure Files.
Cursos
Para el entrenamiento autodirigido, consulte los módulos siguientes:
Architecture
Para obtener instrucciones sobre cómo diseñar soluciones en Azure Files mediante
patrones y prácticas establecidos, consulte lo siguiente:
Casos prácticos
Las organizaciones de todo el mundo aprovechan Azure Files y Azure File Sync
para optimizar el acceso a los archivos y el almacenamiento. Consulte sus casos
prácticos aquí.
Pasos siguientes
Planeamiento de una implementación de Azure Files
Creación de un recurso compartido de Azure Files
Conexión y montaje de un recurso compartido de archivos SMB en Windows
Conexión y montaje de un recurso compartido de archivos SMB en Linux
Conexión y montaje de un recurso compartido de archivos SMB en macOS
Conexión y montaje de un recurso compartido de archivos NFS en Linux
Preguntas más frecuentes de Azure Files
Inicio rápido: Creación y uso de un
recurso compartido de archivos de
Azure
Artículo • 10/10/2023
Se aplica a
Este inicio rápido solo se aplica a recursos compartidos de archivos de Azure SMB. Los
recursos compartidos de archivos SMB estándar y premium admiten el almacenamiento
con redundancia local (LRS) y el almacenamiento con redundancia de zona (ZRS). Los
recursos compartidos de archivos estándar también admiten almacenamiento con
redundancia geográfica (GRS) y el opciones de almacenamiento con redundancia de
zona geográfica (GZRS). Para más información, consulte Redundancia de Azure Files.
Introducción
Portal
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Para crear una cuenta de almacenamiento mediante Azure Portal, siga estos pasos:
10. Una vez completada la validación, seleccione Crear. Debería ver una
notificación informándole de que la implementación está en curso.
Creación de un directorio
Portal
Cargar un archivo
Portal
En primer lugar, debe crear o seleccionar un archivo para cargarlo. Hágalo por
cualquier medio que considere oportuno. Cuando haya decidido el archivo que
desea cargar, siga estos pasos:
3. Seleccione el icono de carpeta para abrir una ventana donde examinar los
archivos locales.
Descarga de un archivo
Portal
Para descargar una copia del archivo cargado, haga clic sobre este con el botón
derecho y seleccione Descargar. La experiencia exacta de la descarga dependerá
del sistema operativo y el explorador web que use.
Limpieza de recursos
Portal
Es posible que también tenga que eliminar el almacén de Azure Backup Recovery
Services antes de poder eliminar el grupo de recursos.
Pasos siguientes
¿Qué es Azure Files?
Tutorial: Creación de un recurso
compartido de archivos SMB de Azure y
conexión a una VM de Windows
mediante Azure Portal
Artículo • 23/10/2023
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Introducción
Para crear una cuenta de almacenamiento mediante Azure Portal, siga estos pasos:
10. Una vez completada la validación, seleccione Crear. Debería ver una notificación
informándole de que la implementación está en curso.
9. Vaya a la ubicación donde haya creado el archivo .txt > seleccione qsTestFile.txt>
seleccione Cargar.
1. Expanda el menú del lado izquierdo del portal y seleccione Crear un recurso en la
esquina superior izquierda de Azure Portal.
11. Seleccione Crear. La creación de una máquina virtual nueva tardará varios minutos
en completarse.
3. Abra el archivo RDP que descargó y haga clic en Conectar cuando se le solicite.
7 Nota
Limpieza de recursos
Cuando haya terminado, elimine el grupo de recursos. Al eliminar el grupo de recursos,
se elimina la cuenta de almacenamiento, el recurso compartido de archivos de Azure y
otros recursos que se implementaron en el grupo de recursos.
Es posible que también tenga que eliminar el almacén de Azure Backup Recovery
Services antes de poder eliminar el grupo de recursos.
Pasos siguientes
Uso de un recurso compartido de archivos de Azure con Windows
Tutorial: Creación de un recurso
compartido de archivos NFS de Azure y
montaje del mismo en una máquina
virtual Linux mediante Azure Portal
Artículo • 10/10/2023
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Introducción
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
5. En Reglas de puerto de entrada > Puertos de entrada públicos, elija Permitir los
puertos seleccionados y luego seleccione SSH (22) y HTTP (80) en la lista
desplegable.
) Importante
7. En la página Crear una máquina virtual verá los detalles de la máquina virtual que
va a crear. Anote el nombre de la red virtual. Cuando esté preparado, seleccione
Crear.
Verá un mensaje que indica que la implementación está en curso. Espere unos minutos
a que se complete la implementación.
6. En Redes, seleccione la red virtual asociada a la máquina virtual y deje la subred
predeterminada. En la sección Configuración de IP privada, seleccione Asignar
dirección IP de forma dinámica. Seleccione Next: DNS (Siguiente: DNS).
7. En Integrar con la zona DNS privada, seleccione Sí. Asegúrese de que están
seleccionados la suscripción y el grupo de recursos correctos y, después,
seleccione Siguiente: Etiquetas.
8. Opcionalmente, puede aplicar etiquetas para clasificar los recursos, como aplicar el
nombre Entorno y el valor Prueba a todos los recursos de prueba. Escriba pares
nombre-valor si quiere y, a continuación, seleccione Siguiente: Revisar y crear.
5. Cambie la opción Se requiere transferencia segura a Deshabilitado y seleccione
Guardar. El cambio puede tardar hasta 30 segundos en surtir efecto.
2. Seleccione la máquina virtual Linux que ha creado para este tutorial y asegúrese de
que su estado es En ejecución. Tome nota de la dirección IP pública de la máquina
virtual y cópiela en el portapapeles.
3. Si está en una máquina Mac o Linux, abra un símbolo del sistema de Bash. Si está
en una máquina Windows, abra un símbolo del sistema de PowerShell.
Consola
Si recibe una advertencia de que no se puede establecer la autenticidad del host, escriba
sí para continuar con la conexión a la máquina virtual. Deje abierta la conexión SSH para
el paso siguiente.
Sugerencia
Ahora la clave SSH que creó se puede usar la próxima vez que cree una máquina
virtual en Azure. Solo tiene que seleccionar la opción Usar la clave existente
almacenada en Azure en Origen de clave pública SSH la próxima vez que cree una
máquina virtual. Ya dispone de la clave privada en el equipo, por lo que no tendrá
que descargar nada.
) Importante
El script de montaje proporcionado montará el recurso compartido NFS solo
hasta que se reinicie la máquina Linux. Para montar automáticamente el
recurso compartido cada vez que se reinicia la máquina, consulte Montaje de
un recurso compartido NFS mediante /etc/fstab.
6. Mediante la conexión SSH que ha creado con la máquina virtual, escriba los
comandos de ejemplo para usar NFS y montar el recurso compartido de archivos.
Ahora ha montado el recurso compartido de archivos NFS y está listo para almacenar
archivos.
Limpieza de recursos
Cuando haya terminado, elimine el grupo de recursos. Al eliminar el grupo de recursos,
se elimina la cuenta de almacenamiento, el recurso compartido de archivos de Azure y
otros recursos que se implementaron en el grupo de recursos.
Pasos siguientes
Obtenga más información sobre el uso de recursos compartidos de archivos NFS
de Azure
.
Tutorial: Extensión de servidores de
archivos de Windows con Azure File
Sync
Artículo • 01/06/2023
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
3. Abra el archivo RDP que descargó y haga clic en Conectar cuando se le solicite. Es
posible que vea la siguiente advertencia: No se puede identificar el publicador de
esta conexión remota. Haga clic en Conectar de todos modos.
2. Haga clic con el botón derecho en el disco de 4 GiB llamado Msft Virtual Disk y
seleccione New volume (Volumen nuevo).
4. Seleccione Crear.
5. Seleccione Cerrar.
Ya está el disco en línea y ha creado un volumen. Abra el Explorador de archivos en
la máquina virtual de Windows Server para confirmar la presencia del disco de
datos recién agregado.
1. En la VM, abra una ventana de PowerShell con privilegios elevados (ejecute como
administrador).
PowerShell
Install-Module -Name Az
7 Nota
Resultados
Untrusted repository
Are you sure you want to install the modules from 'PSGallery'?
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help
(default is "N"):
Value Descripción
) Importante
Es posible que vea una advertencia que le indica que active la configuración
de seguridad mejorada de Internet Explorer. No vuelva a activarla hasta que
haya terminado de registrar el servidor en el paso siguiente.
7. Seleccione Finalizar.
Tras la instalación del agente de Azure File Sync, la interfaz de usuario de Registro del
servidor se debería abrir automáticamente. Si no es así, puede abrirla manualmente
desde su ubicación de archivo: C:\Program
Files\Azure\StorageSyncAgent\ServerRegistration.exe.
1. Cuando la interfaz de usuario del registro del servidor se abra en la VM, seleccione
Iniciar sesión.
5. Como parte del proceso de registro, se le solicita un que vuelva a iniciar sesión.
Inicie sesión y seleccione Siguiente.
6. Seleccione Aceptar.
Value Descripción
Value Descripción
Nombre del Este nombre debe ser único dentro del servicio de sincronización de
grupo de almacenamiento, pero puede ser cualquier nombre que considere
sincronización lógico.
3. Seleccione Crear.
Si selecciona el grupo de sincronización, puede ver que ahora tiene uno punto de
conexión en la nube.
Servidor registrado El nombre del servidor que ha creado. Por ejemplo, myVM.
3. Seleccione Crear.
Limpieza de recursos
Si desea limpiar los recursos que ha creado en este tutorial, primero elimine los puntos
de conexión del servicio de sincronización de almacenamiento. A continuación, anule el
registro del servidor con el servicio de sincronización de almacenamiento, quite los
grupos de sincronización y elimine el servicio de sincronización.
Pasos siguientes
En este tutorial, ha aprendido los pasos básicos necesarios para ampliar la capacidad de
almacenamiento de un servidor con Windows Server mediante Azure File Sync. Para
obtener una visión más completa del planeamiento de una implementación de Azure
File Sync, consulte:
Puede implementar Azure Files de dos formas: montando directamente los recursos
compartidos de archivos de Azure sin servidor o almacenando en caché recursos
compartidos de archivos de Azure localmente mediante Azure File Sync. Las
consideraciones de implementación cambiarán en función de la opción que escoja.
Protocolos disponibles
Azure Files ofrece dos protocolos de sistema de archivos estándar del sector para
montar recursos compartidos de archivos de Azure: el protocolo Bloque de mensajes
del servidor (SMB) y el protocolo Network File System (NFS), permitiéndole elegir el
protocolo que se ajuste más a su carga de trabajo. Los recursos compartidos de archivos
de Azure no admiten los protocolos SMB y NFS en el mismo recurso compartido de
archivos, aunque puede crear recursos compartidos de archivos de Azure SMB y NFS
dentro de la misma cuenta de almacenamiento. Actualmente, NFS 4.1 solo se admite en
el nuevo tipo de cuenta de almacenamiento FileStorage (solo recursos compartidos de
archivos premium).
Con los recursos compartidos de archivos SMB y NFS, Azure Files ofrece recursos
compartidos de archivos de nivel empresarial que se pueden escalar verticalmente para
satisfacer sus necesidades de almacenamiento y a los que pueden acceder
simultáneamente miles de clientes.
Versiones de protocolo SMB 3.1.1, SMB 3.0, SMB 2.1 NFS 4.1
admitidas
Uso compartido de Modo de uso compartido de Windows Network Lock Manager con
archivos bloqueo aconsejado de
intervalo de bytes
Operaciones en
FileService
Operaciones en
FileShares
Operaciones en
Directories
Operaciones en Files
Conceptos de administración
Los recursos compartidos de archivos de Azure se implementan en cuentas de
almacenamiento, que son objetos de nivel superior que representan un grupo
compartido de almacenamiento. Este grupo de almacenamiento se puede usar para
implementar varios recursos compartidos de archivos, así como otros recursos de
almacenamiento, tales como contenedores de blobs, colas o tablas. Todos los recursos
de almacenamiento que se implementan en una cuenta de almacenamiento comparten
los límites que se aplican a esa cuenta de almacenamiento. Para ver los límites actuales
de una cuenta de almacenamiento, consulte Objetivos de escalabilidad y rendimiento
de Azure Files.
Hay dos tipos principales de cuentas de almacenamiento que se usarán para las
implementaciones de Azure Files:
Identidad
Para acceder a un recurso compartido de archivos de Azure, el usuario debe estar
autenticado y tener la debida autorización. Esto se hace en función de la identidad del
usuario que accede al recurso compartido de archivos. Azure Files admite los siguientes
métodos de autenticación:
Active Directory Domain Services local (AD DS, o AD DS local): las cuentas de
almacenamiento de Azure pueden estar unidas a un dominio de Active Directory
Domain Services propiedad del cliente, al igual que un servidor de archivos de
Windows Server o un dispositivo NAS. Puede implementar un controlador de
dominio en el entorno local, en una VM de Azure o, incluso, como VM en otro
proveedor de nube. Azure Files es independiente de la ubicación donde se
hospeda el controlador de dominio. Una vez que una cuenta de almacenamiento
está unida a un dominio, el usuario final puede montar un recurso compartido de
archivos con la cuenta de usuario con la que inició sesión en su equipo. La
autenticación basada en AD usa el protocolo de autenticación Kerberos.
Microsoft Entra Domain Services: Microsoft Entra Domain Services proporciona
un controlador de dominio administrado por Microsoft que se puede usar para los
recursos de Azure. La unión a un dominio de la cuenta de almacenamiento a
Microsoft Entra Domain Services proporciona ventajas similares a la unión a un
dominio de dicha cuenta a una instancia de AD DS propiedad del cliente. Esta
opción de implementación es especialmente útil para escenarios de migración
mediante lift-and-shift de aplicaciones que requieren permisos basados en AD.
Dado que Microsoft Entra Domain Services proporciona autenticación basada en
AD, esta opción también usa el protocolo de autenticación Kerberos.
Microsoft Entra Kerberos para identidades híbridas: Microsoft Entra Kerberos
permite usar Microsoft Entra ID para autenticar identidades de usuario híbridas,
que son identidades de AD locales que se sincronizan con la nube. Esta
configuración usa Microsoft Entra ID para emitir tickets de Kerberos para acceder
al archivo compartido con el protocolo SMB. Esto significa que los usuarios finales
pueden acceder a los recursos compartidos de archivos de Azure a través de
Internet sin necesidad de una línea de visión a los controladores de dominio desde
las máquinas virtuales unidas de forma híbrida a Microsoft Entra y unidas a
Microsoft Entra.
Autenticación de Active Directory a través de SMB para clientes Linux:
Azure Files admite la autenticación basada en identidades a través de SMB para
clientes Linux mediante el protocolo de autenticación Kerberos mediante AD DS o
Microsoft Entra Domain Services.
Clave de la cuenta de Azure Storage: los recursos compartidos de archivos de
Azure también se pueden montar con una clave de cuenta de almacenamiento de
Azure. Para montar un recurso compartido de archivos de esta forma, el nombre
de la cuenta de almacenamiento se usa como nombre de usuario y la clave de la
cuenta de almacenamiento se usa como contraseña. El uso de la clave de la cuenta
de almacenamiento para montar el recurso compartido de archivos de Azure es
realmente una operación de administrador, porque el recurso compartido de
archivos montado tendrá permisos completos para todos los archivos y todas las
carpetas del recurso compartido, aunque tengan ACL. Cuando se usa la clave de la
cuenta de almacenamiento para el montaje a través de SMB, se usa el protocolo
de autenticación NTLMv2. Si tiene previsto usar la clave de la cuenta de
almacenamiento para acceder a los recursos compartidos de archivos de Azure, se
recomienda usar puntos de conexión privados o puntos de conexión de servicio
como se describe en la sección Redes.
En el caso de los clientes que realizan la migración desde servidores de archivos locales
o que crean nuevos recursos compartidos de archivos en Azure Files destinados a
comportarse como servidores de archivos de Windows o dispositivos NAS, la unión a un
dominio de la cuenta de almacenamiento a una instancia AD DS propiedad del cliente
es la opción recomendada. Para obtener más información sobre la unión de dominio de
su cuenta de almacenamiento a un AD DS propiedad del cliente, consulte Información
general: autenticación de Active Directory Domain Services local en SMB para recursos
compartidos de archivos de Azure.
Redes
El montaje directo del recurso compartido de archivos de Azure a menudo requiere
cierta idea sobre la configuración de red, debido a las siguientes razones:
Desde un punto de vista práctico, esto significa que deberá tener en cuenta las
siguientes configuraciones de red:
Para más información sobre cómo configurar las redes para Azure Files, consulte
Consideraciones sobre redes de Azure Files.
Cifrado
Azure Files admite dos tipos diferentes de cifrado:
Cifrado en tránsito
) Importante
En esta sección se tratan los detalles del cifrado en tránsito para recursos
compartidos SMB. Para más información sobre el cifrado en tránsito con recursos
compartidos de NFS, consulte Seguridad y redes.
Cifrado en reposo
Todos los datos almacenados en Azure Files se cifran en reposo mediante el cifrado de
servicio de almacenamiento (SSE) de Azure. El cifrado del servicio de almacenamiento
funciona de forma similar a BitLocker en Windows: los datos se cifran bajo el nivel del
sistema de archivos. Dado que los datos se cifran bajo el sistema de archivos del recurso
compartido de archivos de Azure, ya que se codifican en el disco, no es necesario tener
acceso a la clave subyacente en el cliente para leer o escribir en dicho recurso
compartido. El cifrado en reposo se aplica a los protocolos SMB y NFS.
De manera predeterminada, los datos almacenados en Azure Files se cifran con claves
administradas por Microsoft. Con las claves administradas por Microsoft, Microsoft
mantiene las claves para cifrar o descifrar los datos y es responsable de rotarlas de
forma periódica. También puede elegir administrar sus propias claves, lo que le permitirá
controlar el proceso de rotación. Si decide cifrar los recursos compartidos de archivos
con claves administradas por el cliente, Azure Files está autorizado para tener acceso a
las claves con el fin de satisfacer las solicitudes de lectura y escritura de los clientes. Con
las claves administradas por el cliente, puede revocar esta autorización en cualquier
momento, pero esto significa que el recurso compartido de archivos de Azure ya no
será accesible a través de SMB o la API FileREST.
Azure Files usa el mismo esquema de cifrado que los otros servicios de almacenamiento
de Azure, como Azure Blob Storage. Para aprender más sobre el cifrado del servicio de
almacenamiento (SSE) de Azure, consulte Cifrado de Azure Storage para datos en
reposo.
Eliminación temporal
La eliminación temporal es una configuración de nivel de cuenta de almacenamiento de
recursos compartidos de archivos de SMB que permite recuperar el recurso compartido
de archivos cuando se elimina accidentalmente. Cuando se elimina un recurso
compartido de archivos, pasa a un estado de eliminación temporal, en lugar de borrarse
de forma permanente. Se puede configurar el tiempo durante el que los recursos
compartidos eliminados de forma temporal se pueden recuperar antes de que se
eliminen permanentemente y durante este período de retención el recurso compartido
se puede recuperar en cualquier momento.
La eliminación temporal está habilitada de manera predeterminada para las nuevas
cuentas de almacenamiento desde enero de 2021 y se recomienda dejarla activada para
la mayoría de los recursos compartidos de archivos SMB. Si tiene un flujo de trabajo en
el que la eliminación de recursos compartidos es común y se espera, puede que decida
tener un período de retención corto o no tener habilitada la eliminación temporal. La
eliminación temporal no funciona con los recursos compartidos de NFS, incluso si está
habilitada para la cuenta de almacenamiento.
Copia de seguridad
Puede realizar una copia de seguridad del recurso compartido de archivos de Azure a
través de instantáneas de recurso compartido, que son copias de solo lectura de un
momento dado del recurso compartido. Las instantáneas son incrementales, lo que
significa que solo contienen los datos que han cambiado desde la instantánea anterior.
Puede tener hasta 200 instantáneas por recurso compartido de archivos y conservarlas
durante un máximo de diez años. Puede realizar instantáneas manualmente en
Azure Portal, a través de PowerShell o en la interfaz de la línea de comandos (CLI), o
bien puede usar Azure Backup.
Defender para Storage analiza continuamente el flujo de telemetría generado por Azure
Files. Cuando se detectan actividades potencialmente malintencionadas, se generan
alertas de seguridad. Estas alertas se muestran en Microsoft Defender for Cloud junto
con los detalles de la actividad sospechosa, los pasos de investigación, las acciones de
corrección y las recomendaciones de seguridad.
Defender para Storage detecta malware conocido, como ransomware, virus, spyware y
otro malware cargado en una cuenta de almacenamiento basada en un hash de archivo
completo (solo se admite para la API de REST). Esto ayuda a evitar que el malware entre
en la organización y se propague a más usuarios y recursos. Consulte Descripción de las
diferencias entre el examen de malware y el análisis de reputación de hash.
Niveles de almacenamiento
Azure Files ofrece cuatro niveles diferentes de almacenamiento: Premium, Optimizado
para transacciones, Frecuente y Esporádico, con el fin de que pueda adaptar sus
recursos compartidos a los requisitos de rendimiento y precio de su escenario:
Una vez que se haya creado un recurso compartido de archivos en una cuenta de
almacenamiento, no se podrá mover a niveles exclusivos de diferentes tipos de cuenta
de almacenamiento. Por ejemplo, para cambiar un recurso compartido de archivos
optimizado para transacciones al nivel Premium, es preciso crear un recurso compartido
de archivos en una cuenta de almacenamiento de FileStorage y copiar los datos desde el
recurso compartido original a un nuevo recurso compartido de archivos en la cuenta de
FileStorage. Se recomienda usar AzCopy para copiar datos entre recursos compartidos
de archivos de Azure, pero también se pueden usar herramientas como robocopy en
Windows o rsync en macOS y Linux.
Limitaciones
Actualmente, los recursos compartidos de archivos estándar con recursos compartidos
de archivos grandes habilitados (hasta una capacidad de 100 TiB) tienen ciertas
limitaciones.
Si desea usar GRS o GZRS con recursos compartidos de archivos de Azure SMB
estándar, consulte Redundancia geográfica de Azure Files para recursos compartidos de
archivos grandes (versión preliminar).
Redundancia
Para proteger los datos de los recursos compartidos de archivos de Azure contra la
pérdida o daños de los datos, Azure Files almacena varias copias de cada archivo a
medida que se escriben. En función de sus requisitos, podrá seleccionar diferentes
grados de redundancia. Actualmente, Azure Files admite las siguientes opciones de
redundancia de datos:
Almacenamiento con redundancia local (LRS) : con LRS, todos los archivos se
almacenan tres veces dentro de un clúster de almacenamiento de Azure. Esto
protege contra la pérdida de datos debido a errores de hardware, como una
unidad de disco incorrecta. No obstante, si se produjera un desastre, como un
incendio o una inundación en el centro de datos, es posible que todas las réplicas
de las cuentas de almacenamiento que usen LRS se pierdan o no se puedan
recuperar.
Almacenamiento con redundancia de zona (ZRS): con ZRS, se almacenan tres
copias de cada archivo. Sin embargo, estas copias están aisladas físicamente en
tres clústeres de almacenamiento distintos en diferentes zonas de disponibilidad de
Azure. Las zonas de disponibilidad son ubicaciones físicas exclusivas dentro de una
región de Azure. Cada zona consta de uno o varios centros de datos equipados
con alimentación, refrigeración y redes independientes. No se acepta la escritura
en el almacenamiento hasta que se realice la escritura en los clústeres de
almacenamiento en las tres zonas de disponibilidad.
Almacenamiento con redundancia geográfica (GRS): con GRS, hay dos regiones,
una primaria y una secundaria. Los archivos se almacenan tres veces dentro de un
clúster de almacenamiento de Azure en la región primaria. Las escrituras se
replican de forma asincrónica en una región secundaria definida por Microsoft.
GRS proporciona seis copias de los datos distribuidas entre dos regiones de Azure.
En caso de un desastre importante, como la pérdida permanente de una región de
Azure debido a una catástrofe natural o a otro evento similar, Microsoft realizará
una conmutación por error. En este caso, la base de datos secundaria se convertiría
en la principal, atendiendo todas las operaciones. Dado que la replicación entre las
regiones principal y secundaria es asincrónica, en caso de que se produzca un
desastre importante, se perderán los datos que todavía no se hayan replicado en la
región secundaria. También puede realizar una conmutación por error manual de
una cuenta de almacenamiento con redundancia geográfica.
Almacenamiento con redundancia de zona geográfica (GZRS): GZRS es como
ZRS, pero con redundancia geográfica. Con GZRS, los archivos se almacenan tres
veces en tres clústeres de almacenamiento distintos en la región primaria. Todas
las escrituras se replican de forma asincrónica en una región secundaria definida
por Microsoft. El proceso de conmutación por error de GZRS funciona igual que en
GRS.
Los recursos compartidos de archivos estándar de Azure de hasta 5 TiB admiten los
cuatro tipos de redundancia. Los recursos compartidos de archivos estándar de más
de 5 TiB solo admiten LRS y ZRS. Los recursos compartidos de archivos premium de
Azure solo admiten LRS y ZRS.
Las cuentas de almacenamiento de uso general versión 2 (GPv2) proporcionan otras dos
opciones de redundancia que Azure Files no admite: almacenamiento con redundancia
geográfica con acceso de lectura (RA-GRS) y almacenamiento con redundancia de zona
geográfica con acceso de lectura (RA-GZRS). Puede aprovisionar recursos compartidos
de archivos de Azure en cuentas de almacenamiento con estas opciones establecidas;
sin embargo, Azure Files no admite la lectura desde la región secundaria. Los recursos
compartidos de archivos de Azure implementados en cuentas de almacenamiento con
RA-GRS o RA-GZRS se facturan como GRS o GZRS, respectivamente.
Migración
En muchos casos, no podrá establecer un nuevo recurso compartido de archivos para su
organización, sino que se migrará uno existente de un servidor de archivos local o un
dispositivo NAS a Azure Files. La elección de la herramienta y estrategia de migración
adecuadas para el escenario es importante para el éxito de la migración.
Pasos siguientes
Planeamiento de una implementación de Azure File Sync
Implementación de Azure Files
Implementación de Azure File Sync
Consulte el artículo de introducción a la migración para encontrar la guía de
migración para su escenario.
Recursos compartidos de archivos SMB
en Azure Files
Artículo • 29/09/2023
Azure Files ofrece dos protocolos estándar del sector para el montaje de recursos
compartidos de archivos de Azure: el protocolo Bloque de mensajes del servidor (SMB)
y el protocolo Network File System (NFS) . Azure Files le permite seleccionar el
protocolo del sistema de archivos más adecuado para su carga de trabajo. Los recursos
compartidos de archivos de Azure no admiten el acceso a un recurso compartido de
archivos de Azure individual con los protocolos SMB y NFS, aunque se pueden crear
recursos compartidos de archivos SMB y NFS dentro de la misma cuenta de
almacenamiento. En general, Azure Files ofrece recursos compartidos de archivos de
nivel empresarial que se pueden escalar verticalmente para satisfacer sus necesidades
de almacenamiento y a los que pueden acceder simultáneamente miles de clientes.
En este artículo se tratan los recursos compartidos de archivos SMB de Azure. Para
obtener información sobre los recursos compartidos de archivos NFS de Azure, consulte
el artículo sobre Recursos compartidos de archivos NFS en Azure Files.
Escenarios frecuentes
Los recursos compartidos de archivos SMB se usan para diversas aplicaciones, incluidos
recursos compartidos de archivos de usuario final y recursos compartidos de archivos
que respaldan las bases de datos y las aplicaciones. Los recursos compartidos de
archivos SMB se suelen usar en los escenarios siguientes:
Características
Azure Files admite las características principales de SMB y Azure que se requieren para
las implementaciones de producción de recursos compartidos de archivos SMB:
Listas de control de acceso discrecional (DACL) y unión a un dominio de AD.
Copia de seguridad sin servidor integrada con Azure Backup.
Aislamiento de red con puntos de conexión privados de Azure.
Alto rendimiento de red con SMB multicanal (solo recursos compartidos de
archivos premium).
Cifrado de canal SMB que incluye AES-256-GCM, AES-128-GCM y AES-128-CCM.
Compatibilidad con versiones anteriores mediante instantáneas de recurso
compartido integradas de VSS.
Eliminación temporal automática en los recursos compartidos de archivos de Azure
para evitar eliminaciones accidentales.
Opcionalmente, recursos compartidos de archivos accesibles desde Internet con
SMB 3.0 y versiones posteriores seguro para Internet.
Seguridad
Todos los datos almacenados en Azure Files se cifran en reposo mediante el cifrado de
servicio de almacenamiento (SSE) de Azure. El cifrado del servicio de almacenamiento
funciona de forma similar a BitLocker en Windows: los datos se cifran bajo el nivel del
sistema de archivos. Dado que los datos se cifran bajo el sistema de archivos del recurso
compartido de archivos de Azure, ya que se codifican en el disco, no es necesario tener
acceso a la clave subyacente en el cliente para leer o escribir en dicho recurso
compartido. El cifrado en reposo se aplica a los protocolos SMB y NFS.
Azure Files admite AES-256-GCM con SMB 3.1.1 cuando se usa con
Windows Server 2022 o Windows 11. SMB 3.1.1 también admite AES-128-GCM y
SMB 3.0 admite AES-128-CCM. AES-128-GCM se negocia de forma predeterminada en
Windows 10, versión 21H1, por motivos de rendimiento.
SMB multicanal
SMB multicanal permite que un cliente SMB 3.x establezca varias conexiones de red a un
recurso compartido de archivos SMB. Azure Files admite SMB multicanal en recursos
compartidos de archivos prémium (recursos compartidos de archivos en el tipo de
cuenta de almacenamiento FileStorage). No hay ningún costo adicional por habilitar
SMB multicanal en Azure Files. SMB multicanal está deshabilitado de forma
predeterminada.
Portal
Versiones de SMB: qué versiones de SMB se permiten. Las versiones admitidas del
protocolo son SMB 3.1.1, SMB 3.0 y SMB 2.1. De forma predeterminada, se
admiten todas las versiones de SMB, salvo en el caso de SMB 2.1 si está habilitada
la opción para requerir la transferencia segura, ya que SMB 2.1 no admite el
cifrado en tránsito.
Métodos de autenticación: qué métodos de autenticación SMB se permiten. Los
métodos de autenticación admitidos son NTLMv2 (solo clave de cuenta de
almacenamiento) y Kerberos. De forma predeterminada, se admiten todos los
métodos de autenticación. La eliminación de NTLMv2 impide el uso de la clave de
la cuenta de almacenamiento para montar el recurso compartido de archivos de
Azure. Azure Files no admite el uso de la autenticación NTLM para las credenciales
de dominio.
Cifrado de vales Kerberos: qué algoritmos de cifrado se permiten. Los algoritmos
de cifrado admitidos son AES-256 (recomendado) y RC4-HMAC.
Cifrado del canal SMB: qué algoritmos de cifrado del canal SMB se permiten. Los
algoritmos de cifrado admitidos son AES-256-GCM, AES-128-GCM y AES-128-
CCM.
Portal
Limitaciones
Los recursos compartidos de archivos SMB en Azure Files admiten un subconjunto de
características compatibles con el protocolo SMB y el sistema de archivos NTFS. Aunque
la mayoría de los casos de uso y de las aplicaciones no requieren estas características, es
posible que algunas aplicaciones no funcionen correctamente con Azure Files si
dependen de características no admitidas. No se admiten las características siguientes:
SMB directo
Concesión de directorio SMB
VSS para recursos compartidos de archivos SMB (esto permite a los proveedores
de VSS vaciar sus datos en el recurso compartido de archivos SMB antes de tomar
una instantánea).
Flujos de datos alternativos
Atributos ampliados
Identificadores de objeto
Vínculos físicos
Enlaces simbólicos
Puntos de repetición de análisis
Archivos dispersos
Nombres de archivos cortos (alias 8.3)
Compresión
Disponibilidad regional
Los recursos compartidos de archivos SMB de Azure están disponibles en todas las
regiones de Azure, incluidas todas las públicas y soberanas. Los recursos compartidos
de archivos SMB premium están disponibles en un subconjunto de regiones .
Pasos siguientes
Planeamiento de una implementación de Azure Files
Creación de un recurso compartido de archivos de Azure
Montaje de recursos compartidos de archivos SMB en su sistema operativo
preferido:
Montaje de recursos compartidos de archivos SMB en Windows
Montaje de recursos compartidos de archivos SMB en Linux
Montaje de recursos compartidos de archivos SMB en macOS
Recursos compartidos de archivos NFS
en Azure Files
Artículo • 16/10/2023
Azure Files ofrece dos protocolos de sistema de archivos estándar del sector para
montar recursos compartidos de archivos de Azure: el protocolo Bloque de mensajes
del servidor (SMB) y el protocolo Network File System (NFS) , permitiéndole elegir el
protocolo que se ajuste más a su carga de trabajo. Los recursos compartidos de archivos
de Azure no admiten el acceso a un recurso compartido de archivos de Azure individual
con los protocolos SMB y NFS, aunque se pueden crear recursos compartidos de
archivos SMB y NFS dentro de la misma cuenta de almacenamiento de FileStorage.
Azure Files ofrece recursos compartidos de archivos de nivel empresarial que se pueden
escalar verticalmente para satisfacer sus necesidades de almacenamiento y a los que
pueden acceder simultáneamente miles de clientes.
En este artículo se describen los recursos compartidos de archivos NFS de Azure. Para
obtener información acerca de los recursos compartidos de archivos SMB de Azure,
consulte Recursos compartidos de archivos SMB en Azure Files.
) Importante
Escenarios frecuentes
Los recursos compartidos de archivos NFS se suelen usar en los escenarios siguientes:
7 Nota
Seguridad y redes
Todos los datos almacenados en Azure Files se cifran en reposo mediante el cifrado de
servicio de almacenamiento (SSE) de Azure. El cifrado del servicio de almacenamiento
funciona de forma similar a BitLocker en Windows: los datos se cifran bajo el nivel del
sistema de archivos. Dado que los datos se cifran bajo el sistema de archivos del recurso
compartido de archivos de Azure, ya que se codifican en el disco, no es necesario tener
acceso a la clave subyacente en el cliente para leer o escribir en dicho recurso
compartido. El cifrado en reposo se aplica a los protocolos SMB y NFS.
En el caso del cifrado en tránsito, Azure proporciona una capa de cifrado para todos los
datos en tránsito entre los centros de datos de Azure mediante MACSec . Gracias a
esto, se produce el cifrado cuando se transfieren datos entre centros de datos de Azure.
A diferencia de Azure Files cuando usa el protocolo SMB, los recursos compartidos de
archivos que utilizan el protocolo NFS no ofrecen autenticación basada en usuario. La
autenticación de los recursos compartidos NFS se basa en las reglas de seguridad de
red configuradas. Debido a esto, para garantizar que solo se establecen conexiones
seguras a su recurso compartido NFS, debe configurar un punto de conexión privado o
un punto de conexión de servicio para su cuenta de almacenamiento.
Si desea acceder a recursos compartidos desde un entorno local, debe configurar una
VPN o ExpressRoute, además de un punto de conexión privado. Las solicitudes que no
tengan los siguientes orígenes se rechazarán:
Para más información sobre las opciones de red disponibles, consulte Consideraciones
de redes para Azure Files.
El estado de los elementos que aparecen en esta tabla puede cambiar con el tiempo a
medida que se siga ampliando la compatibilidad.
Cifrado en reposo ✔️
Cifrado en tránsito ⛔
Característica de Azure Storage Compatible con recursos
compartidos NFS
Montajes de subdirectorios ✔️
Nivel Premium ✔️
Permisos POSIX ✔️
Uso de root_squash ✔️
AzCopy ⛔
Disponibilidad regional
Los recursos compartidos de archivos NFS de Azure se admiten en las mismas regiones
que admiten el almacenamiento de archivos Prémium.
Para obtener la lista más actualizada, consulte la entrada Premium Files Storage en la
página Productos de Azure disponibles por región .
Rendimiento
Los recursos compartidos de archivos de Azure NFS solo se ofrecen en recursos
compartidos de archivos premium, que almacenan datos en unidades de estado sólido
(SSD). Las IOPS y el rendimiento de los recursos compartidos de NFS se escalan con la
capacidad aprovisionada. Consulte la sección del modelo aprovisionado del artículo
Descripción de la facturación para comprender las fórmulas de IOPS, ráfagas de E/S y
rendimiento. Las latencias de E/S promedio son de un número bajo de milisegundos
inferior a 10 para los tamaños de E/S pequeños, mientras que las latencias de metadatos
promedio son de un número alto de milisegundos inferior a 10. Las operaciones de
metadatos de carga elevada, como la descompresión y las cargas de trabajo como
WordPress, pueden tener latencias adicionales debido al gran número de operaciones
de apertura y cierre.
7 Nota
Cargas de trabajo
) Importante
NFS se ha validado para funcionar bien con cargas de trabajo como el nivel de
aplicación de SAP, copias de seguridad de bases de datos, replicación de bases de
datos, colas de mensajería, directorios particulares para servidores de archivos de uso
general y repositorios de contenido para cargas de trabajo de aplicaciones.
Pasos siguientes
Creación de un recurso compartido de archivos NFS
Comparación del acceso a Azure Files, Blob Storage y Azure NetApp Files con NFS
Consideraciones de redes para Azure
Files
Artículo • 01/06/2023
Este vídeo es una guía y demostración sobre cómo exponer de forma segura recursos
compartidos de archivos de Azure directamente para las aplicaciones y trabajadores de
la información en cinco sencillos pasos. En las secciones siguientes se proporcionan
vínculos y contexto adicional de la documentación a la que se hace referencia en el
vídeo.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Transferencia segura
De manera predeterminada, las cuentas de almacenamiento de Azure requieren
transferencia segura, independientemente de si se accede a los datos mediante el punto
de conexión público o privado. Para Azure Files, se aplica la configuración requerir
transferencia segura para todo el acceso de protocolo a los datos almacenados en
recursos compartidos de archivos de Azure, incluidos SMB, NFS y FileREST. Puede
deshabilitar la configuración requerir transferencia segura para permitir el tráfico sin
cifrar. En Azure Portal, también puede ver esta configuración etiquetada como requerir
transferencia segura para las operaciones de la API de REST.
Los protocolos SMB, NFS y FileREST tienen un comportamiento ligeramente diferente
con respecto a la configuración requerir transferencia segura:
Los protocolos SMB, NFS y FileREST pueden usar el punto de conexión público. Sin
embargo, cada uno tiene reglas ligeramente diferentes para el acceso:
Los recursos compartidos de archivos SMB son accesibles desde cualquier lugar
del mundo mediante el punto de conexión público de la cuenta de
almacenamiento con SMB 3.x con cifrado. Esto significa que las solicitudes
autenticadas, como las solicitudes autorizadas por la identidad de inicio de sesión
de un usuario, se pueden originar de forma segura dentro o fuera de la región de
Azure. Si se desea usar SMB 2.1 o SMB 3.x sin cifrado, se deben cumplir dos
condiciones:
Al restringir el tráfico del punto de conexión público a una o varias redes virtuales, se
usa una funcionalidad de la red virtual llamada puntos de conexión de servicio. Las
solicitudes dirigidas al punto de conexión de servicio de Azure Files aún van a la
dirección IP pública de la cuenta de almacenamiento; sin embargo, la capa de redes
realiza una comprobación adicional de la solicitud para validar que proceda de una red
virtual autorizada. Los protocolos SMB, NFS y FileREST admiten puntos de conexión de
servicio. Sin embargo, a diferencia de SMB y FileREST, solo se puede acceder a los
recursos compartidos de archivos NFS con el punto de conexión público mediante el
uso de un punto de conexión de servicio.
Un punto de conexión privado está asociado a una subred de red virtual de Azure
específica. Una cuenta de almacenamiento puede tener puntos de conexión privados en
más de una red virtual.
7 Nota
Configuración de DNS
Cuando se crea un punto de conexión privado, de forma predeterminada también se
crea una zona DNS privada (o se actualiza una existente) correspondiente al subdominio
privatelink . En sentido estricto, no es necesario crear una zona DNS privada para usar
un punto de conexión privado para la cuenta de almacenamiento. Sin embargo, se
recomienda en general y se requiere de forma explícita al montar el recurso compartido
de archivos de Azure con una entidad de seguridad de usuario de Active Directory o al
acceder a él desde la API de FileREST.
7 Nota
conectada a la red virtual que contiene el punto de conexión privado, puede observar la
configuración de DNS cuando mediante una llamada al cmdlet Resolve-DnsName desde
PowerShell en una máquina virtual de Azure (como alternativa, nslookup en Windows y
Linux):
PowerShell
Output
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 1769
Section : Answer
IP4Address : 192.168.0.4
Name : privatelink.file.core.windows.net
QueryType : SOA
TTL : 269
Section : Authority
NameAdministrator : azureprivatedns-host.microsoft.com
SerialNumber : 1
TimeToZoneRefresh : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration : 2419200
DefaultTTL : 300
Si ejecuta el mismo comando en el entorno local, verá que el mismo nombre de cuenta
de almacenamiento se resuelve en la dirección IP pública de la cuenta de
almacenamiento; storageaccount.file.core.windows.net es un registro CNAME para
storageaccount.privatelink.file.core.windows.net , que, a su vez, es un registro
Output
Name : file.par20prdstr01a.store.core.windows.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 52.239.194.40
En este momento, Azure Files no admite directamente SMB mediante QUIC. Sin
embargo, puede obtener acceso a recursos compartidos de archivos de Azure a través
de Azure File Sync que se ejecutan en Windows Server, como se muestra en el diagrama
siguiente. Esto también le ofrece la opción de tener memorias caché de Azure File Sync
tanto locales como en diferentes centros de datos de Azure para proporcionar cachés
locales para un personal distribuido. Para más información sobre esta opción, consulte
Implementación de Azure File Sync y SMB a través de QUIC.
Consulte también
Introducción a Azure Files
Planeamiento de una implementación de Azure Files
Introducción a la protección de datos de
Azure Files
Artículo • 26/07/2023
Azure Files proporciona muchas herramientas para proteger los datos, incluida la
eliminación temporal, las instantáneas de recursos compartidos, Azure Backup y Azure
File Sync. En este artículo se describe cómo proteger los datos en Azure Files y los
conceptos y procesos implicados en la copia de seguridad y recuperación de recursos
compartidos de archivos de Azure.
How Azure Files can help protect against ransomware and acciden…
acciden…
Consulte este vídeo para ver cómo la protección de datos avanzada de Azure Files
protege a las empresas contra el ransomware y la pérdida accidental de datos, a la vez
que ofrece una mayor continuidad empresarial.
Hay varias razones por las que debe proteger los datos del recurso compartido de
archivos.
Azure Portal
Redundancia de datos
Azure Files ofrece varias opciones de redundancia, incluida la redundancia geográfica,
para ayudar a proteger los datos frente a interrupciones del servicio debido a problemas
de hardware o desastres naturales. Para averiguar qué opción es mejor para su caso de
uso, consulte Redundancia de datos de Azure Files.
) Importante
Azure Files solo admite redundancia geográfica (GRS o GZRS) para los recursos
compartidos de archivos con SMB estándar. Los recursos compartidos de archivos
Premium y los recursos compartidos de archivos NFS deben usar almacenamiento
con redundancia local (LRS) o almacenamiento con redundancia de zona (ZRS).
Azure Files ofrece conmutación por error administrada por el cliente para cuentas de
almacenamiento estándar si el centro de datos de la región primaria deja de estar
disponible. Consulte Recuperación ante desastres y conmutación por error para obtener
Azure Files.
Eliminación temporal
La eliminación temporal funciona en un nivel de recurso compartido de archivos para
proteger los recursos compartidos de archivos de Azure frente a la eliminación
accidental. Si se elimina un recurso compartido con eliminación temporal habilitada,
este pasa a un estado de eliminación temporal internamente y se puede recuperar hasta
que expire el período de retención. Los recursos compartidos de archivos de Azure se
siguen facturando en la capacidad usada cuando se eliminan temporalmente.
Las instantáneas son incrementales por naturaleza, por lo que capturan solo los cambios
desde la última instantánea. Eso significa que son eficientes en cuanto a costo y espacio.
Se le factura el uso diferencial del almacenamiento de cada instantánea, por lo que
resulta práctico tener varios puntos de recuperación para satisfacer los requisitos de
RPO bajos.
Consulte también
Redundancia de Azure Files
Recuperación ante desastres y conmutación por error de Azure Files
Redundancia de datos de Azure Files
Artículo • 28/06/2023
Azure Files siempre almacena varias copias de los datos, con el fin de protegerlos de
eventos planeados y no planeados, como errores transitorios de hardware,
interrupciones del suministro eléctrico o cortes de la red, y desastres naturales. La
redundancia garantiza que la cuenta de almacenamiento cumple sus objetivos de
disponibilidad y durabilidad, aunque se produzcan errores.
Las solicitudes de escritura a una cuenta de almacenamiento que usa LRS se producen
de forma sincrónica. Las operaciones de escritura se devuelven correctamente solo
después de que los datos se escriben en las tres réplicas.
Con ZRS, los datos son accesibles para las operaciones de escritura y lectura incluso si
una zona deja de estar disponible. Si alguna zona deja de estar disponible, Azure realiza
las actualizaciones de la red, como el redireccionamiento de DNS. Estas actualizaciones
pueden afectar a la aplicación si se accede a los datos antes de que se completen dichas
actualizaciones. Al diseñar aplicaciones para ZRS, siga los procedimientos para el control
de errores transitorios, incluida la implementación de directivas de reintentos con
retroceso exponencial.
Las solicitudes de escritura a una cuenta de almacenamiento que usa ZRS se producen
de forma sincrónica. Las operaciones de escritura se devuelven correctamente solo
después de que los datos se escriben en todas las réplicas de las tres zonas de
disponibilidad.
Una ventaja de usar ZRS para cargas de trabajo de Azure Files es que si una zona deja
de estar disponible, no es necesario volver a montar los recursos compartidos de
archivos de Azure de los clientes conectados. Le recomendamos usar ZRS en la región
primaria para escenarios que requieren de alta disponibilidad y bajo RPO/RTO. También
recomendamos ZRS para restringir la replicación de datos a un país o región en
particular a fin de cumplir los requisitos de gobernanza de datos.
7 Nota
Azure File Sync tiene redundancia de zona en todas las regiones que admiten
zonas, excepto US Gov Virginia. En la mayoría de los casos, se recomienda que los
usuarios de Azure File Sync configuren las cuentas de almacenamiento para usar
ZRS o GZRS.
En el diagrama siguiente se muestra cómo los datos se replican en las zonas de
disponibilidad de la región primaria con ZRS:
ZRS ofrece un rendimiento excelente, una latencia baja y resistencia para los datos si
dicha región deja de estar disponible temporalmente. No obstante, ZRS por sí sola
podría no proteger los datos frente a un desastre regional en el que varias zonas
resulten afectadas permanentemente. Para la protección frente a desastres regionales,le
recomendamos usar almacenamiento con redundancia de zona geográfica (GZRS), que
usa ZRS en la región primaria y también replica geográficamente los datos en una
región secundaria.
Para obtener más información sobre qué regiones admiten ZRS, consulte Servicio de
zona de disponibilidad y compatibilidad regional.
ZRS se admite en cuentas de almacenamiento estándar de uso general v2 para los tres
niveles estándar: optimizado para transacciones, frecuente y esporádico.
Para obtener una lista de regiones que admiten ZRS para cuentas de almacenamiento
estándar, consulte Regiones de Azure que admiten almacenamiento con redundancia de
zona (ZRS) para cuentas de almacenamiento estándar.
Para obtener una lista de las regiones que admiten ZRS para las cuentas de recursos
compartidos de archivos premium, consulte Almacenamiento con redundancia de zona
de Azure Files para recursos compartidos premium.
) Importante
Azure Files solo admite redundancia geográfica (GRS o GZRS) para los recursos
compartidos de archivos con SMB estándar. Los recursos compartidos de archivos
premium y los recursos compartidos de archivos NFS deben usar LRS o ZRS.
Azure Files ofrece dos opciones para copiar los datos a una región secundaria.
Actualmente, las opciones de almacenamiento con redundancia geográfica solo están
disponibles para recursos compartidos de archivos SMB estándar que no tienen
habilitada la configuración de recursos compartidos de archivos grandes en la cuenta
de almacenamiento (hasta 5 TiB), a menos que use Redundancia geográfica de
Azure Files para recursos compartidos de archivos grandes (versión preliminar).
El almacenamiento con redundancia geográfica (GRS) copia los datos de forma
sincrónica tres veces dentro de una única ubicación física en la región primaria
mediante LRS. Luego copia los datos de forma asincrónica en una única ubicación
física en la región secundaria. Dentro de la región secundaria, los datos siempre se
replican de forma sincrónica tres veces mediante LRS.
El almacenamiento con redundancia de zona geográfica (GZRS) copia los datos
de forma sincrónica en tres zonas de disponibilidad de Azure en la región primaria
mediante ZRS. Luego copia los datos de forma asincrónica en una única ubicación
física en la región secundaria. Dentro de la región secundaria, los datos se copian
de forma sincrónica tres veces mediante LRS.
La principal diferencia entre GRS y GZRS es la forma en que los datos se replican en la
región primaria. Dentro de la región secundaria, los datos siempre se replican de forma
sincrónica tres veces mediante LRS. LRS en la región secundaria protege los datos frente
a errores de hardware.
Con una cuenta de almacenamiento de GZRS, puede seguir leyendo y escribiendo datos
si una zona de disponibilidad deja de estar disponible o es irrecuperable. Además, los
datos se mantienen en caso de un apagón completo de una región o de un desastre
tras el que la región primaria no se puede recuperar. GZRS está diseñada para
proporcionar una durabilidad mínima del 99,99999999999999 % (16 nueves) en un año
determinado.
Solo las cuentas de almacenamiento estándares de uso general v2 son compatibles con
GZRS.
Para obtener una lista de regiones que admiten GZRS, consulte Regiones de Azure que
admiten el almacenamiento con redundancia de zona geográfica (GZRS).
Recuperación ante desastres y conmutación por error
Con GRS o GZRS, los recursos compartidos de archivos no serán accesibles en la región
secundaria a menos que se produzca una conmutación por error. Si la región primaria
deja de estar disponible, puede conmutar por error a la región secundaria. El proceso de
conmutación por error actualiza la entrada DNS que proporciona Azure Files, de modo
tal que el punto de conexión secundario se convierte en el nuevo punto de conexión
principal de la cuenta de almacenamiento. Durante el proceso de conmutación por
error, los datos no son accesibles. Una vez completada la conmutación por error, puede
leer y escribir datos en la nueva región primaria. Una vez completada la conmutación
por error, la región secundaria se convierte en la región primaria y se pueden leer y
escribir datos de nuevo. Para más información, consulte Recuperación ante desastres y
conmutación por error de Azure Files.
) Importante
En los escenarios de Azure File Sync, puede sincronizar entre el recurso compartido de
archivos de Azure (el punto de conexión de nube), un servidor de archivos de Windows
local y un recurso compartido de archivos montado que se ejecuta en una máquina
virtual de otra región de Azure (el punto de conexión del servidor con fines de
recuperación ante desastres). Debe deshabilitar la nube por niveles para asegurarse de
que todos los datos están presentes localmente y aprovisionar suficiente
almacenamiento en la máquina virtual de Azure para contener todo el conjunto de
datos. Para asegurarse de que los cambios se replicarán rápidamente en la región
secundaria, solo se debe acceder a los archivos y modificarlos en el punto de conexión
del servidor en lugar de en Azure.
También puede crear su propio script para copiar datos en una cuenta de
almacenamiento de una región secundaria mediante herramientas como AzCopy (usar
la versión 10.4 o posterior para conservar las ACL y las marcas de tiempo).
Número de Tres copias Tres copias en Seis copias en total, Seis copias en total,
copias de dentro de una zonas de tres en la región tres en zonas de
datos única región disponibilidad primaria y tres en la disponibilidad
mantenidas en independientes región secundaria independientes en la
nodos dentro de una región primaria y tres
independientes única región copias con
redundancia local en
la región secundaria
1
Se requiere la conmutación por error de cuenta para restaurar la disponibilidad de
escritura si la región primaria deja de estar disponible.
Para obtener más información sobre los precios de las diferentes opciones de
redundancia, consulte Precios de Azure Files .
Consulte también
Cambio de la opción de redundancia para una cuenta de almacenamiento
Uso de redundancia geográfica para diseñar aplicaciones de alta disponibilidad
Recuperación ante desastres y
conmutación por error para Azure Files
Artículo • 23/10/2023
Microsoft se esfuerza por garantizar que los servicios de Azure siempre estén
disponibles. Sin embargo, es posible que se produzcan interrupciones de servicio no
planeadas y debe tener un plan de recuperación ante desastres (DR) para controlar una
interrupción del servicio regional. Parte importante de un plan de recuperación ante
desastres es preparar la conmutación por error en el punto de conexión secundario ante
la eventualidad de que el punto de conexión principal deje de estar disponible. En este
artículo se describen los conceptos y procesos implicados en la recuperación ante
desastres (DR) y la conmutación por error de la cuenta de almacenamiento.
) Importante
GRS y GZRS siguen presentando un riesgo de pérdida de datos porque los datos se
copian en la región secundaria de forma asincrónica, lo que significa que hay un retraso
antes de que una escritura en la región primaria se copie en la secundaria. Si se produce
una interrupción, se perderán las operaciones de escritura del punto de conexión
principal que todavía no se hayan copiado en el punto de conexión secundario. Esto
significa que un error que afecte a la región primaria podría provocar la pérdida de
datos si no se puede recuperar dicha región. El intervalo entre las escrituras más
recientes en la región primaria y la última escritura en la región secundaria es el objetivo
de punto de recuperación. Normalmente, Azure Files tiene un RPO de 15 minutos o
menos, aunque actualmente no hay ningún Acuerdo de Nivel de Servicio sobre el
tiempo que se tarda en replicar los datos en la región secundaria.
Para más información sobre cómo iniciar una conmutación por error de una cuenta,
consulte el artículo sobre la iniciación de la conmutación por error de una cuenta.
Funcionamiento de la conmutación por error de una
cuenta
En circunstancias normales, un cliente escribe los datos en una cuenta de
almacenamiento en la región primaria y esos datos se copian de forma asincrónica en la
región secundaria. En la imagen siguiente se muestra el escenario donde está disponible
la región primaria:
El cliente inicia la conmutación por error de la cuenta en el punto de conexión
secundario. El proceso de conmutación por error actualiza la entrada DNS que
proporciona Azure Storage, de modo tal que el punto de conexión secundario se
convierte en el nuevo punto de conexión principal de la cuenta de almacenamiento, tal
como se muestra en la imagen siguiente:
El acceso de escritura se restaura para las cuentas con redundancia geográfica una vez
que la entrada DNS se actualiza y las solicitudes se dirigen al nuevo punto de conexión
principal. Los puntos de conexión de servicio de almacenamiento existentes no cambian
después de la conmutación por error. Los identificadores de archivos y las concesiones
no se conservan en la conmutación por error, por lo que los clientes deben desmontar y
volver a montar los recursos compartidos de archivos.
) Importante
Por lo general, la conmutación por error de una cuenta implica perder algunos
datos. Es importante entender las implicaciones que tiene iniciar la conmutación
por error de una cuenta.
Al forzar una conmutación por error, todos los datos de la región primaria se pierden a
medida que la región secundaria se convierte en la nueva región primaria. La nueva
región primaria está configurada para tener redundancia local después de la
conmutación por error.
Para evitar que suceda esto, compruebe el valor de la propiedad Hora de última
sincronización antes de la conmutación por recuperación. Compare la hora de última
sincronización con las últimas horas en que los datos se escribieron en la nueva región
primaria para evaluar la pérdida de datos esperada.
Después de una operación de conmutación por recuperación, puede configurar la nueva
región primaria para redundancia geográfica de nuevo. Si la región primaria original se
configuró para LRS, puede configurarla para que tenga GRS. Si la región primaria
original se configuró para LRS, puede configurarla para que tenga GZRS. Para otras
opciones, consulte Cambio de la forma en que se replica una cuenta de
almacenamiento.
Consulte también
Redundancia de Azure Files
Introducción a la protección de datos de Azure Files
Inicio de una conmutación por error de la cuenta de almacenamiento
Acerca de la copia de seguridad de
recursos compartidos de archivos de
Azure
Artículo • 01/06/2023
Architecture
2. Una vez que se crea un almacén, el servicio Azure Backup detecta las cuentas de
almacenamiento que se pueden registrar en él. Puede seleccionar la cuenta de
almacenamiento que hospeda los recursos compartidos de archivos que quiere
proteger.
7 Nota
7. Si usa Azure File Sync, el servicio de copia de seguridad indica al servicio Azure File
Sync las rutas de acceso de los archivos que se están restaurando, lo que
desencadena un proceso de detección de cambios en segundo plano en estos
archivos. Los archivos que han cambiado se sincronizan con el punto de conexión
del servidor. Este proceso se produce en paralelo a la restauración original en el
recurso compartido de archivos de Azure.
Para obtener estimaciones detalladas para realizar copias de seguridad de los recursos
compartidos de archivos de Azure, puede descargar el estimador de precios de Azure
Backup detallado.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Capacidades
Una instantánea de recurso compartido es una copia de solo lectura de un momento
dado de sus datos. En el nivel del recurso compartido de archivos se proporciona la
funcionalidad de la instantánea de recurso compartido. La recuperación se ofrece en el
nivel de archivos individuales para permitir la restauración de archivos individuales.
Puede restaurar un recurso compartido de archivos completo mediante el SMB, NFS
(versión preliminar), la API REST, Azure Portal, la biblioteca cliente o con PowerShell o
CLI.
Puede ver las instantáneas de un recurso compartido con la API REST, SMB o NFS
(versión preliminar). Igualmente, puede recuperar la lista de versiones del directorio o
archivo y también puede montar una versión específica directamente como unidad
(disponible solo en Windows: consulte los Límites).
http://storagesample.core.file.windows.net/myshare?snapshot=2011-03-
09T01:42:34.9360000Z
Límites
El número máximo de instantáneas de recurso compartido que permite Azure Files
actualmente es de 200 por recurso compartido. Una vez se llegue a las 200 instantáneas
de recurso compartido, tiene que eliminar las más antiguas para poder crear otras
nuevas. Puede conservar instantáneas durante un máximo de 10 años.
Cuando un archivo de destino se sobrescribe con una copia, las instantáneas de recurso
compartido asociadas al archivo de destino original no se modifican.
Consulte también
Trabajo con instantáneas de recurso compartido en:
Copia de seguridad de un recurso compartido de archivos de Azure
Azure PowerShell
CLI de Azure
Windows
Preguntas más frecuentes sobre instantáneas de recurso compartido
Evitar la eliminación accidental de
recursos compartidos de archivos de
Azure
Artículo • 01/06/2023
Azure Files ofrece eliminación temporal para los recursos compartidos de archivos de
SMB. La eliminación temporal permite recuperar el recurso compartido de archivos
cuando una aplicación u otro usuario de la cuenta de almacenamiento lo ha eliminado
por error.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Parámetros de configuración
Período de retención
El período de retención es la cantidad de tiempo durante el que los recursos
compartidos de archivos eliminados temporalmente se almacenan y están disponibles
para su recuperación. En el caso de los recursos compartidos de archivos que se
eliminan explícitamente, el reloj del período de retención se pone en marcha cuando se
eliminan los datos. Actualmente se puede especificar un periodo de retención que oscile
entre 1 y 365 días. El período de retención de la eliminación temporal se puede cambiar
en cualquier momento. Un período de retención actualizado solo se aplicará a los
recursos compartidos eliminados una vez que se haya actualizado el período de
retención. Los recursos compartidos eliminados antes del período de retención
expirarán en función del período de retención que se ha configurado en el momento de
eliminar los datos.
Precios y facturación
Los recursos compartidos de archivos Estándar y Premium se facturan según la
capacidad usada cuando se han eliminado temporalmente, en lugar de la capacidad
aprovisionada. Además, los recursos compartidos de archivos Premium se facturan
según la tasa de instantáneas mientras se encuentran en el estado de eliminación
temporal. Los recursos compartidos de archivos Estándar se facturan según la tasa
habitual mientras se encuentran en el estado de eliminación temporal. Los datos que se
eliminen permanentemente después del período de retención configurado no se
cobrarán.
Para más información sobre los precios de Azure Files en general, consulte la página de
precios de Azure Files .
Pasos siguientes
Para aprender a habilitar y usar la eliminación temporal, vaya a Habilitación de la
eliminación temporal.
Para obtener información sobre cómo evitar que una cuenta de almacenamiento se
elimine o modifique, consulte Aplicación de un bloqueo de Azure Resource Manager a
una cuenta de almacenamiento.
Para obtener información sobre cómo aplicar bloqueos a recursos y grupos de recursos,
consulte Bloqueo de recursos para evitar cambios inesperados.
Redundancia geográfica de Azure Files
para recursos compartidos de archivos
grandes (versión preliminar)
Artículo • 28/08/2023
Durante varios años, Azure Files ha sido compatible con recursos compartidos de
archivos grandes. Esto no solo proporciona una capacidad de recurso compartido de
archivos de hasta 100 TiB, sino que también mejora el rendimiento y las IOPS. En gran
medida, los clientes han adoptado el uso de recursos compartidos de archivos grandes
mediante el almacenamiento con redundancia local (LRS) y almacenamiento con
redundancia de zona (ZRS). No obstante, las opciones de almacenamiento con
redundancia geográfica (GRS) y almacenamiento con redundancia de zona geográfica
(GZRS) no han estado disponibles hasta ahora.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Si la región primaria deja de estar disponible por cualquier motivo, puede iniciar una
conmutación por error de cuenta en la región secundaria.
7 Nota
Máximo de IOPS por recurso 1000 IOPS 20 000 IOPS (aumento de 20 veces)
compartido
Disponibilidad en regiones
Actualmente, la versión preliminar de redundancia geográfica para recursos
compartidos de archivos grandes de Azure Files está disponible en las siguientes
regiones:
Centro de Australia
Centro de Australia 2
Este de Australia
Sudeste de Australia
Sur de Brasil
Sur de Brasil
Centro de Canadá
Este de Canadá
Centro de la India
Centro de EE. UU.
Este de China 2
Este de China 3
Norte de China 2
Norte de China 3
Este de Asia
Este de EE. UU.
Este de EE. UU. 2
Centro de Francia
Sur de Francia
Norte de Alemania
Centro-oeste de Alemania
Japón Oriental
Japón Occidental
Centro de Corea del Sur
Corea del Sur
Centro-Norte de EE. UU
Norte de Europa
Este de Noruega
Oeste de Noruega
Norte de Sudáfrica
Oeste de Sudáfrica
Centro-sur de EE. UU.
Sur de la India
Sudeste de Asia
Centro de Suecia
Sur de Suecia
Norte de Suiza
Oeste de Suiza
Centro de Emiratos Árabes Unidos
Norte de Emiratos Árabes Unidos
Sur de Reino Unido
Oeste de Reino Unido
US Gov: Arizona
US Gov Texas
US Gov - Virginia
Centro-Oeste de EE. UU.
Oeste de Europa
Oeste de la India
Oeste de EE. UU.
Oeste de EE. UU. 2
Oeste de EE. UU. 3
Precios
Los precios se basan en el nivel de recurso compartido de archivos estándar y la opción
de redundancia configurada para la cuenta de almacenamiento. Para más información,
consulte precios de Azure Files .
Azure Portal
Consulte también
Recuperación ante desastres y conmutación por error de la cuenta de
almacenamiento
Descripción del rendimiento de Azure
Files
Artículo • 20/07/2023
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Glosario
Antes de leer este artículo, resulta útil comprender algunos términos clave relacionados
con el rendimiento del almacenamiento:
Tamaño de E/S
Rendimiento
El rendimiento mide el número de bits leídos o escritos en el almacenamiento por
segundo y se mide en mebibytes por segundo (MiB/s). Para calcular el
rendimiento, multiplique las IOPS por el tamaño de E/S. Por ejemplo, 10 000 IOPS *
1 MiB de tamaño de E/S = 10 GiB/s, mientras que 10 000 IOPS * 4 KiB de tamaño
de E/S = 38 MiB/s.
Latency
Profundidad de la cola
33 792 36 792 Hasta 100 000 227 548 800 3480 MiB/s
51 200 54 200 Hasta 100 000 164 880 000 5220 MiB/s
Latencia
Al pensar en la latencia, es importante comprender primero cómo se determina esta con
Azure Files. Las medidas más comunes son la latencia asociada a las métricas de latencia
de un extremo a otro y latencia del servicio. El uso de estas métricas de transacción
puede ayudar a identificar problemas de latencia o de redes del lado cliente al
determinar el tiempo que pasa el tráfico de la aplicación en tránsito hacia el cliente y
desde este.
Es habitual confundir la latencia del cliente con la latencia del servicio (en este caso, el
rendimiento de Azure Files). Por ejemplo, si la latencia del servicio notifica baja latencia y
la de un extremo a otro notifica una latencia muy alta para las solicitudes, eso sugiere
que todo el tiempo se invierte en el tránsito hacia el cliente y desde este, y no en el
servicio Azure Files.
Además, tal como se muestra en el diagrama, cuanto más lejos esté del servicio, más
lenta será la experiencia de latencia y más difícil será alcanzar límites de escalado de
rendimiento con cualquier servicio en la nube. Esto sucede especialmente al acceder a
Azure Files desde el entorno local. Aunque las opciones como ExpressRoute son ideales
para el entorno local, siguen sin coincidir con el rendimiento de una aplicación (proceso
y almacenamiento) que se ejecuta exclusivamente en la misma región de Azure.
Sugerencia
El uso de una máquina virtual en Azure para probar el rendimiento entre el entorno
local y Azure es una manera eficaz y práctica de establecer como base las
capacidades de red de la conexión a Azure. A menudo, un circuito ExpressRoute o
una puerta de enlace de VPN con un tamaño insuficiente o incorrectamente
enrutado puede ralentizar una carga de trabajo.
Profundidad de la cola
La profundidad de la cola es el número de solicitudes de E/S pendientes que un recurso
de almacenamiento puede atender. A medida que los discos que usan los sistemas de
almacenamiento han evolucionado de los ejes HDD (IDE, SATA, SAS) a los dispositivos
de estado sólido (SSD, NVMe), también han evolucionado para admitir una mayor
profundidad de cola. Un ejemplo de profundidad de cola baja consiste en una carga de
trabajo que consta de un único cliente que interactúa en serie con un único archivo
dentro de un conjunto de datos grande. Por el contrario, una carga de trabajo que
admite paralelismo con varios subprocesos y varios archivos puede lograr fácilmente
una profundidad de cola alta. Dado que Azure Files es un servicio de archivos
distribuido que abarca miles de nodos de clúster de Azure y está diseñado para ejecutar
cargas de trabajo a gran escala, se recomienda compilar y probar cargas de trabajo con
una profundidad de cola alta.
En la tabla siguiente se muestran las distintas combinaciones que puede usar para
lograr una mayor profundidad de cola. Aunque puede superar la profundidad de cola
óptima de 64, esta opción no se recomienda. Si lo hace, no observará más mejoras en el
rendimiento y corre el riesgo de aumentar la latencia debido a la saturación de TCP.
1 1 1 1
1 1 2 2
1 2 2 4
2 2 2 8
2 2 4 16
Clientes Archivos Subprocesos Profundidad de la cola
2 4 4 32
1 8 8 64
4 4 2 64
Sugerencia
En esta tabla se desglosa el tiempo necesario (en milisegundos) para crear un único
archivo de 16 KiB en un recurso compartido de archivos de Azure, basado en una
aplicación de un solo subproceso que escribe en tamaños de bloque de 4 KiB.
Subproceso 1 3 ms 2 ms 2 ms 2 ms 2 ms 3 ms 14 ms
Al usar ocho subprocesos en lugar de uno, la carga de trabajo anterior se puede reducir
de 140 000 ms (140 segundos) hasta 17 500 ms (17,5 segundos). Tal como se muestra
en la tabla siguiente, cuando se mueven ocho archivos en paralelo en lugar de hacerlo
de uno en uno, puede mover la misma cantidad de datos empleando un 87,5 % menos
de tiempo.
Subproceso 1 3 ms 2 ms 2 ms 2 ms 2 ms 3 ms 14 ms
Subproceso 2 3 ms 2 ms 2 ms 2 ms 2 ms 3 ms 14 ms
Subproceso 3 3 ms 2 ms 2 ms 2 ms 2 ms 3 ms 14 ms
Subproceso 4 3 ms 2 ms 2 ms 2 ms 2 ms 3 ms 14 ms
Subproceso 5 3 ms 2 ms 2 ms 2 ms 2 ms 3 ms 14 ms
Subproceso 6 3 ms 2 ms 2 ms 2 ms 2 ms 3 ms 14 ms
Subproceso 7 3 ms 2 ms 2 ms 2 ms 2 ms 3 ms 14 ms
Subproceso 8 3 ms 2 ms 2 ms 2 ms 2 ms 3 ms 14 ms
Vea también
Solución de problemas de rendimiento de recursos compartidos de archivos de
Azure
Supervisión de Azure Files
Planeamiento de una implementación de Azure Files
Descripción de la facturación de Azure Files
Precios de Azure Files
Mejora del rendimiento del recurso compartido
de archivos de Azure SMB
Artículo • 03/09/2023
En este artículo se explica cómo puede mejorar el rendimiento de los recursos compartidos de archivos de
Azure SMB, incluido el uso de SMB multicanal.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Cuanto mayor sea el tamaños de E/S mayores serán el rendimiento y las latencias, lo que dará lugar a un
número menor de IOPS de red. Los tamaños de E/S menores aumentarán la IOPS, pero provocarán unas
latencias y un rendimiento menores. Para más información, consulte Descripción del rendimiento de Azure
Files.
SMB multicanal
SMB multicanal permite que un cliente SMB 3.x establezca varias conexiones de red a un recurso compartido
de archivos SMB. Azure Files admite SMB multicanal en recursos compartidos de archivos premium (recursos
compartidos de archivos en el tipo de cuenta de almacenamiento FileStorage) para clientes de Windows. En
el lado del servicio, el SMB multicanal está deshabilitado de forma predeterminada en Azure Files, pero no
hay ningún costo adicional por habilitarlo.
Ventajas
SMB multicanal permite a los clientes usar varias conexiones de red que proporcionan un mayor rendimiento
a la vez que se reduce el costo de propiedad. El mayor rendimiento se logra a través de la agregación de
ancho de banda en varias NIC y el uso de la compatibilidad con Ajuste de escala en lado de recepción (RSS)
para que las NIC distribuyan la carga de E/S entre varias CPU.
Rendimiento aumentado: varias conexiones permiten la transferencia de los datos a través de varias
rutas de acceso en paralelo y, por tanto, benefician significativamente a las cargas de trabajo que usan
tamaños de archivo más grandes con tamaños de E/S más grandes, y requieren un alto rendimiento de
una sola máquina virtual o un conjunto de máquinas virtuales más pequeño. Entre algunas de estas
cargas de trabajo se incluyen medios y entretenimiento para la creación de contenido o la
transcodificación, la genómica y el análisis de riesgos de servicios financieros.
E/S por segundo más alta: la funcionalidad RSS de NIC permite una distribución de carga eficaz entre
varias CPU con varias conexiones. Esto ayuda a lograr una escala de IOPS más alta y un uso eficaz de las
CPU de VM. Esto es útil para las cargas de trabajo que tienen tamaños de E/S pequeños, como las
aplicaciones de base de datos.
Tolerancia a los fallos de la red: varias conexiones mitigan el riesgo de interrupción, ya que los clientes
ya no dependen de una conexión individual.
Configuración automática: cuando SMB multicanal está habilitado en los clientes y las cuentas de
almacenamiento, permite la detección dinámica de las conexiones existentes y puede crear rutas de
acceso de conexión adicionales según sea necesario.
Optimización de costos: las cargas de trabajo pueden alcanzar una mayor escala de una sola máquina
virtual o un conjunto pequeño de máquinas virtuales mientras se conectan a recursos compartidos
Premium. Esto podría reducir el costo total de propiedad al reducir el número de máquinas virtuales
necesarias para ejecutar y administrar una carga de trabajo.
Para obtener más información sobre SMB multicanal, consulte la documentación de Windows.
Esta característica proporciona mayores ventajas de rendimiento a las aplicaciones multiproceso, pero
normalmente no ayuda a las aplicaciones de un único subproceso. Consulte la sección Comparación del
rendimiento para obtener más detalles.
Limitaciones
SMB multicanal para los recursos compartido de archivos de Azure tiene actualmente las siguientes
restricciones:
Solo se admite en clientes de Windows que utilizan SMB 3.1.1. Asegúrese de que los sistemas
operativos cliente de SMB tengan las revisiones aplicadas hasta los niveles recomendados.
Actualmente no se admite ni se recomienda para los clientes de Linux.
El número máximo de canales es cuatro. Para más información, consulte este artículo.
Configuración
SMB multicanal solo funciona cuando la característica está habilitada tanto en el lado del cliente (su cliente)
como en el lado del servicio (su cuenta de almacenamiento de Azure).
En los clientes Windows, SMB multicanal está habilitado de manera predeterminada. Puede comprobar la
configuración ejecutando el siguiente comando de PowerShell:
PowerShell
Varios archivos/Multiproceso: según el patrón de carga de trabajo, deberías poder observar una
mejora significativa en el rendimiento en E/S de lectura y escritura a través de varios canales. Las
mejoras de rendimiento varían desde cualquier punto entre 2x y 4x en términos de IOPS, rendimiento y
latencia. En esta categoría, SMB multicanal debe habilitarse para obtener el mejor rendimiento.
Un solo archivo/Multiproceso: en la mayoría de los casos de uso de esta categoría, las cargas de
trabajo se beneficiarán de tener habilitado SMB multicanal, especialmente si la carga de trabajo tiene
un tamaño medio de E/S > ~16 k. Algunos escenarios de ejemplo que se benefician de SMB multicanal
son la copia de seguridad o la recuperación de un solo archivo grande. Una excepción en la que es
posible que desees deshabilitar SMB multicanal es si tu carga de trabajo es pesada en E/S pequeñas. En
ese caso, tal vez observes una ligera pérdida de rendimiento (10 %). Dependiendo del caso de uso,
considere la posibilidad de distribuir la carga entre varios archivos o deshabilitar la característica.
Consulte la sección Configuración para obtener más información.
Varios archivos o un solo archivo/Multiproceso: en la mayoría de las cargas de trabajo de un único
subproceso, existen unas ventajas de rendimiento mínimas debido a la falta de paralelismo. Por lo
general, hay una ligera degradación del rendimiento de ~10 % si el SMB multicanal está habilitado. En
este caso, es ideal deshabilitar SMB multicanal, con una excepción. Si la carga de trabajo de un único
subproceso puede distribuir la carga entre varios archivos y usa un tamaño medio de E/S más grande
(> ~16 k), deben existir unas ventajas de rendimiento mínimas del SMB multicanal.
En una sola NIC, en el caso de las lecturas, el rendimiento aumentó entre el doble y el triple, mientras
que en el caso de las escrituras, una mejora en términos de IOPS y rendimiento se multiplicó por 3 y
hasta por 4.
SMB multicanal permitió que IOPS y el rendimiento alcanzaran los límites de VM incluso con una sola
NIC y el límite de cuatro canales.
Dado que la salida (o las lecturas en el almacenamiento) no se mide, el rendimiento de lectura pudo
superar el límite publicado de VM de 16 000 Mbps (2 GiB/s). La prueba alcanzó >2,7 GiB/s. La entrada
(o las escrituras en el almacenamiento) sigue estando sujeta a límites de VM.
Distribución de la carga por varios archivos permitidos para mejoras sustanciales.
diskspd.exe -W300 -C5 -r -w100 -b4k -t8 -o8 -Sh -d60 -L -c2G -Z1G z:\write0.dat z:\write1.dat
En una sola NIC con un tamaño medio de E/S mayor (> ~16 k), había mejoras significativas tanto en las
lecturas como en las escrituras.
Para tamaños de E/S más pequeños, hubo un ligero impacto de ~10 % en el rendimiento con el SMB
multicanal habilitado. Esto podría mitigarse mediante la distribución de la carga por varios archivos, o
la deshabilitación de la característica.
El rendimiento sigue estando sujeto a los límites de un solo archivo.
Pasos siguientes
Habilitar SMB multicanal
Consulta la documentación de Windows para el SMB multicanal
Mejora del rendimiento del recurso
compartido de archivos NFS de Azure
Artículo • 26/10/2023
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Sin embargo, a partir de la versión 5.4 del kernel de Linux, el cliente NFS de Linux usa un
valor predeterminado de read_ahead_kb de 128 KiB. Este valor pequeño puede reducir la
cantidad de rendimiento de lectura para archivos grandes. Los clientes que actualizan
desde versiones de Linux con un mayor valor de lectura anticipada en comparación con
los que tienen el valor predeterminado de 128 KiB podrían experimentar una
disminución en el rendimiento de lectura secuencial.
Resultados
SUBSYSTEM=="bdi" \
, ACTION=="add" \
, PROGRAM="/usr/bin/awk -v bdi=$kernel 'BEGIN{ret=1} {if ($4 == bdi)
{ret=0}} END{exit ret}' /proc/fs/nfsfs/volumes" \
, ATTR{read_ahead_kb}="15360"
Bash
Nconnect
Nconnect es una opción de montaje de Linux del lado cliente que aumenta el
rendimiento a escala al permitirle usar más conexiones TCP entre el cliente y el servicio
Azure Premium Files para NFSv4.1, a la vez que mantiene la resistencia de la plataforma
como servicio (PaaS).
Ventajas de nconnect
Con nconnect , puede aumentar el rendimiento a escala mediante menos máquinas
cliente para reducir el costo total de propiedad (TCO). Nconnect aumenta el rendimiento
mediante el uso de varios canales TCP en una o varias NIC, mediante uno o varios
clientes. Sin nconnect , necesitaría aproximadamente 20 máquinas cliente para lograr los
límites de escala de ancho de banda (10 GiB/s) ofrecidos por el mayor tamaño de
aprovisionamiento de recursos compartidos de archivos premium de Azure. Con
nconnect , puede lograr esos límites usando solo de 6 a 7 clientes. Esa es casi una
Requisitos previos
Las distribuciones de Linux más recientes son totalmente compatibles con
nconnect . En el caso de las distribuciones anteriores de Linux, asegúrese de que la
Establezca nconnect=4 .
Si una carga de trabajo requiere montar varios recursos compartidos con una o varias
cuentas de almacenamiento con una configuración de nconnect diferente de un solo
cliente, no podemos garantizar que esa configuración persista al montarse a través del
punto de conexión público. La configuración por montaje solo se admite cuando se usa
un único recurso compartido de archivos de Azure por cuenta de almacenamiento a
través del punto de conexión privado, como se describe en Escenario 1.
nconnect=4
Mount StorageAccount2.file.core.windows.net:/StorageAccount2/FileShare1
nconnect=4
Mount StorageAccount.file.core.windows.net:/StorageAccount/FileShare2
Mount StorageAccount2.file.core.windows.net:/StorageAccount2/FileShare1
7 Nota
nconnect=4
Mount StorageAccount.file.core.windows.net:/StorageAccount/FileShare2
Mount StorageAccount.file.core.windows.net:/StorageAccount/FileShare3
Cliente único: Máquina virtual de Azure (serie DSv4) con una sola NIC
Sistema operativo: Linux (Ubuntu 20.40)
Almacenamiento NFS: Recurso compartido de archivos premium de Azure Files
(aprovisionado 30 TiB, configurado nconnect=4 )
Bash
Bash
Bash
Bash
Bash
Bash
Bash
Bash
No todas las cargas de trabajo requieren rendimiento de alta escala en todo el sistema o
de IOPS. En el caso de cargas de trabajo de escala más pequeñas, es posible que no
tenga sentido usar nconnect . Use la tabla siguiente para decidir si nconnect será
ventajoso para la carga de trabajo. Se recomiendan escenarios resaltados en verde,
mientras que los resaltados en rojo no. Los resaltados en amarillo son neutros.
Consulte también
Para obtener instrucciones de montaje, consulte Montaje del recurso compartido
de archivos NFS en Linux.
Para obtener una lista completa de las opciones de montaje, consulte página man
de NFS de Linux .
Para obtener información sobre la latencia, las IOPS, el rendimiento y otros
conceptos de rendimiento, consulte Descripción del rendimiento de Azure Files.
Objetivos de escalabilidad y
rendimiento de Azure Files
Artículo • 06/04/2023
Los objetivos enumerados aquí pueden verse afectados por otras variables de la
implementación. Por ejemplo, el rendimiento de E/S de un archivo puede verse afectado
tanto por el comportamiento del cliente SMB como por el ancho de banda de red
disponible. Debe probar el patrón de uso para determinar si la escalabilidad y el
rendimiento de Azure Files cumplen sus requisitos. También debería esperar que estos
límites aumenten con el tiempo.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Operaciones de lectura de 800 por cada 5 minutos 800 por cada 5 minutos
administración
Atributo Cuentas de Cuentas de almacenamiento
almacenamiento GPv2 FileStorage (prémium)
(estándar)
Operaciones de lista de 100 por cada 5 minutos 100 por cada 5 minutos
administración
1
Con un aumento de cuota, puede crear hasta 500 cuentas de almacenamiento con
puntos de conexión estándar por región. Para más información, consulte Aumento de
las cuotas de la cuenta de Azure Storage. 2 Las cuentas de almacenamiento de uso
general, versión 2, admiten límites más altos de capacidad y límites más altos de entrada
por solicitud. Para solicitar un aumento en los límites de cuenta, póngase en contacto
con el soporte técnico de Azure .
3
Azure Files aplica ciertas reglas de nomenclatura para los nombres de los directorios y
archivos.
1 Se aplica a entradas y salidas de lectura y escritura (normalmente los tamaños de E/S son iguales o menores que
64 KiB). Las operaciones de metadatos, que no sean lecturas y escrituras, pueden ser más lentas. Estos límites son
la cola y otros factores. Para más información, consulte Rendimiento multicanal de SMB.
3 Azure Files admite 10 000 identificadores abiertos en el directorio raíz y 2000 identificadores abiertos por archivo y
directorio dentro del recurso compartido. El número de usuarios activos admitidos por recurso compartido depende
de las aplicaciones que acceden al recurso compartido. Si las aplicaciones no abren un identificador en el directorio
raíz, Azure Files puede admitir más de 10 000 usuarios activos por recurso compartido.
7 Nota
7 Nota
Memoria 128 GB
Disco Discos SAS con RAID 10 con caché con respaldo de batería
Tamaño de archivo medio ~200 KiB (archivo más grande: 100 GiB)
Sincronización en curso
*Si están habilitados los niveles de la nube, es probable que observe un rendimiento
mejor, ya que solo se descargan algunos de los datos de los archivos. Azure File Sync
solo descarga los datos de los archivos almacenados en la memoria caché cuando
cambian en cualquiera de los puntos de conexión. En el caso de los archivos en niveles o
recién creados, el agente no descarga los datos de los archivos, solo sincroniza el
espacio de nombres en todos los puntos de conexión del servidor. El agente también
admite descargas parciales de archivos en capas cuando el usuario accede a ellos.
7 Nota
Como guía general para la implementación, debería tener varios factores en cuenta:
Consulte también
Descripción del rendimiento de Azure Files
Planeamiento de una implementación de Azure Files
Planeamiento de una implementación de Azure File Sync
Introducción a las opciones de
autenticación basada en la identidad de
Azure Files con el acceso SMB
Artículo • 22/11/2023
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Glosario
Es útil comprender algunos términos clave relacionados con la autenticación basada en
la identidad para recursos compartidos de archivos de Azure:
Autenticación Kerberos
La integración de Active Directory Domain Services (AD DS) local en Azure Files
proporciona los métodos para almacenar datos de directorio y poner dichos datos
a disposición de los usuarios y administradores de la red. La seguridad se integra
en AD DS mediante la autenticación de inicio de sesión y el control de acceso a los
objetos del directorio. Con un único inicio de sesión de red, los administradores
pueden administrar los datos del directorio y la organización a través de su red, y
los usuarios de red autorizados pueden tener acceso a los recursos en cualquier
parte de la red. Normalmente, las que adoptan AD DS son empresas en entornos
locales o en máquinas virtuales hospedadas en la nube, que usan las credenciales
de AD DS para el control de acceso. Para obtener más información, consulte
Introducción a Active Directory Domain Services.
RBAC de Azure permite la administración detallada del acceso a Azure. Con Azure
RBAC, puede administrar el acceso a los recursos mediante la concesión a los
usuarios del menor número de permisos necesarios para realizar su trabajo. Para
obtener más información, consulte ¿Qué es el control de acceso basado en rol de
Azure (RBAC)?
Identidades híbridas
Restricciones
Ninguno de los métodos de autenticación admite la asignación de permisos de
nivel de recurso compartido a cuentas de equipo (cuentas de máquina) mediante
RBAC de Azure, ya que las cuentas de equipo no se pueden sincronizar con una
identidad en Microsoft Entra ID. Si quiere permitir que una cuenta de equipo
acceda a recursos compartidos de archivos de Azure mediante la autenticación
basada en identidades, use un permiso de nivel de recurso compartido
predeterminado o considere la posibilidad de usar una cuenta de inicio de sesión
del servicio en su lugar.
No se admite la autenticación basada en identidad con recursos compartidos de
archivos de Network File System (NFS).
Funcionamiento
Los recursos compartidos de archivos de Azure utilizan el protocolo Kerberos para la
autenticación con un origen de AD. Cuando una identidad asociada con un usuario o
una aplicación que se ejecuta en un cliente intenta acceder a los datos de recursos
compartidos de archivos de Azure, la solicitud se envía al origen de AD para autenticar
la identidad. Si la autenticación es correcta, devuelve un token de Kerberos. El cliente
envía una solicitud que incluye el token de Kerberos, y los recursos compartidos de
archivos de Azure usan ese token para autorizar la solicitud. Los recursos compartidos
de archivos de Azure solo reciben el token de Kerberos, no las credenciales de acceso
del usuario.
AD DS
En el caso de la autenticación de AD DS local, primero debe configurar los controladores
de dominio de AD y unir el dominio de sus máquinas o máquinas virtuales. Puede
hospedar los controladores de dominio en máquinas virtuales de Azure o en un entorno
local. En cualquier caso, los clientes unidos a un dominio deben tener una conectividad
de red no impedida al controlador de dominio, por lo que deben estar en la red
corporativa o en la red virtual (VNet) del servicio de dominio.
Para más información sobre cómo habilitar la autenticación de AD DS, primero lea
Introducción: autenticación de Active Directory Domain Services local en SMB para
recursos compartidos de archivos de Azure y, después, Habilitar la autenticación de AD
DS para los recursos compartidos de archivos de Azure.
) Importante
También puede usar esta característica para almacenar perfiles de FSLogix en recursos
compartidos de archivos de Azure para máquinas virtuales unidas a Microsoft Entra.
Para obtener más información, consulte Creación de un contenedor de perfil con Azure
Files y Microsoft Entra ID.
Control de acceso
Azure Files aplica la autorización en el acceso del usuario tanto a nivel del recurso
compartido como a los niveles de directorio o archivo. La asignación de permisos de
nivel de recurso compartido se puede llevar a cabo en usuarios o grupos de Microsoft
Entra administrados con Azure RBAC. Con Azure RBAC, las credenciales que se usan
para el acceso a archivos deben estar disponibles o sincronizadas con Microsoft Entra
ID. Para conceder acceso a un recurso compartido de archivos de Azure, puede asignar
roles integrados de Azure, como el de lector de recursos compartidos de SMB de datos
de archivos de almacenamiento, a usuarios o grupos en Microsoft Entra ID.
) Importante
Precios
No hay ningún cargo adicional por servicio por habilitar la autenticación basada en la
identidad en SMB en la cuenta de almacenamiento. Para obtener más información sobre
los precios, consulte Precios de Azure Files y Precios de Microsoft Entra Domain
Services .
Pasos siguientes
Para obtener más información sobre Azure Files y la autenticación basada en identidad a
través de SMB, consulte estos recursos:
OAuth de Azure Files a través de REST permite acceso de lectura y escritura de nivel de
administrador a los recursos compartidos de archivos de Azure para usuarios y aplicaciones
a través del protocolo de autenticación de OAuth , por medio de Microsoft Entra ID para
el acceso basado en la API de REST. Los usuarios, grupos, servicios de primera entidad,
como Azure Portal, y servicios y aplicaciones de terceros que usan interfaces de REST,
ahora pueden usar la autenticación y autorización de OAuth con una cuenta de Microsoft
Entra para acceder a los datos de recursos compartidos de archivos de Azure. Los cmdlets
de PowerShell y los comandos de la CLI de Azure que llaman a las API de REST también
pueden usar OAuth para acceder a recursos compartidos de archivos de Azure.
) Importante
Limitaciones
OAuth de Azure Files a través de REST (versión preliminar) solo admite las API de datos de
REST de Files que admiten operaciones en archivos y directorios. OAuth no se admite en
las API del plano de datos de FilesREST que administran los recursos FileService y FileShare.
Estas API de administración se llaman mediante la clave de cuenta de almacenamiento o el
token de SAS, y se exponen a través del plano de datos por motivos heredados. Se
recomienda usar las API del plano de control (el proveedor de recursos de
almacenamiento: Microsoft.Storage) que admitan OAuth para todas las actividades de
administración relacionadas con los recursos FileService y FileShare.
Los clientes y asociados también pueden permitir que los servicios propios y de terceros
configuren el acceso necesario de forma segura y transparente a una cuenta de
almacenamiento del cliente.
Las herramientas de DevOps, como Azure Portal, PowerShell y la CLI, AzCopy y Explorador
de Azure Storage pueden administrar datos mediante la identidad del usuario, lo que
elimina la necesidad de administrar o distribuir claves de acceso de almacenamiento.
Identidades administradas
Los clientes con aplicaciones e identidades administradas que requieren acceso a los datos
del recurso compartido de archivos con fines de copia de seguridad, restauración o
auditoría pueden beneficiarse de la autenticación y autorización de OAuth. La aplicación de
permisos de nivel de archivo y directorio para cada identidad agrega complejidad y podría
no ser compatible con determinadas cargas de trabajo. Por ejemplo, es posible que los
clientes quieran autorizar a un servicio de solución de copia de seguridad para acceder a
recursos compartidos de archivos de Azure con acceso de solo lectura a todos los archivos
sin tener en cuenta los permisos específicos del archivo.
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
Los usuarios, grupos o entidades de servicio que llaman a la API de REST con OAuth deben
tener asignada la acción readFileBackupSemantics o writeFileBackupSemantics al rol que
permita el acceso a los datos. Este es un requisito para usar esta característica. Para
obtener información sobre los permisos necesarios para llamar a operaciones concretas de
servicio de archivos, vea Permisos para llamar a operaciones de datos.
Esta característica proporciona dos nuevos roles integrados que incluyen estas nuevas
acciones.
Colaborador Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read
con Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write
privilegios Microsoft.Storage/storageAccounts/fileServices/fileShares/files/delete
de datos de Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
archivos de Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action
Storage
Estos nuevos roles son similares a los roles integrados existentes Lector de recursos
compartidos de SMB de datos de archivos de Storage y Colaborador con privilegios
elevados de recursos compartidos de SMB de datos de archivos de almacenamiento, pero
hay algunas diferencias:
Los nuevos roles contienen las acciones de datos adicionales necesarias para el
acceso de OAuth.
Cuando el usuario, el grupo o la entidad de servicio a los que se asignan los roles
Lector con privilegios de datos de archivo de almacenamiento o Colaborador con
privilegios de archivos de almacenamiento llama a la API de FilesREST Data
mediante OAuth, el usuario, el grupo o la entidad de servicio tendrán:
Lector con privilegios de datos de archivo de almacenamiento: Acceso de lectura
completo en todos los datos de los recursos compartidos para todas las cuentas
de almacenamiento configuradas, independientemente de los permisos NTFS de
nivel de archivo o directorio establecidos.
Colaborador con privilegios de datos de archivo de almacenamiento: Acceso de
lectura, escritura, eliminación y modificación de ACL completo en todos los datos
de los recursos compartidos para todas las cuentas de almacenamiento
configuradas, independientemente de los permisos NTFS de nivel de archivo o
directorio establecidos.
Con estos permisos y roles especiales, el sistema omitirá los permisos de nivel de
archivo o directorio y permitirá el acceso a los datos del recurso compartido de
archivos.
Con los nuevos roles y acciones de datos, esta característica proporcionará privilegios para
toda la cuenta de almacenamiento, que reemplazan todos los permisos en los archivos y
carpetas de todos los recursos compartidos de los archivos de la cuenta de
almacenamiento. Sin embargo, los nuevos roles solo contienen permisos para acceder a los
servicios de datos. No incluyen ningún permiso para acceder a los servicios de
administración de recursos compartidos de archivos (acciones en recursos compartidos de
archivos). Para usar esta característica, asegúrese de que tiene permisos para acceder a:
la cuenta de almacenamiento
servicios de administración de recursos compartidos de archivos
servicios de datos (los datos del recurso compartido de archivos)
Hay muchos roles integrados que proporcionan acceso a los servicios de administración.
También puede crear roles personalizados con los permisos apropiados. Para más
información sobre el control de acceso basado en roles, consulte Azure RBAC. Para más
información sobre cómo se definen los roles integrados, consulte Descripción de
definiciones de roles.
) Importante
Los casos de uso con caracteres comodín definidos para la ruta de acceso
Microsoft.Storage/storageAccounts/fileServices/* o el ámbito superior heredarán
Una ventaja de la biblioteca cliente de Azure Identity es que permite usar el mismo código
para adquirir el token de acceso tanto si la aplicación se ejecuta en el entorno de
desarrollo como en Azure. La biblioteca cliente de Azure Identity devuelve un token de
acceso para una entidad de seguridad. Cuando el código se ejecuta en Azure, la entidad de
seguridad puede ser una identidad administrada para recursos de Azure, una entidad de
servicio, un usuario o un grupo. En el entorno de desarrollo, la biblioteca cliente
proporciona un token de acceso para un usuario o una entidad de servicio con fines de
prueba.
El token de acceso devuelto por la biblioteca cliente de Azure Identity se encapsula en una
credencial de token. A continuación, puede usar la credencial de token para obtener un
objeto de cliente de servicio que se usará para realizar operaciones autorizadas en el
servicio de Azure Files.
ASP.NET (C#)
using Azure.Core;
using Azure.Identity;
using Azure.Storage.Files.Shares;
using Azure.Storage.Files.Shares.Models;
namespace FilesOAuthSample
{
internal class Program
{
static async Task Main(string[] args)
{
string tenantId = "";
string appId = "";
string appSecret = "";
string aadEndpoint = "";
string accountUri = "";
string connectionString = "";
string shareName = "testShare";
string directoryName = "testDirectory";
string fileName = "testFile";
ShareClient sharedKeyShareClient = new
ShareClient(connectionString, shareName);
await sharedKeyShareClient.CreateIfNotExistsAsync();
clientOptions.ShareTokenIntent = ShareTokenIntent.Backup;
ShareServiceClient shareServiceClient = new ShareServiceClient(
new Uri(accountUri),
tokenCredential,
clientOptions);
ShareClient shareClient =
shareServiceClient.GetShareClient(shareName);
ShareDirectoryClient directoryClient =
shareClient.GetDirectoryClient(directoryName);
await directoryClient.CreateAsync();
ShareFileClient fileClient =
directoryClient.GetFileClient(fileName);
await fileClient.CreateAsync(maxSize: 1024);
await fileClient.GetPropertiesAsync();
await sharedKeyShareClient.DeleteIfExistsAsync();
}
}
}
Azure Portal puede usar la cuenta de Microsoft Entra o las claves de acceso de
cuenta de almacenamiento para acceder a los datos de archivos de una cuenta de
almacenamiento de Azure. El esquema de autorización que use Azure Portal depende
de los roles de Azure que tenga asignados.
Para acceder a datos de archivos desde Azure Portal con la cuenta de Microsoft Entra,
necesita permisos para acceder a datos de archivos y, también, permisos para
examinar los recursos de la cuenta de almacenamiento en Azure Portal. Los roles
integrados que proporciona Azure conceden acceso a recursos de archivos, pero no
conceden permisos a los recursos de la cuenta de almacenamiento. Por este motivo, el
acceso al portal también requiere la asignación de un rol de Azure Resource Manager
(ARM), como el rol Lector, con ámbito limitado al nivel de la cuenta de
almacenamiento o superior. El rol Lector concede los permisos más restringidos, pero
otro rol de ARM que conceda acceso a los recursos de administración de la cuenta de
almacenamiento también es aceptable.
Consulte también
Elegir cómo autorizar el acceso a los datos de archivo en Azure Portal
Descripción de la facturación de Azure
Files
Artículo • 09/04/2023
Azure Files proporciona dos modelos de facturación distintos: aprovisionado y pago por
uso. El modelo aprovisionado solo está disponible para los recursos compartidos de
archivos prémium, que son recursos compartidos de archivos implementados en el tipo
de cuenta de almacenamiento FileStorage. El modelo de pago por uso solo está
disponible para los recursos compartidos de archivos estándar, que son recursos
compartidos de archivos implementados en el tipo de cuenta de almacenamiento de
uso general, versión 2 (GPv2) . En este artículo se explica cómo funcionan ambos
modelos con el fin de ayudarle a entender la factura mensual de Azure Files.
Este vídeo es una entrevista donde se describen los conceptos básicos del modelo de
facturación de Azure Files. Se abordan la optimización de los recursos compartidos de
archivos de Azure para lograr los costos más bajos posibles y la comparación de
Azure Files con otras ofertas de almacenamiento de archivos en el entorno local y en la
nube.
Para obtener información sobre los precios de Azure Files, vea la página de precios de
Azure Files .
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Tipo de recurso compartido de archivos SMB NFS
Unidades de almacenamiento
Azure Files usa unidades de medida de base 2 para representar la capacidad de
almacenamiento: KiB, MiB, GiB y TiB.
¿Hay algún método para optimizar los costos de almacenamiento? Puede usar
reservas de Azure Files para lograr un descuento de hasta un 36 % en el
almacenamiento. Otras soluciones pueden emplear estrategias como la
desduplicación o compresión para optimizar de manera opcional la eficacia del
almacenamiento. Sin embargo, estas estrategias de optimización del
almacenamiento suelen tener costos no monetarios, como una reducción del
rendimiento. Las reservas no tienen efectos secundarios en el rendimiento.
¿Qué tiene que administrar? Con Azure Files, la unidad básica de administración
es una cuenta de almacenamiento. Otras soluciones pueden requerir
administración adicional, como actualizaciones del sistema operativo o
administración de recursos virtuales (máquinas virtuales, discos, direcciones IP de
red, etc.).
¿Cuáles son los costos de los productos de valor añadido, como la copia de
seguridad, la seguridad, etc.? Azure Files admite integraciones con varios servicios
de valor añadido propios y de terceros. Servicios de valor añadido como Azure
Backup, Azure File Sync y Azure Defender, que proporcionan copia de seguridad,
replicación y almacenamiento en caché, y funcionalidad de seguridad adicional
para Azure Files. Las soluciones de valor añadido, ya sean locales o en la nube,
tienen sus propios costos de licencias y de producto, pero a menudo se consideran
parte del costo total de propiedad para el almacenamiento de archivos.
Reservations
Azure Files admite reservas (también conocidas como instancias reservadas), lo que le
permite lograr un descuento en el almacenamiento mediante la confirmación previa del
uso del almacenamiento. Debe considerar la posibilidad de comprar instancias
reservadas para cualquier carga de trabajo de producción o cargas de trabajo de
desarrollo y pruebas con superficies coherentes. Al comprar una reserva, debe
especificar las siguientes dimensiones:
Tamaño de capacidad: las reservas pueden ser de 10 TiB o 100 TiB, con descuentos
más significativos por la compra de una reserva de capacidad mayor. Puede
comprar varias reservas, incluso reservas de diferentes tamaños de capacidad para
satisfacer los requisitos de la carga de trabajo. Por ejemplo, si la implementación
de producción tiene 120 TiB de recursos compartidos de archivos, podría comprar
una reserva de 100 TiB y dos reservas de 10 TiB para satisfacer los requisitos
totales de capacidad de almacenamiento.
Período: las reservas se pueden comprar durante un período de un año o tres
años, con descuentos más significativos por comprar un período de reserva más
largo.
Nivel: el nivel de Azure Files para la reserva. Las reservas están disponibles
actualmente para los niveles de acceso prémium, frecuente y esporádico.
Ubicación: la región de Azure para la reserva. Las reservas están disponibles en un
subconjunto de regiones de Azure.
Redundancia: la redundancia de almacenamiento para la reserva. Las reservas se
admiten para todas los redundancias que admite Azure Files, como LRS, ZRS, GRS
y GZRS.
Frecuencia de facturación: indica la frecuencia con la que se factura la cuenta para
la reserva. Entre las opciones se incluyen Mensual o Por adelantado.
Una vez que compre una reserva, el uso de almacenamiento existente la consumirá
automáticamente. Si usa más espacio de almacenamiento del que ha reservado, pagará
el precio de venta del saldo que no esté cubierto por la reserva. Los cargos por
transacción, ancho de banda, transferencia de datos y almacenamiento de metadatos no
se incluyen en la reserva.
Para más información sobre cómo comprar reservas, consulte Optimización de costos
para Azure Files con las reservas.
Modelo aprovisionado
Azure Files usa un modelo aprovisionado para los recursos compartidos de archivos
prémium. En un modelo de facturación aprovisionado, debe especificar de forma
proactiva cuáles son los requisitos de almacenamiento del servicio Azure Files, en lugar
de que se le aplique una factura basada en lo que usa. Un modelo aprovisionado para el
almacenamiento es similar a comprar una solución de almacenamiento local porque, al
aprovisionar un recurso compartido de archivos de Azure con una determinada cantidad
de capacidad de almacenamiento, se paga por esa capacidad de almacenamiento
independientemente de si la usa o no. A diferencia de la compra de soportes físicos
locales, los recursos compartidos de archivos aprovisionados se pueden escalar o
reducir verticalmente de forma dinámica en función de las características de
rendimiento de almacenamiento y de E/S.
Es posible reducir el tamaño del recurso compartido aprovisionado por debajo de los
GiB usados. Si lo hace, no perderá datos, pero se le seguirá facturando el tamaño usado
y seguirá recibiendo el rendimiento del recurso compartido aprovisionado, no del
tamaño usado.
Método de aprovisionamiento
Al aprovisionar un recurso compartido de archivos prémium, se especifica la cantidad de
GiB que requiere la carga de trabajo. Cada GiB aprovisionado permite beneficiarse de
más IOPS y rendimiento con una proporción fija. Además de la IOPS de línea de base
garantizada, cada recurso compartido de archivos prémium admite ráfagas dentro de lo
posible. Las fórmulas de IOPS y rendimiento son las siguientes:
Elemento Value
En la tabla siguiente se ilustran algunos ejemplos de estas fórmulas para los tamaños de
recursos compartidos aprovisionados:
Creación de ráfagas
Si la carga de trabajo necesita un rendimiento adicional para satisfacer los picos de
demanda, el recurso compartido puede usar créditos de expansión para superar el límite
de IOPS de línea base del recurso compartido, con el fin de proporcionar al recurso
compartido el rendimiento que necesita para satisfacer la demanda. La creación de
ráfagas está automatizada y funciona de acuerdo con un sistema de crédito. La
expansión funciona en la medida de lo posible y el límite de expansión no es una
garantía.
Cada vez que el tráfico para el recurso compartido de archivos se encuentra por debajo
del valor de IOPS de la línea de base, se acumulan créditos en un cubo de ráfagas. Los
créditos obtenidos se usan más adelante para habilitar la expansión cuando las
operaciones superarían la IOPS de línea base.
Cada vez que un recurso compartido supera el valor de IOPS de línea base y tiene
créditos en un cubo de expansión, este aumentará hasta alcanzar la velocidad máxima
permitida. Los recursos compartidos pueden seguir con la expansión siempre y cuando
queden créditos, pero esto se basa en el número de créditos de expansión acumulados.
Cada E/S que supere el valor de IOPS de línea base consume un crédito y, una vez que
se consumen todos los créditos, el recurso compartido volvería al valor de IOPS de la
línea base.
Los nuevos recursos compartidos de archivo empiezan con la cantidad total de créditos
del cubo de ráfagas. Los créditos de expansión no se acumularán si el valor de IOPS del
recurso compartido cae por debajo del valor de IOPS de la línea base debido a una
limitación por parte del servidor.
Si coloca una carga de trabajo a la que se accede con poca frecuencia en el nivel de
transacción optimizada, no pagará casi nada por las pocas horas del mes en que realiza
transacciones en el recurso compartido. Sin embargo, pagará una cantidad elevada por
los costos de almacenamiento de datos. Si tuviera que trasladar este mismo recurso
compartido al nivel de acceso esporádico, tampoco pagaría casi nada por los costos de
transacción, simplemente porque no realiza transacciones con mucha frecuencia en esta
carga de trabajo. Sin embargo, el nivel de acceso esporádico ofrece un precio de
almacenamiento de datos mucho más barato. La selección del nivel adecuado para su
caso de uso le permite reducir considerablemente los costos.
Del mismo modo, si coloca en el nivel de acceso esporádico una carga de trabajo a la
que accede con mucha frecuencia, incurrirá en muchos más costos por las
transacciones, pero pagará menos por el almacenamiento de datos. Esto puede derivar
en una situación en la que el aumento de los costos por los precios de las transacciones
sobrepasan el ahorro obtenido por el precio más reducido del almacenamiento de
datos, de tal forma que pagará más dinero en el nivel de acceso esporádico en
comparación con el de transacción optimizada. Para algunos niveles de uso, es posible
que el nivel de acceso frecuente sea el nivel más rentable y el nivel de acceso
esporádico sea más caro que el optimizado para transacciones.
Al leer o escribir en un archivo, la aplicación que se usa hace una serie de llamadas API a
la API del sistema de archivos proporcionada por el sistema operativo. Luego, el sistema
operativo interpreta estas llamadas en transacciones de protocolo SMB, que se envían a
través de la conexión a Azure Files para completar. Una tarea que el usuario final percibe
como una sola operación, por ejemplo, leer un archivo de principio a fin, se puede
traducir en varias transacciones SMB atendidas por Azure Files.
Como principio, el modelo de facturación de pago por uso que usan los recursos
compartidos de archivos estándar factura en función del uso. Las transacciones SMB y
FileREST hechas por las aplicaciones, scripts y otros programas usados por los usuarios
representan el uso del recurso compartido de archivos y se muestran como parte de la
factura. El mismo concepto se aplica a los servicios en la nube de valor añadido que
puede agregar a su recurso compartido, como Azure File Sync o Azure Backup. Las
transacciones se agrupan en cinco categorías diferentes que tienen precios diferentes
en función de su impacto en el recurso compartido de archivos de Azure. Estas
categorías son: escritura, enumeración, lectura, otros y eliminación.
7 Nota
NFS 4.1 solo está disponible para los recursos compartidos de archivos premium,
que usan el modelo de facturación aprovisionado. Las transacciones no afectan a la
facturación de los recursos compartidos de archivos prémium.
Cambio entre niveles estándar
Aunque puede cambiar un recurso compartido de archivos estándar entre los tres
niveles de recursos compartidos de archivos estándar, el procedimiento recomendado
para optimizar los costos después de la migración inicial es la elección del nivel óptimo
más rentable en el que estar y permanecer allí a menos que cambie el patrón de acceso.
Esto se debe a que el cambio del nivel de un recurso compartido de archivos estándar
da como resultado costos adicionales de la siguiente manera:
En la tabla siguiente se muestra el desglose de costos de los niveles que se van a mover:
Aunque no hay ningún mecanismo directo para moverse entre recursos compartidos de
archivos premium y estándar, porque están contenidos en diferentes tipos de cuenta de
almacenamiento, puede usar una herramienta de copia como Robocopy para moverse
entre recursos compartidos de archivos premium y estándar.
Elección de un nivel
Independientemente de cómo migre los datos existentes a Azure Files, se recomienda
crear inicialmente el recurso compartido de archivos en el nivel optimizado para
transacciones debido al gran número de transacciones en las que se incurre durante la
migración. Luego de completada la migración y de haber trabajado durante unos días o
semanas con un uso normal, puede conectar los recuentos de transacciones a la
calculadora de precios para averiguar qué nivel es más adecuado para la carga de
trabajo.
Dado que los recursos compartidos de archivos estándar solo muestran la información
de transacciones en el nivel de cuenta de almacenamiento, el uso de métricas de
almacenamiento para calcular qué nivel es más barato en el nivel de recurso compartido
de archivos es una ciencia imperfecta. Si es posible, se recomienda implementar solo un
recurso compartido de archivos en cada cuenta de almacenamiento para garantizar una
visibilidad completa de la facturación.
7 Nota
Asegúrese de ver las transacciones durante un período de tiempo para obtener una
mejor idea del número medio de transacciones. Asegúrese de que el período de
tiempo elegido no se superponga con el aprovisionamiento inicial. Multiplique el
número medio de transacciones durante este período de tiempo para obtener las
transacciones estimadas durante todo un mes.
Tamaño físico: el tamaño físico del archivo está relacionado con el tamaño del
archivo como codificado en el disco. Esto puede alinearse con el tamaño lógico del
archivo, o puede ser menor, en función de cómo haya escrito el archivo el sistema
operativo. Un motivo común para que el tamaño lógico y el tamaño físico sean
diferentes se encuentra en el uso de archivos dispersos. El tamaño físico de los
archivos del recurso compartido se usa para la facturación de instantáneas, aunque
los intervalos asignados se compartan entre instantáneas si no cambian
(almacenamiento diferencial). Para más información sobre cómo se facturan las
instantáneas en Azure Files, consulte Instantáneas.
Instantáneas
Azure Files admite instantáneas, que son similares a las instantáneas de volumen (VSS)
en el servidor de archivos Windows. Las instantáneas siempre son diferenciales del
recurso compartido activo y entre sí, lo que significa que siempre paga solo por lo que
es diferente en cada instantánea. Para más información sobre las instantáneas de
recursos compartidos, consulte Información general de las instantáneas de recurso
compartido de Azure Files.
Las instantáneas no cuentan para los límites de tamaño del recurso compartido de
archivos, aunque está limitado a un número específico de instantáneas. Para ver los
límites actuales de instantáneas, consulte Objetivos de escala de recursos compartidos
de archivos de Azure.
Las instantáneas siempre se facturan en función del uso diferencial del almacenamiento
de cada instantánea; sin embargo, esto tiene un aspecto ligeramente diferente entre los
recursos compartidos de archivos premium y los recursos compartidos de archivos
estándar:
Costos de licencias del servicio de valor añadido. Estos pueden tener la forma de
un costo fijo por cliente, usuario final (a veces llamado "costo principal"), recurso
compartido de archivos o cuenta de almacenamiento de Azure. También pueden
basarse en unidades de uso del almacenamiento, como un costo fijo para cada
fragmento de datos de 500 GiB en el recurso compartido de archivos.
Costos de Azure Files por usar un servicio de valor añadido. Azure Files no cobra
directamente a los clientes los costos por agregar servicios de valor añadido, pero
como parte de agregar valor al recurso compartido de archivos de Azure, el
servicio de valor añadido podría aumentar los costos que ve en el recurso
compartido de archivos de Azure. Esto es fácil de ver con los recursos compartidos
de archivos estándar, ya que los recursos compartidos de archivos estándar tienen
un modelo de pago por uso con cargos por transacciones. Si el servicio de valor
añadido realiza transacciones en el recurso compartido de archivos en su nombre,
se mostrarán en la factura de transacciones de Azure Files aunque no haya hecho
directamente esas transacciones usted mismo. Esto también se aplica a los
recursos compartidos de archivos premium, aunque puede ser menos notable. Las
transacciones adicionales en los recursos compartidos de archivos prémium de los
servicios de valor añadido cuentan para las cifras de IOPS aprovisionadas, lo que
significa que los servicios de valor añadido pueden requerir el aprovisionamiento
de más almacenamiento para tener suficientes IOPS o rendimiento disponibles
para la carga de trabajo.
Al calcular el costo total de propiedad del recurso compartido de archivos, debe tener
en cuenta los costos de Azure Files y de todos los servicios de valor añadido que le
gustaría usar con Azure Files.
Hay varios servicios de valor añadido propios y de terceros. En este documento, se trata
un subconjunto de los servicios propios comunes que usan los clientes con los recursos
compartidos de archivos de Azure. Para obtener información sobre los servicios que no
aparecen aquí, consulte la página de precios de ese servicio.
Al considerar el costo total de propiedad de una solución implementada con Azure File
Sync, debe tener en cuenta los siguientes aspectos de costos:
Costos de Azure Files. Como Azure File Sync es una solución de sincronización
para Azure Files, hará que consuma recursos de Azure Files. Algunos de estos
recursos, como el consumo de almacenamiento, son relativamente obvios,
mientras que otros, como el uso de transacciones y instantáneas, pueden no serlo.
Para la mayoría de los clientes, recomendamos utilizar recursos compartidos de
archivos estándar con Azure File Sync, aunque Azure File Sync es totalmente
compatible con los recursos compartidos de archivos premium si se desea.
Uso del almacenamiento. Azure File Sync replicará los cambios que haya hecho
en la ruta de acceso del servidor de archivos Windows que especificó en el
punto de conexión de servidor al recurso compartido de archivos de Azure, lo
que hace que se consuma almacenamiento. En los recursos compartidos de
archivos estándar, esto significa que agregar archivos o aumentar el tamaño de
los existentes en los puntos de conexión de servidor hará que aumenten los
costos de almacenamiento, ya que se replicarán los cambios. En el caso de los
recursos compartidos de archivos premium, los cambios consumirán espacio
aprovisionado. Es su responsabilidad aumentar periódicamente el
aprovisionamiento según sea necesario para tener en cuenta el crecimiento del
recurso compartido de archivos.
Sugerencia
Para optimizar los costos de Azure Files con Azure File Sync, debe tener en cuenta el
nivel del recurso compartido de archivos. Para más información sobre cómo elegir el
nivel de cada recurso compartido de archivos, consulte Elección de un nivel.
Si va a migrar a Azure File Sync desde StorSimple, consulte Comparación de los costos
de StorSimple con Azure File Sync.
Azure Backup
Azure Backup proporciona una solución de copia de seguridad sin servidor para Azure
Files que se integra a la perfección con los recursos compartidos de archivos, así como
con otros servicios de valor añadido, como Azure File Sync. Azure Backup para Azure
Files es una solución de copia de seguridad basada en instantáneas que ofrece un
mecanismo de programación para hacer instantáneas automáticamente según una
programación definida por el administrador. También brinda una interfaz fácil de usar
para restaurar archivos o carpetas eliminados o todo el recurso compartido a un
momento dado. Para más información sobre Azure Backup para Azure Files, consulte
Acerca de la copia de seguridad de recursos compartidos de archivos de Azure.
Al considerar los costos de usar Azure Backup para hacer copias de seguridad de los
recursos compartidos de archivos de Azure, tenga en cuenta lo siguiente:
Costos de Azure Files. Azure Backup aumenta los costos de Azure Files de las
siguientes maneras:
Consulte también
Página de precios de Azure Files
Planeamiento de una implementación de Azure Files y Planeamiento de una
implementación de Azure File Sync
Creación de un recurso compartido de archivos e Implementación de Azure File
Sync
Reemplace o amplíe los servidores de
archivos de Windows por Azure Files y
Azure File Sync
Artículo • 22/03/2023
En este artículo se explica cómo puede usar Azure Files y Azure File Sync para
reemplazar o ampliar los servidores de archivos de Windows locales para reducir el
costo total de propiedad (TCO), aumentar la flexibilidad y simplificar la protección de
datos y el control de acceso. Azure Files tiene sus orígenes en el rol de servidor de
archivos de Windows, lo que lo convierte en una excelente opción al migrar servidores
de archivos de Windows a la nube.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Para lograr un mejor uso del almacenamiento, no tenga que aprovisionar por
encima de la capacidad del recurso compartido de archivos. Con Azure Files,
puede cambiar rápidamente el tamaño del recurso compartido sin tiempo de
inactividad.
Elija entre varios niveles de almacenamiento, desde SSD de baja latencia premium
hasta almacenamiento esporádico rentable, lo que le permite elegir el nivel que
mejor se adapte a la carga de trabajo.
Para más información sobre cómo se facturan los recursos compartidos de archivos de
Azure y cómo puede reducir el TCO, consulte Descripción de la facturación de Azure
Files.
Al migrar a Azure Files, ninguno de los vínculos de ruta de acceso de archivo debe
interrumpirse. Puede usar espacios de nombres DFS y redirigir a los usuarios a Azure
Files. Si va a extender un servidor de archivos de Windows existente a Azure mediante
Azure File Sync, los usuarios seguirán accediendo a sus archivos mediante las mismas
rutas de acceso de archivo.
El control de acceso funciona igual que los servidores de archivos de Windows. Puede
usar la autenticación basada en identidades e integrar recursos compartidos de archivos
de Azure SMB con el entorno de Active Directory local o Azure AD, y controlar el acceso
de nivel de recurso compartido y de directorio/archivo, así como privilegios de
administrador.
Consulte también
Migración a Azure Files
Consideraciones de redes para Azure Files
Cifrado de Azure Storage para datos en
reposo
Artículo • 25/03/2023
Azure Storage usa el cifrado del servicio (SSE) para cifrar automáticamente los datos
cuando se guardan en la nube. El cifrado de Azure Storage protege los datos y le ayuda
a satisfacer los requisitos de cumplimiento normativo y seguridad de la organización.
Microsoft recomienda usar el cifrado del servicio para proteger los datos en la mayoría
de los escenarios. Sin embargo, las bibliotecas cliente de Azure Storage para Blob
Storage y Queue Storage también proporcionan cifrado de cliente para los clientes que
necesitan cifrar los datos en el cliente. Para obtener más información, consulte la sección
sobre el cifrado de cliente para blobs y colas.
El cifrado de Azure Storage está habilitado para todas las cuentas de almacenamiento,
incluidas las cuentas de almacenamiento clásicas y las de Resource Manager. El cifrado
de Azure Storage no se puede deshabilitar. Como los datos están protegidos de forma
predeterminada, no es necesario modificar el código o las aplicaciones para aprovechar
el cifrado de Azure Storage.
Puede especificar una clave administrada por el cliente que se usará para cifrar y
descifrar datos en Blob Storage y en Azure Files.1,2 Las claves administradas por el
cliente se deben almacenar en Azure Key Vault o en el modelo de seguridad de
hardware (HSM) administrado de Azure Key Vault. Para más información sobre las
claves administradas por el cliente, consulte Uso de claves administradas por el
cliente para el cifrado de Azure Storage.
Puede especificar una clave proporcionada por el cliente en las operaciones de Blob
Storage. Un cliente que realiza una solicitud de lectura o escritura en Blob Storage
puede incluir una clave de cifrado en la solicitud para tener un control detallado
sobre el cifrado y el descifrado de los datos de blob. Para más información sobre
las claves proporcionadas por el cliente, consulte Especificación de una clave de
cifrado en una solicitud a Blob Storage.
De forma predeterminada, una cuenta de almacenamiento está cifrada con una clave
cuyo ámbito es toda la cuenta de almacenamiento. Los ámbitos de cifrado permiten
administrar el cifrado con una clave cuyo ámbito es un contenedor o un blob individual.
Se pueden usar ámbitos de cifrado para crear límites seguros entre los datos que
residen en la misma cuenta de almacenamiento, pero que pertenecen a clientes
distintos. Los ámbitos de cifrado pueden usar claves administradas por Microsoft o
claves administradas por el cliente. Para obtener más información sobre los ámbitos de
cifrado, vea Ámbitos de cifrado para Blob Storage.
1
Para obtener información sobre cómo crear una cuenta que admita el uso de claves
administradas por el cliente con Queue Storage, consulte Creación de una cuenta que
admita las claves administradas por el cliente para colas.
2
Para obtener información sobre cómo crear una cuenta que admita el uso de claves
administradas por el cliente con Table Storage, consulte Creación de una cuenta que
admita las claves administradas por el cliente para tablas.
7 Nota
Las claves administradas por Microsoft se rotan correctamente según los requisitos
de cumplimiento. Si tiene requisitos específicos de rotación de claves, Microsoft
recomienda que se cambie a las claves administradas por el cliente para que pueda
administrar y auditar la rotación usted mismo.
Para más información sobre cómo crear una cuenta de almacenamiento que habilite el
cifrado de infraestructura, consulte Creación de una cuenta de almacenamiento con el
cifrado de infraestructura habilitado para poder realizar el cifrado doble de datos.
7 Nota
Las bibliotecas cliente de Blob Storage y Queue Storage usan AES para cifrar los datos
del usuario. Hay dos versiones del cifrado de cliente disponibles en las bibliotecas
cliente:
La versión 2 usa el modo Galois/contador (GCM) con AES. Los SDK de Blob
Storage y Queue Storage admiten el cifrado del lado cliente con v2.
La versión 1 usa el modo Cipher Block Chaining (CBC) con AES. Los SDK de Blob
Storage, Queue Storage y Table Storage admiten el cifrado del lado cliente con v1.
2 Advertencia
El SDK de Azure Table Storage solo admite la versión 1 del cifrado de cliente. No se
recomienda usar el cifrado de cliente con Table Storage.
En la tabla siguiente se muestra qué bibliotecas cliente admiten qué versiones del
cifrado de cliente y se proporcionan instrucciones para migrar a la versión 2 del cifrado
de cliente.
Biblioteca cliente de 1.0 (no se Actualice la aplicación para que use Cifrado de
Blob Storage para .NET recomienda) una versión del SDK de Blob cliente para
(versión 12.12.0 y Storage que admita la versión 2 del blobs
anteriores), Java (versión cifrado de cliente. Consulte la
12.17.0 y anteriores) y sección sobre la matriz de
Python (versión 12.12.0 compatibilidad del SDK para el
y anteriores) cifrado de cliente para obtener
detalles.
Biblioteca cliente de 1.0 (no se Actualice la aplicación para usar una Cifrado de
Queue Storage para recomienda) versión de la versión del SDK de cliente para
.NET (versión 12.10.0 y Queue Storage que admita la colas
anteriores) y Python versión 2 del cifrado de cliente.
(versión 12.3.0 y Consulte la sección sobre la matriz
anteriores) de compatibilidad del SDK para el
cifrado de cliente
Pasos siguientes
¿Qué es Azure Key Vault?
Claves administradas por el cliente para el cifrado de Azure Storage
Ámbitos de cifrado para Blob Storage
Especificación de una clave de cifrado en una solicitud a Blob Storage
Claves administradas por el cliente para
el cifrado de Azure Storage
Artículo • 11/05/2023
Puede usar su propia clave de cifrado para proteger los datos de la cuenta de
almacenamiento. Cuando se especifica una clave administrada por el cliente, esa clave
se usa para proteger y controlar el acceso a la clave que cifra los datos. Las claves
administradas por el cliente ofrecen más flexibilidad para administrar controles de
acceso.
Debe usar uno de los siguientes almacenes de claves de Azure para almacenar las claves
administradas por el cliente:
7 Nota
Azure Key Vault y HSM administrado por Azure Key Vault admiten las mismas API e
interfaces de administración para la configuración de claves administradas por el
cliente. Cualquier acción que se admita para Azure Key Vault también se admite
para HSM administrado por Azure Key Vault.
1. Un administrador de Azure Key Vault concede permisos para las claves de cifrado a
una identidad administrada. La identidad administrada puede ser una identidad
administrada asignada por el usuario que haya creado y administrado, o bien una
identidad administrada asignada por el sistema asociada a la cuenta de
almacenamiento.
2. Un administrador de Azure Storage configura el cifrado con una clave
administrada por el cliente para la cuenta de almacenamiento.
3. Azure Storage usa la identidad administrada a la que el administrador de Azure
Key Vault concedió permisos en el paso 1 para autenticar el acceso a Azure
Key Vault a través de Azure AD.
4. Azure Storage encapsula la clave de cifrado de la cuenta con la clave administrada
por el cliente en Azure Key Vault.
5. En operaciones de lectura y escritura, Azure Storage envía solicitudes a Azure Key
Vault para desencapsular la clave de cifrado de la cuenta con el fin de realizar
operaciones de cifrado y descifrado.
wrapkey
unwrapkey
get
Para obtener más información sobre los permisos de clave, consulte Tipos de claves,
algoritmos y operaciones.
Azure Policy proporciona una directiva integrada para requerir que las cuentas de
almacenamiento usen claves administradas por el cliente para cargas de trabajo de Blob
Storage y Azure Files. Para obtener más información, consulte la sección
Almacenamiento de las definiciones de directivas integradas de Azure Policy.
Claves administradas por el cliente para colas y
tablas
Los datos almacenados en Queue y Table Storage no se protegen automáticamente
mediante una clave administrada por el cliente cuando se habilitan las claves
administradas por el cliente para la cuenta de almacenamiento. Opcionalmente, puede
configurar estos servicios para que se incluyan en esta protección en el momento de
crear la cuenta de almacenamiento.
Para más información sobre cómo crear una cuenta de almacenamiento que admita el
uso de claves administradas por el cliente para colas y tablas, consulte Creación de una
cuenta que admita las claves administradas por el cliente para tablas y colas.
Los datos en Blob Storage y Azure Files siempre están protegidos por claves
administradas por el cliente cuando se han configurado las claves administradas por el
cliente para la cuenta de almacenamiento.
Puede cambiar entre las claves administradas por el cliente y las claves administradas
por Microsoft en cualquier momento. Para obtener más información sobre las claves
administradas por Microsoft, vea Información sobre la administración de claves de
cifrado.
Al habilitar las claves administradas por el cliente con un almacén de claves en el mismo
inquilino, debe especificar una identidad administrada que se usará para autorizar el
acceso al almacén de claves que contiene la clave. La identidad administrada puede ser
una identidad administrada asignada por el usuario o asignada por el sistema:
Para más información sobre las identidades administradas asignadas por el sistema en
comparación con las asignadas por el usuario, consulte Identidades administradas para
recursos de Azure. Para más información sobre cómo crear y administrar una identidad
administrada asignada por el usuario, consulte Administración de identidades
administradas asignadas por el usuario.
Para rotar una clave, cree una nueva versión de la clave en el almacén de claves o
HSM administrado, según los requisitos de cumplimiento. Azure Storage no
controla la rotación de claves, por lo que deberá administrar la rotación de la clave
en el almacén de claves.
Cuando rotas la clave que se usa para las claves administradas por el cliente, esa
acción no se registra actualmente en los registros de Azure Monitor para Azure
Storage.
Azure Storage comprueba solo una vez al día el almacén de claves para obtener una
nueva versión de la clave. Al girar una clave, asegúrese de esperar 24 horas antes de
deshabilitar la versión anterior.
Después de deshabilitar la clave, los clientes no pueden llamar a las operaciones que
leen o escriben en un recurso o en sus metadatos. Los intentos de llamar a estas
operaciones producirán un error con el código de error 403 (prohibido) para todos los
usuarios.
Para volver a llamar a estas operaciones, restaure el acceso a la clave administrada por el
cliente.
Todas las operaciones de datos que no aparecen en las siguientes secciones pueden
continuar después de que se hayan revocado las claves administradas por el cliente o se
haya deshabilitado o eliminado una clave.
Para revocar el acceso a las claves administradas por el cliente, use PowerShell o la CLI
de Azure.
Pasos siguientes
Cifrado de Azure Storage para datos en reposo
Configuración del cifrado con claves administradas por el cliente almacenadas en
Azure Key Vault
Configuración del cifrado con claves administradas por el cliente almacenadas en
HSM administrado de Azure Key Vault.
Ofertas de cumplimiento de Azure
Storage
Artículo • 30/04/2023
Pasos siguientes
Para más información sobre el cumplimiento de Azure, consulte la siguiente
información.
Cumplimiento de Azure
Azure y otras ofertas de cumplimiento de servicios de Microsoft
Preguntas más frecuentes (P+F) sobre
Azure Files
Artículo • 28/11/2023
Azure File Sync usa una estrategia simple de resolución de conflictos: conservamos
los cambios realizados en los archivos que se modifican en dos puntos de
conexión al mismo tiempo. El cambio de escritura más reciente mantiene el
nombre de archivo original. El archivo antiguo (según lo establecido por
LastWriteTime) tiene el nombre del punto de conexión y el número de conflicto
anexado al nombre de archivo. En el caso de los puntos de conexión de servidor, el
nombre del punto de conexión es el nombre del servidor. Para los puntos de
conexión de nube, el nombre del punto de conexión es Cloud. El nombre sigue
esta taxonomía:
<FileNameWithoutExtension>-<endpointName>[-#].<ext>
Tengo deshabilitada la nube por niveles, ¿por qué hay archivos por niveles en la
ubicación del punto de conexión de servidor?
Existen dos razones por las que pueden existir archivos por niveles en la ubicación
del punto de conexión de servidor:
¿Por qué los archivos en capas se encuentran fuera del espacio de nombres del
punto de conexión de servidor?
Antes de la versión 3 del agente de Azure File Sync, Azure File Sync bloqueaba el
movimiento de archivos en capas fuera del punto de conexión del servidor, pero
en el mismo volumen que el punto de conexión del servidor. Las operaciones de
copia, los movimientos de archivos sin niveles y los movimientos de archivos por
niveles a otros volúmenes no resultaban afectados. La razón de este
comportamiento era la presunción implícita que tienen el Explorador de archivos y
otras API de Windows de que las operaciones de movimiento en el mismo
volumen son operaciones de cambio de nombre (casi) instantáneas. Esto significa
que los movimientos que haga el Explorador de archivos u otros métodos de
movimiento (como la línea de comandos o PowerShell) parecen no responder
mientras Azure File Sync recupera los datos de la nube. A partir de la versión
3.0.12.0 del agente de Azure File Sync, Azure File Sync le permitirá mover un
archivo con capas fuera del punto de conexión del servidor. Evitamos los efectos
negativos que se mencionaron anteriormente permitiendo que el archivo con
capas exista como un archivo con capas fuera del punto de conexión del servidor
y, a continuación, recuperando el archivo en segundo plano. Esto significa que los
movimientos en el mismo volumen son instantáneos y nosotros nos ocupamos por
completo de recuperar el archivo en el disco una vez que el movimiento se ha
completado.
7 Nota
¿Mantiene Azure File Sync las listas ACL de NTFS a nivel de directorio/archivo
junto con los datos almacenados en Azure Files?
A partir del 24 de febrero de 2020, tanto las listas de control de acceso nuevas
como las existentes que Azure File Sync organiza en capas se conservarán en
formato NTFS y las modificaciones de ACL realizadas directamente en el recurso
compartido de archivos de Azure se sincronizarán con todos los servidores del
grupo de sincronización. Los cambios en las listas de control de acceso realizados
en recursos compartidos de archivos de Azure se sincronizarán a través de Azure
File Sync. Al copiar datos en Azure Files, asegúrese de usar una herramienta de
copia que admita la "fidelidad" necesaria para copiar los atributos, las marcas de
tiempo y las ACL en un recurso compartido de archivos de Azure, ya sea a través
de SMB o REST. Al usar las herramientas de copia de Azure, como AzCopy, es
importante usar la versión más reciente. Eche un vistazo a la tabla de herramientas
de copia de archivos para obtener información general sobre las herramientas de
copia de Azure, lo que le permitirá asegurarse de que pueda copiar todos los
metadatos importantes de un archivo.
Si ha habilitado Azure Backup en los recursos compartidos de archivos
administrados de Azure File Sync, las listas de control de acceso de los archivos se
pueden seguir restaurando como parte del flujo de trabajo de la restauración de la
copia de seguridad. Esto puede realizarse tanto en todo el recurso compartido o
en cada uno de los archivos o directorios.
Sí, este escenario ahora se admite tanto en los entornos de bosque único como en
los de varios bosques para recursos compartidos de archivos de Azure SMB. Sin
embargo, Azure Files solo admite la configuración de CNAME mediante el nombre
de la cuenta de almacenamiento como prefijo de dominio. Si no quiere usar el
nombre de la cuenta de almacenamiento como prefijo, considere la posibilidad de
usar espacios de nombres DFS.
La autenticación con AD DS local para Azure Files solo se integra con el bosque del
servicio de dominio en el que está registrada la cuenta de almacenamiento. Para
admitir la autenticación desde otro bosque, la confianza de bosque del entorno
debe estar configurada correctamente. Para obtener instrucciones detalladas,
consulte Uso de Azure Files con varios bosques de Active Directory.
7 Nota
¿Hay alguna diferencia entre la creación de una cuenta de equipo y una cuenta
de inicio de sesión de servicio para representar mi cuenta de almacenamiento en
AD?
Siga el proceso de dos pasos siguiente para quitar las credenciales guardadas
asociadas a la clave de cuenta de almacenamiento y quitar la conexión SMB:
cmdkey /delete:Domain:target=storage-account-name.file.core.windows.net
2. Elimine la conexión existente con el recurso compartido de archivos. Puede
especificar la ruta de acceso de montaje como la letra de unidad montada o
la ruta de acceso storage-account-name.file.core.windows.net .
PowerShell
Dentro de una región, puede usar herramientas estándar como scp, rsync o SSHFS
para mover los datos. Dado que se puede acceder a recursos compartidos de
archivos NFS de Azure desde varias instancias de proceso al mismo tiempo, se
pueden mejorar las velocidades de copia con cargas paralelas. Si desea traer datos
de fuera de una región, use una VPN o Expressroute para el montaje en el sistema
de archivos desde el centro de datos local.
1. https://www.ibm.com/docs/en/ibm-mq/9.2?topic=multiplatforms-
verifying-shared-file-system-behavior
2. https://www.ibm.com/docs/en/ibm-mq/9.2?topic=multiplatforms-
running-amqsfhac-test-message-integrity
Precios y facturación
¿Qué son las transacciones en Azure Files y cómo se facturan? Las transacciones
de protocolo se producen cada vez que un usuario, aplicación, script o servicio
interactúa con recursos compartidos de archivos de Azure (escritura, lectura,
enumeración, eliminación de archivos, etc.). Conviene recordar que, algunas
acciones que puede percibir como una sola operación, podrían implicar en
realidad varias transacciones. En el caso de los recursos compartidos de archivos
Estándar de Azure facturados en un modelo de pago por uso, los distintos tipos de
transacciones tienen precios diferentes en función de su impacto en el recurso
compartido de archivos. Las transacciones no afectan a la facturación de recursos
compartidos de archivos Premium, que se facturan mediante un modelo
aprovisionado. Para más información, consulte Descripción de la facturación.
Consulte también
Solucionar problemas de Azure Files
Solución de problemas de Azure File Sync
Novedades de Azure Files
Artículo • 13/10/2023
Novedades de 2023
Nota: el número de usuarios activos admitidos por recurso compartido depende de las
aplicaciones que acceden al recurso compartido. Si las aplicaciones no abren un
identificador en el directorio raíz, Azure Files puede admitir más de 10 000 usuarios
activos por recurso compartido.
Los clientes de Azure Files ahora pueden usar la autenticación Kerberos basada en
identidad para clientes Linux sobre SMB usando Servicios de dominio de Active
Directory (AD DS) locales o Servicios de dominio de Active Directory de Azure (Azure AD
DS). Para más información, consulte Habilitar la autenticación de Active Directory sobre
SMB para clientes Linux que acceden a Azure Files.
Nconnect es una opción de montaje de Linux del lado cliente que aumenta el
rendimiento a escala, ya que permite usar más conexiones TCP entre el cliente Linux y el
servicio Azure Premium Files para NFSv4.1. Con nconnect, puede aumentar el
rendimiento a escala mediante menos máquinas cliente para reducir el costo total de
propiedad. Para más información, consulte Mejora del rendimiento del recurso
compartido de archivos NFS de Azure.
Azure File Sync ahora es un servicio con redundancia de zona, lo que significa que una
interrupción en una zona tendrá un impacto limitado al tiempo que mejora la resistencia
del servicio para minimizar el impacto del cliente. Para aprovechar completamente esta
mejora, configure las cuentas de almacenamiento para que usen la replicación de
almacenamiento con redundancia de zona (ZRS) o de almacenamiento con redundancia
de zona geográfica (GZRS). Para más información sobre las distintas opciones de
redundancia de las cuentas de almacenamiento, consulte: Redundancia de Azure Files.
Nota: Azure File Sync tiene redundancia de zona en todas las regiones que admiten
zonas, excepto US Gov Virginia.
Los recursos compartidos de archivos Premium de Azure ahora tienen IOPS de línea
base incluidas adicionales y un número de IOPS de ráfaga mínima más alto. La IOPS de
línea base incluida con un recurso compartido aprovisionado se incrementó de 400 a
3000, lo que significa que se garantizan 3100 IOPS de línea base para un recurso
compartido de 100 GiB (el tamaño de recurso compartido mínimo). Además, el suelo
para IOPS de ráfaga se incrementó de 4000 a 10 000, lo que significa que cada recurso
compartido de archivos Premium podrá ampliarse hasta al menos 10 000 IOPS.
Cambios en la fórmula:
Cambios en la fórmula:
Salida: 60 + CEILING(0.06 *
ProvisionedGiB)
SMB 3.1.1 es la versión más reciente del protocolo SMB, publicada con Windows 10, que
contiene actualizaciones importantes de seguridad y rendimiento. Azure Files SMB 3.1.1
se suministra con dos modos de cifrado adicionales, AES-128-GCM y AES-256-GCM,
además de AES-128-CCM, que ya se admite. Para maximizar el rendimiento, AES-128-
GCM se negocia como la opción de cifrado de canal SMB predeterminada; AES-128-
CCM solo se negociará en clientes anteriores que no admitan AES-128-GCM.
Además de SMB 3.1.1, Azure Files expone la configuración de seguridad que cambia el
comportamiento del protocolo SMB. Con esta versión, puede configurar las versiones de
protocolo SMB permitidas, las opciones de cifrado del canal SMB, los métodos de
autenticación y las opciones de cifrado de vales de Kerberos. De manera
predeterminada, Azure Files habilita las opciones más compatibles, pero estas opciones
se pueden cambiar en cualquier momento.
Las API de administración de los recursos de Azure Files, el servicio de archivos y los
recursos compartidos de archivos están disponibles ahora a través del plano de control
(proveedor de recursos Microsoft.Storage ). Esto permite crear recursos compartidos de
archivos de Azure con una plantilla de Azure Resource Manager o Bicep, para que sean
totalmente administrables cuando el plano de datos (es decir, la API de FileREST) no
está accesible (como cuando el punto de conexión público de la cuenta de
almacenamiento está deshabilitado) y para admitir la semántica de control de acceso
basado en roles (RBAC) completa.
Se recomienda administrar Azure Files a través del plano de control en la mayoría de los
casos. Para admitir la administración del servicio de archivos y los recursos compartidos
de archivos a través del plano de control, Azure Portal, el módulo PowerShell de
Azure Storage y la CLI de Azure se han actualizado para admitir la mayoría de las
acciones de administración a través del plano de control.
Az.Storage PowerShell:
Los cmdlets de recurso compartido de archivos del plano de control llevan el
prefijo Rm , por ejemplo: New-AzRmStorageShare , Get-AzRmStorageShare , Update-
AzRmStorageShare y Remove-AzRmStorageShare .
Para obtener más información sobre la API de administración de Azure Files, consulte:
Consulte también
¿Qué es Azure Files?
Planeamiento de una implementación de Azure Files
Creación de un recurso compartido de archivos de Azure
Creación de un recurso compartido de
archivos SMB de Azure
Artículo • 21/10/2023
Para más información sobre estas tres opciones, consulte Planeamiento de una
implementación de Azure Files.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Requisitos previos
En este artículo, se da por supuesto que ya ha creado una suscripción a Azure. Si
todavía no tiene una suscripción, cree una cuenta gratuita antes de empezar.
Si planea usar Azure PowerShell, instale la versión más reciente.
Si planea usar la CLI de Azure, instale la versión más reciente.
Azure admite varios tipos de cuentas de almacenamiento para los distintos escenarios
de almacenamiento que pueden tener los clientes, pero hay dos tipos principales de
cuentas de almacenamiento para Azure Files. El tipo de cuenta de almacenamiento que
debe crear depende de si desea crear un recurso compartido de archivos estándar o un
recurso compartido de archivos prémium:
Portal
Aspectos básicos
La primera sección que se debe rellenar para crear una cuenta de almacenamiento
se denomina Datos básicos. Contiene todos los campos obligatorios para crear una
cuenta de almacenamiento. Para crear una cuenta de almacenamiento de GPv2,
asegúrese de que el botón de radio Rendimiento está establecido en Estándar y
que la lista desplegable Tipo de cuenta tiene seleccionada la opción StorageV2
(general purpose v2) StorageV2 (uso general V2).
Para crear una cuenta de almacenamiento de FileStorage, asegúrese de que el
botón de radio Rendimiento esté configurado en Prémium y Fileshares esté
seleccionado en la lista desplegable Tipo de cuenta prémium.
Redes
Protección de datos
La sección de protección de datos le permite configurar la directiva de eliminación
temporal para recursos compartidos de archivos de Azure en su cuenta de
almacenamiento. Otras opciones relacionadas con la eliminación temporal de blobs
y contenedores, la restauración a un momento dado de contenedores, el control de
versiones y la fuente de cambios solo se aplican a Azure Blob Storage.
Avanzadas
La sección Opciones avanzadas contiene varias opciones de configuración
importantes para los recursos compartidos de archivos de Azure:
) Importante
La selección del nivel de acceso del blob no afecta al nivel del recurso
compartido de archivos.
Etiquetas
Las etiquetas son pares nombre-valor que permiten categorizar los recursos y ver
una facturación consolidada mediante la aplicación de la misma etiqueta en varios
recursos y grupos de recursos. Son opcionales y se pueden aplicar después de la
creación de la cuenta de almacenamiento.
Revisar y crear
El paso final para crear la cuenta de almacenamiento es seleccionar el botón Crear
en la pestaña Revisar y crear. Este botón no estará disponible a menos que se
hayan rellenado todos los campos obligatorios para una cuenta de
almacenamiento.
Portal
1. Abra Azure Portal y navegue hasta la cuenta de almacenamiento donde
quiere habilitar los recursos compartidos de archivos grandes.
2. Seleccione Configuración en la sección Configuración.
3. Vaya a la configuración Recursos compartidos de archivos grandes en la
parte inferior de la página. Si se establece en Deshabilitado, cambie la
configuración a Habilitado.
4. Seleccione Guardar.
) Importante
Los recursos compartidos de archivos se pueden mover entre niveles dentro de los
tipos de cuenta de almacenamiento GPv2 (transacción optimizada, nivel de acceso
frecuente y nivel de acceso esporádico). Los movimientos de recursos compartidos
entre niveles incurren en transacciones: el traslado de un nivel de acceso frecuente
a un nivel de acceso esporádico incurrirá en el cargo de transacción de escritura del
nivel de acceso esporádico, mientras que si dicho traslado se realiza de un nivel
esporádico a un nivel frecuente, todos los archivos incurrirán en el cargo de
transacción de lectura del nivel de acceso esporádico.
Portal
Siga estas instrucciones para crear un nuevo recurso compartido de archivos de
Azure mediante Azure Portal.
7 Nota
El nombre del recurso compartido de archivos debe estar formado por letras
minúsculas, números y guiones únicos, y debe comenzar y terminar con un número
o una letra en minúscula. El nombre no puede contener dos guiones consecutivos.
Para obtener detalles completos sobre cómo asignar un nombre a los recursos
compartidos y los archivos, consulte Asignación de nombres y referencia a
recursos compartidos, directorios, archivos y metadatos.
Portal
Portal
Portal
Pasos siguientes
Planeamiento de una implementación de Azure Files o Planeamiento de una
implementación de Azure File Sync.
Consideraciones de redes para Azure Files.
Monte un recurso compartido de archivos SMB en Windows, macOS o Linux.
Tutorial: Creación de un recurso
compartido de archivos NFS de Azure y
montaje del mismo en una máquina
virtual Linux mediante Azure Portal
Artículo • 10/10/2023
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Introducción
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
5. En Reglas de puerto de entrada > Puertos de entrada públicos, elija Permitir los
puertos seleccionados y luego seleccione SSH (22) y HTTP (80) en la lista
desplegable.
) Importante
7. En la página Crear una máquina virtual verá los detalles de la máquina virtual que
va a crear. Anote el nombre de la red virtual. Cuando esté preparado, seleccione
Crear.
Verá un mensaje que indica que la implementación está en curso. Espere unos minutos
a que se complete la implementación.
6. En Redes, seleccione la red virtual asociada a la máquina virtual y deje la subred
predeterminada. En la sección Configuración de IP privada, seleccione Asignar
dirección IP de forma dinámica. Seleccione Next: DNS (Siguiente: DNS).
7. En Integrar con la zona DNS privada, seleccione Sí. Asegúrese de que están
seleccionados la suscripción y el grupo de recursos correctos y, después,
seleccione Siguiente: Etiquetas.
8. Opcionalmente, puede aplicar etiquetas para clasificar los recursos, como aplicar el
nombre Entorno y el valor Prueba a todos los recursos de prueba. Escriba pares
nombre-valor si quiere y, a continuación, seleccione Siguiente: Revisar y crear.
5. Cambie la opción Se requiere transferencia segura a Deshabilitado y seleccione
Guardar. El cambio puede tardar hasta 30 segundos en surtir efecto.
2. Seleccione la máquina virtual Linux que ha creado para este tutorial y asegúrese de
que su estado es En ejecución. Tome nota de la dirección IP pública de la máquina
virtual y cópiela en el portapapeles.
3. Si está en una máquina Mac o Linux, abra un símbolo del sistema de Bash. Si está
en una máquina Windows, abra un símbolo del sistema de PowerShell.
Consola
Si recibe una advertencia de que no se puede establecer la autenticidad del host, escriba
sí para continuar con la conexión a la máquina virtual. Deje abierta la conexión SSH para
el paso siguiente.
Sugerencia
Ahora la clave SSH que creó se puede usar la próxima vez que cree una máquina
virtual en Azure. Solo tiene que seleccionar la opción Usar la clave existente
almacenada en Azure en Origen de clave pública SSH la próxima vez que cree una
máquina virtual. Ya dispone de la clave privada en el equipo, por lo que no tendrá
que descargar nada.
) Importante
El script de montaje proporcionado montará el recurso compartido NFS solo
hasta que se reinicie la máquina Linux. Para montar automáticamente el
recurso compartido cada vez que se reinicia la máquina, consulte Montaje de
un recurso compartido NFS mediante /etc/fstab.
6. Mediante la conexión SSH que ha creado con la máquina virtual, escriba los
comandos de ejemplo para usar NFS y montar el recurso compartido de archivos.
Ahora ha montado el recurso compartido de archivos NFS y está listo para almacenar
archivos.
Limpieza de recursos
Cuando haya terminado, elimine el grupo de recursos. Al eliminar el grupo de recursos,
se elimina la cuenta de almacenamiento, el recurso compartido de archivos de Azure y
otros recursos que se implementaron en el grupo de recursos.
Pasos siguientes
Obtenga más información sobre el uso de recursos compartidos de archivos NFS
de Azure
.
Uso de Espacios de nombres DFS con
Azure Files
Artículo • 24/05/2023
Básicamente, Espacios de nombres DFS proporciona una asignación entre una ruta de
acceso UNC descriptiva, como \\contoso\shares\ProjectX , y la ruta de acceso UNC
subyacente del recurso compartido SMB, como \\Server01-Prod\ProjectX o
\\storageaccount.file.core.windows.net\projectx . Cuando el usuario final quiere
Ampliar un conjunto lógico de datos más allá de los umbrales de tamaño, E/S u
otras escalas. Esto es habitual cuando se trabaja con directorios de usuario, en los
que cada usuario obtiene su carpeta propia en un recurso compartido, o con los
recursos compartidos temporales, donde los usuarios obtienen un espacio
arbitrario para administrar las necesidades de datos temporales. Con Espacios de
nombres DFS, se unen varias carpetas en un espacio de nombres cohesionado. Por
ejemplo, \\contoso\shares\UserShares\user1 se asigna a
\\storageaccount.file.core.windows.net\user1 ,
\\contoso\shares\UserShares\user2 se asigna a
\\storageaccount.file.core.windows.net\user2 y así sucesivamente.
Puede ver un ejemplo de cómo usar Espacios de nombres DFS con su implementación
de Azure Files en el vídeo de introducción siguiente.
7 Nota
Vaya al minuto 10:10 del vídeo para ver cómo configurar Espacios de nombres DFS.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Requisitos
Para usar Espacios de nombres DFS con Azure Files y File Sync, debe tener los recursos
siguientes:
Portal
Para instalar el rol de servidor Espacios de nombres DFS, abra el Administrador del
servidor en el servidor. Seleccione Administrar y, a continuación, elija Agregar roles
y características. El asistente que aparece le guía a través del proceso de instalación
de los componentes de Windows necesarios para ejecutar y administrar los
espacios de nombres DFS.
La consolidación raíz solo se puede usar con los espacios de nombres independientes. Si
ya tiene un espacio de nombres basado en dominio para los recursos compartidos de
archivos, no es necesario crear un espacio de nombres consolidado raíz.
PowerShell
New-Item `
-Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs" `
-Type Registry `
-ErrorAction SilentlyContinue
New-Item `
-Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs\Parameters" `
-Type Registry `
-ErrorAction SilentlyContinue
New-Item `
-Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs\Parameters\Replicated"
`
-Type Registry `
-ErrorAction SilentlyContinue
Set-ItemProperty `
-Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs\Parameters\Replicated"
`
-Name "ServerConsolidationRetry" `
-Value 1
Portal
Haga clic con el botón derecho en la zona de búsqueda directa y seleccione Nuevo
alias (CNAME) . En el cuadro de diálogo que aparece, escriba el nombre corto del
servidor de archivos que va a reemplazar (el nombre de dominio completo se
rellenará de forma automática en el cuadro de texto con la etiqueta Nombre de
dominio completo). En el cuadro de texto con la etiqueta Nombre de dominio
completo (FQDN) para el host de destino, escriba el nombre del servidor DFS-N
que ha configurado. Si quiere, puede usar el botón Examinar para ayudarle a
seleccionar el servidor. Seleccione Aceptar a fin de crear el registro CNAME para el
servidor.
Creación de un espacio de nombres
La unidad básica de administración de Espacios de nombres DFS es el espacio de
nombres. La raíz del espacio de nombres, o el nombre, es el punto inicial de este, de
forma que en la ruta de acceso UNC \\contoso.com\Public\ , la raíz de espacio de
nombres es Public .
Si usa los espacios de nombres DFS para asumir un nombre de servidor existente con
consolidación raíz, el nombre del espacio de nombres debe ser el nombre del servidor
que quiere asumir, con el carácter # antepuesto. Por ejemplo, si quiere asumir un
servidor existente llamado MyServer , debe crear un espacio de nombres DFS-N
denominado #MyServer . La sección de PowerShell siguiente se encarga de anteponer # ,
pero si realiza las tareas de creación mediante la consola de Administración de DFS,
deberá anteponer según corresponda.
Portal
Considere que las carpetas de Espacios de nombres DFS son análogas a los recursos
compartidos de archivos.
Portal
En la consola de Administración de DFS, seleccione el espacio de nombres que
acaba de crear y elija Nueva carpeta. Aparece el cuadro de diálogo Nueva carpeta,
que le permite crear tanto la carpeta como sus destinos.
Ahora que ha creado un espacio de nombres, una carpeta y un destino de carpeta, debe
poder montar el recurso compartido de archivos en los espacios de nombres DFS. Si usa
un espacio de nombres basado en dominio, la ruta de acceso completa del recurso
compartido debe ser \\<domain-name>\<namespace>\<share> . Si usa un espacio de
nombres independiente, la ruta de acceso completa del recurso compartido debe ser \\
<DFS-server>\<namespace>\<share> . Si usa un espacio de nombres independiente con
consolidación raíz, puede acceder directamente a través del nombre del servidor
anterior, como \\<old-server>\<share> .
Por este motivo, ABE solo funcionará en los casos en los que el servidor DFS-N hospede
la lista de nombres de usuario antes del redireccionamiento:
Consulte también
Implementación de un recurso compartido de archivos de Azure: Planeamiento de
una implementación de Azure Files y Creación de un recurso compartido de
archivos de Azure.
Configuración del acceso a recursos compartidos de archivos: documentos sobre
autenticación basada en la identidad y consideraciones de red para el acceso
directo.
Espacios de nombres del Sistema de archivos distribuido de Windows Server
Creación de una FCI con un recurso
compartido de archivos Premium (SQL
Server en VM de Azure)
Artículo • 02/10/2023
Sugerencia
En este artículo se explica cómo crear una instancia de clúster de conmutación por error
(FCI) con SQL Server en Azure Virtual Machines (VM) con un recurso compartido de
archivos Premium.
Para obtener más información, consulte información general de FCI con SQL Server en
VM de Azure y procedimientos recomendados del clúster.
7 Nota
Ahora es posible migrar mediante lift and shift la solución de instancia de clúster
de conmutación por error a SQL Server en máquinas virtuales de Azure mediante
Azure Migrate. Consulte Migración de una instancia de clúster de conmutación
por error para más información.
Requisitos previos
Antes de completar las instrucciones de este artículo, ya debe tener:
Suscripción a Azure.
Una cuenta que tenga permisos para crear objetos en máquinas virtuales de Azure
y en Active Directory.
Dos o más máquinas virtuales de Azure para una FCI en un conjunto de
disponibilidad o en zonas de disponibilidad diferentes.
Un recurso compartido de archivos premium que se usará como unidad en clúster,
en función de la cuota de almacenamiento de la base de datos de los archivos de
datos.
La versión más reciente de PowerShell.
4. En la lista desplegable, seleccione la letra de unidad que quiere usar, elija Clave de
cuenta de almacenamiento como método de autenticación y, luego, copie el
bloque de código en un editor de texto, como el Bloc de notas.
5. Aplique el protocolo de escritorio remoto (RDP) para conectarse a la VM con
SQL Server con la cuenta que la FCI de SQL Server usará para la cuenta de
servicio.
\\sqlvmstorageaccount.file.core.windows.net\sqlpremiumfileshare
10. Repita estos pasos en cada VM con SQL Server que participará en el clúster.
) Importante
Considere la posibilidad de usar un recurso compartido de archivos independiente
para los archivos de copia de seguridad a fin de ahorrar la capacidad de
operaciones de entrada/salida por segundo (IOPS) y espacio de este recurso
compartido para usarla para el archivo de registro y de datos. Puede usar un
recurso compartido de archivos Premium o Estándar para los archivos de copia de
seguridad.
Configuración de un cuórum
El testigo en la nube es la solución de cuórum recomendada para este tipo de
configuración de clúster con SQL Server en máquinas virtuales de Azure.
Validar el clúster
Valide el clúster en una de las máquinas virtuales mediante la interfaz de usuario del
administrador de clústeres de conmutación por error o PowerShell.
Para validar el clúster con la interfaz de usuario, realice los pasos siguientes en una de
las máquinas virtuales:
8. Seleccione Siguiente.
Para validar el clúster con PowerShell, ejecute el siguiente script en una sesión de
PowerShell de administrador de una de las máquinas virtuales:
PowerShell
4. Localice los medios de instalación. Si la máquina virtual usa una de las imágenes
de Azure Marketplace, los medios se encuentran en C:\SQLServer_<version
number>_Full .
13. Seleccione Agregar nodo a clúster de conmutación por error de SQL Server. Siga
las instrucciones del asistente para instalar SQL Server y agregar el nodo a la
instancia de clúster de conmutación por error.
16. Repita estos pasos en cualquier otro nodo que desee agregar a la instancia de
clúster de conmutación por error de SQL Server.
7 Nota
Registre una VM con SQL Server con PowerShell ((-LicenseType puede ser PAYG o AHUB ):
PowerShell
Configuración de la conectividad
Si implementó las máquinas virtuales de SQL Server en varias subredes, omita este paso.
Si implementó las máquinas virtuales de SQL Server en una sola subred, debe configurar
un componente adicional para enrutar el tráfico a la instancia de clúster de conmutación
por error. Puede configurar un nombre de red virtual (VNN) con Azure Load Balancer o
un nombre de red distribuida para una instancia de clúster de conmutación por error.
Revise las diferencias entre los dos y, luego, implemente un nombre de red distribuida o
un nombre de red virtual y Azure Load Balancer para la instancia de clúster de
conmutación por error.
Limitaciones
No se admite el Coordinador de transacciones distribuidas de Microsoft (MSDTC)
en Windows Server 2016 y versiones anteriores.
FILESTREAM no se admite en los clústeres de conmutación por error con un
recurso compartido de archivos Premium. Para usar la secuencia de archivos,
implemente el clúster con Espacios de almacenamiento directo o discos
compartidos de Azure en su lugar.
Las FCI de SQL Server registradas con la extensión no admiten características que
requieran el agente, como la copia de seguridad automatizada, la aplicación de
revisiones y la administración avanzada del portal. Consulte la tabla de ventajas.
Las instantáneas de base de datos no se admiten actualmente en Azure Files
debido a las limitaciones de archivos dispersos.
Puesto que no se admiten instantáneas de base de datos, CHECKDB para bases de
datos de usuario vuelve a CHECKDB WITH TABLOCK. TABLOCK limita las
comprobaciones que se llevan a cabo; DBCC CHECKCATALOG no se ejecuta en la
base de datos y los datos de Service Broker no se validan.
No se admite DBCC CHECKDB en la base de datos master y msdb .
Las bases de datos que usan la característica OLTP en memoria no se admiten en
una instancia de clúster de conmutación por error implementada con un recurso
compartido de archivos prémium. Si su empresa requiere OLTP en memoria,
considere la posibilidad de implementar la instancia de clúster de conmutación por
error con discos compartidos de Azure o Espacios de almacenamiento directo.
Contenido relacionado
Creación de una FCI con discos compartidos de Azure (SQL Server en VM de
Azure)
Creación de una FCI con Espacios de almacenamiento directo (SQL Server en Azure
VM)
Clúster de conmutación por error de Windows Server con SQL Server en VM de
Azure
Instancias de clúster de conmutación por error con SQL Server en Azure Virtual
Machines
Información general de las instancias de clúster de conmutación por error
Procedimientos recomendados para la configuración de HADR (SQL Server en
Azure Virtual Machines)
Optimización de costos para Azure Files
con las reservas
Artículo • 01/06/2023
Las reservas de Azure Files pueden reducir considerablemente los costos de capacidad
por almacenar datos en los recursos compartidos de archivos de Azure. La cantidad que
ahorre dependerá de la duración de la reserva, de la capacidad total que elija reservar y
de la configuración de nivel y redundancia que haya elegido para los recursos
compartidos de archivos de Azure. Las reservas permiten un descuento en la facturación
y no afectan al estado de los recursos compartidos de Azure.
Para obtener información acerca de los precios de las reservas de Azure Files, consulte
Precios de Azure Files .
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Una reserva de Azure Files solo cubre la cantidad de datos que se almacenan en una
suscripción o un grupo de recursos compartidos. Los cargos por transacción, ancho de
banda, transferencia de datos y almacenamiento de metadatos no se incluyen en la
reserva. En cuanto se compra una reserva, los cargos de capacidad que coincidan con
los atributos de la reserva se cobran según las tarifas de descuento, en lugar de las
tarifas de pago por uso. Para más información, consulte ¿Qué son las reservas de
Azure?.
Reservas e instantáneas
Si va a tomar instantáneas de recursos compartidos de archivos de Azure, hay
diferencias en el funcionamiento de las reservas de recursos compartidos de archivos
estándar con respecto a los Prémium. Si va a tomar instantáneas de recursos
compartidos estándar, las diferenciales de instantáneas se cuentan para la reserva y se
facturan como parte del medidor de almacenamiento usado normal. Sin embargo, si va
a tomar instantáneas de recursos compartidos de archivos Premium, se usa un medidor
independiente para facturar las instantáneas y estas no cuentan para la reserva. Para
más información, consulte Instantánea.
Las reservas están disponibles para bloques de 10 TiB o 100 TiB, con descuentos más
altos para los bloques de 100 TiB. Al adquirir una reserva en Azure Portal, Microsoft
puede realizarle recomendaciones basadas en el uso anterior para ayudarle a
determinar qué reserva debe comprar.
Campo Descripción
Suscripción La suscripción que se usa para pagar la reserva de Azure Files. El método de
pago en la suscripción seleccionada se usa al cargar los costos. La
suscripción debe ser uno de los tipos siguientes:
Nivel El nivel en el que está en vigor la reserva. Entre las opciones se incluyen
Premium, Frecuente e Inactivo.
Frecuencia Indica la frecuencia con que se factura la cuenta para la reserva. Entre las
de opciones se incluyen Mensual o Por adelantado.
facturación
Después de comprar una reserva, esta se aplica automáticamente a todos los recursos
compartido de archivos de Azure que coincidan con los términos de la reserva. Si aún
no ha creado ningún recurso compartido de archivos de Azure, la reserva se aplicará
siempre que se cree un recurso que coincida con sus términos. En cualquier caso, el
período de la reserva comienza inmediatamente después de una compra correcta.
Para cambiar o reembolsar una reserva, vaya a los detalles de la reserva en Azure Portal.
Seleccione Intercambiar o Reembolsar y siga las instrucciones para enviar una solicitud
de soporte técnico. Una vez procesada la solicitud, Microsoft le enviará un correo
electrónico para confirmar que se completó la solicitud.
Para más información sobre las directivas de reservas de Azure, consulte Autoservicio de
cambios y reembolsos de reservas de Azure.
Cambio de una reserva
El cambio de una reserva permite recibir un reembolso en el que se prorratea la parte
no utilizada de la reserva. Después, puede aplicar este reembolso al precio de compra
de una nueva reserva de Azure Files.
No hay límite en el número de intercambios que puede hacer. Además, los intercambios
no conllevan ninguna tarifa. El valor de la reserva nueva que compre debe ser igual o
mayor que el crédito prorrateado de la reserva original. Una reserva de Azure Files se
puede intercambiar solo para otra reserva de Azure Files y no para una reserva de
ningún otro servicio de Azure.
Al cancelar una reserva, esta finaliza inmediatamente y se devuelven los meses restantes
a Microsoft. El saldo prorrateado restante, menos la cuota, se reembolsará en la forma
de compra original.
Pasos siguientes
¿Qué es Azure Reservations?
Aplicación del descuento por reserva a Azure Storage
Administración del almacenamiento en
las nubes independientes mediante
PowerShell
Artículo • 11/05/2023
La mayoría de los usuarios utiliza la nube pública de Azure para una implementación
global. También hay algunas implementaciones independientes de Microsoft Azure por
motivos de soberanía, etc. Estas implementaciones independientes se conocen como
"entornos". La siguiente lista detalla las nubes independientes disponibles actualmente.
7 Nota
Los ejemplos requieren la versión 0.7 o posterior del módulo Az de Azure PowerShell. En
una ventana de PowerShell, ejecute Get-Module -ListAvailable Az para buscar la
versión. Si no aparece ninguna o necesita una actualización, consulte Instalación del
módulo de Azure PowerShell.
Inicio de sesión en Azure
Ejecute el cmdlet Get-AzEnvironment para ver los entornos de Azure disponibles:
PowerShell
Get-AzEnvironment
Inicie sesión en la cuenta que tenga acceso a la nube a la que desea conectarse y
establezca el entorno. Este ejemplo le muestra cómo iniciar sesión en una cuenta que
utiliza la nube de administración pública de Azure.
PowerShell
PowerShell
En los fragmentos de código siguientes se muestra cómo recuperar el sufijo del punto
de conexión. Todos estos comandos devuelven algo parecido a "core.cloudapp.net" o
"core.cloudapi.de", etc. Adjunte este sufijo al servicio de almacenamiento para acceder a
ese servicio. Por ejemplo, "queue.core.cloudapi.de" accederá al servicio de cola en la
nube de Alemania.
Este fragmento de código recupera todos los entornos y el sufijo de punto de conexión
para cada uno de ellos.
PowerShell
Nombre StorageEndpointSuffix
AzureChinaCloud core.chinacloudapi.cn
AzureCloud core.windows.net
AzureGermanCloud core.cloudapi.de
AzureUSGovernment core.usgovcloudapi.net
Para recuperar todas las propiedades del entorno especificado, llame a Get-
AzEnvironment y especifique el nombre de la nube. Este fragmento de código devuelve
una lista de propiedades. Busque StorageEndpointSuffix en la lista. El ejemplo siguiente
es para la nube de Alemania.
PowerShell
Nombre AzureGermanCloud
Nombre de la propiedad Value
EnableAdfsAuthentication False
ActiveDirectoryServiceEndpointResourceI http://management.core.cloudapi.de/
GalleryURL https://gallery.cloudapi.de/
ManagementPortalUrl https://portal.microsoftazure.de/
ServiceManagementUrl https://manage.core.cloudapi.de/
PublishSettingsFileUrl https://manage.microsoftazure.de/publishsettings/index
ResourceManagerUrl http://management.microsoftazure.de/
SqlDatabaseDnsSuffix .database.cloudapi.de
StorageEndpointSuffix core.cloudapi.de
... ...
PowerShell
PowerShell
Limpieza de recursos
Si ha creado un nuevo grupo de recursos y una cuenta de almacenamiento para este
ejercicio, puede quitar ambos recursos eliminando el grupo de recursos. Al eliminar un
grupo de recursos se eliminan todos los recursos contenidos en él.
PowerShell
Pasos siguientes
Conservación de inicios de sesión de usuario entre sesiones de PowerShell
Almacenamiento de Azure Government
Guía para desarrolladores de Microsoft Azure Government
Notas para desarrolladores para las aplicaciones de Azure China 21Vianet
Documentación sobre Azure Alemania
Montaje de un recurso compartido de
archivos de Azure de SMB en Windows
Artículo • 03/09/2023
Para usar un recurso compartido de archivos de Azure por medio del punto de conexión
público fuera de la región de Azure en la que se hospeda, bien sea en el entorno local o
en otra región de Azure, el sistema operativo debe admitir SMB 3.x. Las versiones
anteriores de Windows que solo admiten SMB 2.1 no pueden montar recursos
compartidos de archivos de Azure por medio del punto de conexión público.
Windows Server, versión SMB 3.1.1 Sí, con KB5003690 o posterior AES-128-GCM
20H2
Windows 10, versión SMB 3.1.1 Sí, con KB5003690 o posterior AES-128-GCM
20H2
Windows Server 2019 SMB 3.1.1 Sí, con KB5003703 o posterior AES-128-GCM
Windows 10, versión SMB 3.1.1 Sí, con KB5003703 o posterior AES-128-GCM
1809
Windows Server 2016 SMB 3.1.1 Sí, con KB5004238 o más AES-128-GCM
reciente, y una clave del Registro
aplicada
Windows 10, versión SMB 3.1.1 Sí, con KB5004238 o más AES-128-GCM
1607 reciente, y una clave del Registro
aplicada
1
El soporte técnico habitual de Microsoft para Windows 7 y Windows Server 2008 R2 ha
finalizado. Es posible adquirir soporte técnico adicional para las actualizaciones de
seguridad solo a través del programa Actualización de seguridad extendida (ESU) . Se
recomienda encarecidamente migrar de estos sistemas operativos.
7 Nota
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Requisitos previos
Asegúrese de que el puerto 445 está abierto: el protocolo SMB requiere que esté
abierto el puerto TCP 445. Se producirá un error en las conexiones si se bloquea el
puerto 445. Puede comprobar si el firewall o ISP está bloqueando el puerto 445 con el
cmdlet Test-NetConnection . Consulte Puerto 445 bloqueado.
Un patrón común para elevar y desplazar aplicaciones de línea de negocio (LOB) que
esperan un recurso compartido de archivos de SMB es usar un recurso compartido de
archivos de Azure como alternativa a ejecutar un servidor de archivos de Windows
dedicado en una máquina virtual de Azure. Un aspecto importante que se debe tener en
cuenta para migrar correctamente una aplicación de línea de negocio para usar un
recurso compartido de archivos de Azure es que muchas aplicaciones se ejecutan en el
contexto de una cuenta de servicio dedicada con permisos de sistema limitados y no en
la cuenta administrativa de la máquina virtual. Por lo tanto, debe asegurarse de montar
o guardar las credenciales del recurso compartido de archivos de Azure desde el
contexto de la cuenta de servicio y no de la cuenta administrativa.
Montaje del recurso compartido de archivos de Azure
Azure Portal proporciona un script que puede usar para montar el recurso compartido
de archivos directamente en un host. Se recomienda usar este script proporcionado.
5. Seleccione Conectar.
7 Nota
1. Abra el Explorador de archivos desde el menú Inicio, o bien presione las teclas
Win+E.
\\storageaccountname.file.core.windows.net\myfileshare
Se le pedirá que inicie sesión con sus credenciales de red. Inicie sesión con la
suscripción de Azure en la que ha creado la cuenta de almacenamiento y el recurso
compartido de archivos. Si no se le solicitan credenciales, puede agregar las
credenciales mediante el siguiente comando:
cmdkey /add:StorageAccountName.file.core.windows.net
/user:localhost\StorageAccountName /pass:StorageAccountKey
\\storageaccountname.file.core.usgovcloudapi.net\myfileshare
Vaya al elemento o elemento principal que hay que restaurar. Haga doble clic para ir al
directorio deseado. Haga clic con el botón derecho y seleccione Propiedades en el
menú.
Seleccione Versiones anteriores para ver la lista de instantáneas de recursos
compartidos de este directorio. La lista puede tardar unos segundos en cargarse
dependiendo de la velocidad de red y del número de instantáneas de recursos
compartidos que haya en el directorio.
Puede seleccionar Abrir para abrir una instantánea concreta.
PowerShell
Set-ItemProperty `
-Path
"HKLM:SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Override
s" `
-Name "2291605642" `
-Value 1 `
-Force
PowerShell
Set-ItemProperty `
-Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
-Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
-Value 1 `
-Force
Pasos siguientes
Consulte los vínculos siguientes para más información sobre Azure Files:
Bash
uname -r
7 Nota
Se agregó compatibilidad con SMB 2.1 a la versión 3.7 del kernel de Linux. Si usa
una versión del kernel de Linux posterior a la 3.7, debe ser compatible con SMB 2.1.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Prerrequisitos
Asegúrese de que el paquete cifs-utils está instalado.
El paquete cifs-utils se puede instalar con el administrador de paquetes en la
distribución de Linux de su elección.
Ubuntu
Bash
Asegúrese de que el puerto 445 está abierto: SMB se comunica a través del
puerto TCP 445, así que asegúrese de que el firewall o ISP no bloquea el puerto
TCP 445 en el equipo cliente. Reemplace <your-resource-group> y <your-storage-
account> y luego ejecute el siguiente script:
Bash
RESOURCE_GROUP_NAME="<your-resource-group>"
STORAGE_ACCOUNT_NAME="<your-storage-account>"
Resultados
Bash
RESOURCE_GROUP_NAME="<resource-group-name>"
STORAGE_ACCOUNT_NAME="<storage-account-name>"
FILE_SHARE_NAME="<file-share-name>"
MNT_ROOT="/mount"
MNT_PATH="$MNT_ROOT/$STORAGE_ACCOUNT_NAME/$FILE_SHARE_NAME"
SMB 3.1.1
7 Nota
Azure CLI
Bash
MNT_ROOT="/mount"
sudo mkdir -p $MNT_ROOT
Bash
RESOURCE_GROUP_NAME="<resource-group-name>"
STORAGE_ACCOUNT_NAME="<storage-account-name>"
# Create a folder to store the credentials for this storage account and
# any other that you might set up.
CREDENTIAL_ROOT="/etc/smbcredentials"
sudo mkdir -p "/etc/smbcredentials"
# Get the storage account key for the indicated storage account.
# You must be logged in with az login and your user identity must have
# permissions to list the storage account keys for this command to work.
STORAGE_ACCOUNT_KEY=$(az storage account keys list \
--resource-group $RESOURCE_GROUP_NAME \
--account-name $STORAGE_ACCOUNT_NAME \
--query "[0].value" --output tsv | tr -d '"')
# Change permissions on the credential file so only root can read or modify
the password file.
sudo chmod 600 $SMB_CREDENTIAL_FILE
Bash
FILE_SHARE_NAME="<file-share-name>"
MNT_PATH="$MNT_ROOT/$STORAGE_ACCOUNT_NAME/$FILE_SHARE_NAME"
sudo mkdir -p $MNT_PATH
Sugerencia
Si quiere que los contenedores Docker que ejecutan aplicaciones de .NET Core
puedan escribir en el recurso compartido de archivos de Azure, incluya nobrl en las
opciones de montaje de SMB para evitar el envío de solicitudes de bloqueo de
intervalo de bytes al servidor.
Bash
sudo mount -a
7 Nota
A partir de la versión 5.0 del kernel de Linux, SMB 3.1.1 es el protocolo negociado
predeterminado. Puede especificar versiones alternativas del protocolo mediante la
opción de montaje vers (las versiones de protocolo son 3.1.1 , 3.0 y 2.1 ).
Ubuntu
En las distribuciones de Ubuntu y Debian, use el administrador de paquetes apt :
Bash
Bash
FILE_SHARE_NAME="<file-share-name>"
Bash
5. Ejecute el comando mount con la hora GMT para especificar el valor snapshot .
Asegúrese de reemplazar <storage-account-name> , <file-share-name> y la marca
de tiempo GMT por sus valores. El archivo .cred contiene las credenciales que se
usarán para montar el recurso compartido (consulte Montaje automático de
recursos compartidos de archivos).
Bash
Pasos siguientes
Consulte los vínculos siguientes para más información sobre Azure Files:
Se aplica a
ノ Expandir tabla
Soporte técnico
Actualmente, solo se admite la versión 4.1 de NFS. Los recursos compartidos de NFS 4.1
solo se admiten en el tipo de cuenta de almacenamiento de FileStorage (solo recursos
compartidos de archivos premium).
Disponibilidad regional
Los recursos compartidos de archivos NFS de Azure se admiten en las mismas regiones
que admiten el almacenamiento de archivos Prémium.
Para obtener la lista más actualizada, consulte la entrada Premium Files Storage en la
página Productos de Azure disponibles por región .
Requisitos previos
Creación de un recurso compartido de NFS
) Importante
Solo se puede tener acceso a los recursos compartidos de NFS desde redes
de confianza.
2. Seleccione Configuración.
4. Seleccione Guardar.
Opciones de montaje
Se recomiendan o requieren las siguientes opciones de montaje al montar recursos
compartidos de archivos de Azure NFS.
ノ Expandir tabla
noresvport N/D Opción recomendada. Indica al cliente NFS que use un puerto
de origen sin privilegios al comunicarse con un servidor NFS
para el punto de montaje. El uso de la opción de montaje
noresvport ayuda a garantizar que el recurso compartido NFS
tenga disponibilidad ininterrumpida después de una
reconexión. Se recomienda usar esta opción para lograr la alta
disponibilidad.
7 Nota
2. Escriba la ruta de acceso de montaje que quiere usar y, después, copie el script.
Bash
<YourStorageAccountName>.file.core.windows.net:/<YourStorageAccountName>/<Fi
leShareName> /media/<YourStorageAccountName>/<FileShareName> nfs
vers=4,minorversion=1,sec=sys 0 0
Para obtener más información, escriba el comando man fstab en la línea de comandos
de Linux.
Validar conectividad
Si se produjo un error en el montaje, es posible que el punto de conexión privado no se
haya configurado correctamente o sea inaccesible. Para más información sobre cómo
confirmar la conectividad, consulte Comprobación de la conectividad.
) Importante
Limitaciones
Solo se admiten las API de administración de archivos ( AzRmStorageShare ) para los
recursos compartidos de archivos de Azure NFS. No se admiten las API del plano de
datos de archivos ( AzStorageShare ).
Disponibilidad regional
La versión preliminar de instantáneas del recurso compartido de archivos NFS de Azure
ya está disponible en todas las regiones de nube pública de Azure.
Azure PowerShell
Para crear una instantánea de un recurso compartido de archivos existente, ejecute
el siguiente comando de PowerShell. Reemplace <resource-group-name> , <storage-
account-name> y <file-share-name> con sus propios valores.
Azure PowerShell
Azure PowerShell
Azure PowerShell
Eliminar instantáneas
Las instantáneas de recurso compartido existentes nunca se sobrescriben. Deben
eliminarse explícitamente. Puede eliminar instantáneas de recurso compartido mediante
Azure PowerShell o la CLI de Azure.
Azure PowerShell
10T08:04:08Z .
Azure PowerShell
Azure PowerShell
Bash
Bash
cd /media/nfs/.snapshots
3. Enumere el contenido de la carpeta .snapshots .
Bash
ls
Bash
cd <snapshot-name>
5. Enumere el contenido del directorio para ver una lista de archivos y directorios que
se pueden recuperar.
Bash
ls
Bash
cp -r <snapshot-name> ../restore
Pasos siguientes
Obtenga más información sobre Azure Files con nuestro artículo Planeamiento de
una implementación de Azure Files.
Si tiene algún problema, consulte Solución de problemas de los recursos
compartidos de archivos NFS de Azure.
Montaje de un recurso compartido de
archivos de Azure de SMB en macOS
Artículo • 01/06/2023
Asegúrese de que el puerto 445 está abierto: SMB se comunica a través del
puerto TCP 445. En el equipo cliente (Mac), compruebe que el firewall no bloquea
el puerto TCP 445. Si la organización o el ISP bloquea el puerto 445, es posible que
tenga que configurar una VPN desde el entorno local en la cuenta de
almacenamiento de Azure con Azure Files expuesto en la red interna mediante
puntos de conexión privados, de modo que el tráfico pase por un túnel seguro en
lugar de hacerlo por Internet. Para más información, consulte Consideraciones de
redes para el acceso directo a los recursos compartidos de archivos de Azure. Para
ver el resumen de los ISP que permiten o deniegan el acceso desde el puerto 445,
visite TechNet .
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
open smb://<storage-account-name>:<storage-account-key>@<storage-
account-name>.file.core.windows.net/<share-name>
Azure Files proporciona dos tipos principales de puntos de conexión para el acceso a los
recursos compartidos de archivos de Azure:
Puntos de conexión públicos, que tienen una dirección IP pública y a los que se
puede acceder desde cualquier parte del mundo.
Puntos de conexión privados, que existen dentro de una red virtual y tienen una
dirección IP privada en el espacio de direcciones de esa red virtual.
Este artículo se centra en cómo configurar los puntos de conexión de una cuenta de
almacenamiento para acceder directamente al recurso compartido de archivos de Azure.
La mayoría de los detalles proporcionados en este documento también se aplican al
modo en que Azure File Sync interopera con puntos de conexión públicos y privados de
la cuenta de almacenamiento; sin embargo, para más información sobre las
consideraciones de redes para una implementación de Azure File Sync, consulte
Configuración del proxy y el firewall de Azure File Sync.
Se recomienda leer Consideraciones de redes para Azure Files antes de pasar a esta guía
de procedimientos.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Prerrequisitos
En este artículo se supone que ya ha creado una suscripción a Azure. Si todavía no
tiene una suscripción, cree una cuenta gratuita antes de empezar.
En este artículo se supone que ya ha creado un recurso compartido de archivos de
Azure en una cuenta de almacenamiento a la que le gustaría conectarse desde el
entorno local. Para aprender a crear un recurso compartido de archivos de Azure,
consulte Creación de un recurso compartido de archivos de Azure.
Si planea usar Azure PowerShell, instale la versión más reciente.
Si planea usar la CLI de Azure, instale la versión más reciente.
7 Nota
Portal
La hoja Red virtual permite seleccionar la red virtual y la subred específicas a las
que le gustaría agregar el punto de conexión privado. Seleccione la asignación de
direcciones IP dinámicas o estáticas para el nuevo punto de conexión privado. Si
selecciona estáticas, también deberá proporcionar un nombre y una dirección IP
privada. También puede especificar opcionalmente un grupo de seguridad de
aplicación. Al acabar, seleccione Siguiente: DNS.
Opcionalmente, puede aplicar etiquetas para clasificar los recursos, como aplicar el
nombre Entorno y el valor Prueba a todos los recursos de prueba. Escriba pares
nombre-valor si quiere y, a continuación, seleccione Siguiente: Revisar y crear.
Verificación de la conectividad
Portal
nslookup <storage-account-name>.file.core.windows.net
Output
Server: UnKnown
Address: 10.2.4.4
Non-authoritative answer:
Name: storageaccount.privatelink.file.core.windows.net
Address: 192.168.0.5
Aliases: storageaccount.file.core.windows.net
Restricción del acceso al punto de conexión
público
Para limitar el acceso al punto de conexión público es necesario deshabilitar el acceso
general al punto de conexión público. Deshabilitar el acceso al punto de conexión
público no afecta a los puntos de conexión privados. Una vez deshabilitado el punto de
conexión público, puede seleccionar redes o direcciones IP específicas que puedan
seguir accediendo a él. En general, la mayoría de las directivas de firewall de una cuenta
de almacenamiento restringen el acceso de red a una o varias redes virtuales.
Portal
Portal
Consulte también
Consideraciones de redes para Azure Files
Configuración del reenvío de DNS para Azure Files
Configuración de VPN S2S para Azure Files
Configuración del reenvío de DNS para
Azure Files
Artículo • 03/09/2023
Azure Files le permite crear puntos de conexión privados para las cuentas de
almacenamiento que contienen los recursos compartidos de archivos. Aunque son útiles
para muchas aplicaciones diferentes, los puntos de conexión privados lo son
especialmente para conectarse a los recursos compartidos de archivos de Azure desde
la red local mediante una conexión VPN o ExpressRoute con emparejamiento privado.
Para que las conexiones a la cuenta de almacenamiento pasen por el túnel de red, el
nombre de dominio completo (FQDN) de la cuenta de almacenamiento debe resolverse
en la dirección IP privada del punto de conexión privado. Para ello, debe reenviar el
sufijo del punto de conexión de almacenamiento ( core.windows.net para las regiones
de la nube pública) al servicio DNS privado de Azure accesible desde la red virtual. En
esta guía se muestra cómo configurar el reenvío de DNS para que se resuelva
correctamente en la dirección IP del punto de conexión privado de la cuenta de
almacenamiento.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Información general
Azure Files proporciona los siguientes tipos de puntos de conexión para el acceso a los
recursos compartidos de archivos de Azure:
Puntos de conexión públicos, que tienen una dirección IP pública y a los que se
puede acceder desde cualquier parte del mundo.
Puntos de conexión privados, que existen dentro de una red virtual y tienen una
dirección IP privada en el espacio de direcciones de esa red virtual.
Puntos de conexión de servicio, que restringen el acceso al punto de conexión
público a redes virtuales específicas. Sigue accediendo a la cuenta de
almacenamiento a través de la dirección IP pública, pero el acceso solo es posible
desde las ubicaciones especificadas en la configuración.
Dado que nuestro objetivo final es acceder a los recursos compartidos de archivos de
Azure hospedados en la cuenta de almacenamiento desde el entorno local mediante un
túnel de red, como una conexión VPN o ExpressRoute, debe configurar los servidores
DNS locales para que reenvíen las solicitudes realizadas al servicio Azure Files al servicio
DNS privado de Azure.
Además de Azure Files, las solicitudes de resolución de nombres DNS para otros
servicios de almacenamiento de Azure (Azure Blob Storage, Azure Table Storage, Azure
Queue Storage, etc.) se reenviarán al servicio DNS privado de Azure. Si lo desea, puede
agregar puntos de conexión adicionales para otros servicios de Azure.
Requisitos previos
Para poder configurar el reenvío de DNS a Azure Files, necesitará lo siguiente:
) Importante
PowerShell
$storageAccountEndpoint = Get-AzContext | `
Select-Object -ExpandProperty Environment | `
Select-Object -ExpandProperty StorageEndpointSuffix
Add-DnsServerConditionalForwarderZone `
-Name $storageAccountEndpoint `
-MasterServers $vnetDnsServers
En los servidores DNS de la red virtual de Azure, también deberá colocar un reenviador
de forma que las solicitudes de la zona DNS de la cuenta de almacenamiento se dirijan
al servicio DNS privado de Azure, encabezado por la dirección IP reservada
168.63.129.16 . (Si ejecuta los comandos en una sesión de PowerShell diferente,
PowerShell
Add-DnsServerConditionalForwarderZone `
-Name $storageAccountEndpoint `
-MasterServers "168.63.129.16"
No hay ninguna diferencia en la forma de configurar los servidores DNS locales, salvo
que, en lugar de apuntar a las direcciones IP de los servidores DNS en Azure, apunte a la
dirección IP del punto de conexión de entrada del solucionador. La resolución no
requiere ninguna configuración, ya que reenviará consultas al servidor DNS privado de
Azure de forma predeterminada. Si una zona DNS privada está vinculada a la red virtual
donde se implementa la resolución, el solucionador podrá responder con registros de
esa zona DNS.
2 Advertencia
PowerShell
$privateResolver = "<resolver-ip>"
$storageAccountEndpoint = Get-AzContext | `
Select-Object -ExpandProperty Environment | `
Select-Object -ExpandProperty StorageEndpointSuffix
Add-DnsServerConditionalForwarderZone `
-Name $storageAccountEndpoint `
-MasterServers $privateResolver
PowerShell
Output
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 1769
Section : Answer
IP4Address : 192.168.0.4
PowerShell
Consulte también
Planeamiento de una implementación de Azure Files
Consideraciones de redes para Azure Files
Configuración de puntos de conexión de red de Azure Files
Configuración de una VPN de sitio a
sitio para su uso con Azure Files
Artículo • 13/12/2023
Puede usar una conexión VPN de sitio a sitio (S2S) para montar los recursos
compartidos de archivos de Azure desde la red local, sin necesidad de enviar datos por
la red abierta de Internet. Puede configurar una VPN de sitio a sitio mediante Azure VPN
Gateway, que es un recurso de Azure que ofrece servicios VPN y se implementa en un
grupo de recursos junto con las cuentas de almacenamiento u otros recursos de Azure.
En este artículo se detallan los pasos para configurar una VPN de sitio a sitio para
montar recursos compartidos de archivos de Azure directamente en el entorno local. Si
quiere enrutar el tráfico de sincronización de Azure File Sync a través de una VPN de
sitio a sitio, consulte configuración del proxy y del firewall de Azure File Sync.
Se aplica a
ノ Expandir tabla
Requisitos previos
Un recurso compartido de archivos de Azure que le gustaría montar en el entorno
local. Los recursos compartidos de archivos de Azure se implementan en cuentas
de almacenamiento, que son construcciones de administración que representan un
grupo compartido de almacenamiento en el que puede implementar varios
recursos compartidos de archivos, así como otros recursos de almacenamiento,
como blobs o colas. Puede encontrar más información sobre cómo implementar
cuentas de almacenamiento y recursos compartidos de archivos de Azure en
Creación de un recurso compartido de archivos de Azure.
Si agrega una red virtual existente, primero debe crear una subred de puerta de
enlace en la red virtual. Se le pedirá que seleccione una o varias subredes de esa
red virtual. Si crea una nueva red virtual, creará una subred como parte del proceso
de creación. Puede agregar más subredes más adelante a través del recurso de
Azure resultante para la red virtual.
Windows
macOS
Linux (NFS)
Linux (SMB)
Consulte también
Introducción a las redes de Azure Files
Configuración de una VPN de punto a sitio (P2S) en Windows para su uso con
Azure Files
Configuración de una VPN de punto a sitio (P2S) en Linux para su uso con Azure
Files
Configuración de una VPN de punto a
sitio (P2S) en Windows para su uso con
Azure Files
Artículo • 06/12/2023
Puede usar una conexión VPN de punto a sitio (P2S) para montar los recursos
compartidos de archivos de Azure a través de SMB desde fuera de Azure, sin necesidad
de abrir el puerto 445. Una conexión VPN de punto a sitio es una conexión VPN entre
Azure y un cliente individual. Para usar una conexión VPN de punto a sitio con
Azure Files, debe configurar una conexión VPN para cada cliente que quiera conectarse.
Si tiene muchos clientes que necesitan conectarse a sus recursos compartidos de
archivos de Azure desde la red local, puede usar una conexión VPN de sitio a sitio (S2S)
en lugar de una conexión de punto a sitio para cada cliente. Para obtener más
información, consulte Configuración de una VPN de sitio a sitio para su uso con
Azure Files.
En este artículo se detallan los pasos para configurar una VPN de punto a sitio en
Windows (cliente de Windows y Windows Server) para montar recursos compartidos de
archivos de Azure directamente en el entorno local. Si quiere enrutar el tráfico de
Azure File Sync a través de una VPN, consulte Configuración del proxy y el firewall de
Azure File Sync.
Se aplica a
ノ Expand table
Debe crear una subred de puerta de enlace en la red virtual. Para crear una subred
de puerta de enlace, inicie sesión en Azure Portal, vaya a la red virtual, seleccione
Configuración> Subredes, y después seleccione +Subred de puerta de enlace. Al
crear la subred de puerta de enlace, especifique el número de direcciones IP que
contiene la subred. El número de direcciones IP que se necesitan depende de la
configuración de puerta de enlace de VPN que se desea crear. Es mejor especificar
/27 o mayor (/26, /25, etc.) para permitir suficientes direcciones IP para cambios
futuros, como agregar una puerta de enlace de ExpressRoute.
Portal
Para configurar una VPN de punto a sitio mediante Azure Portal, deberá conocer el
nombre del grupo de recursos, el nombre de la red virtual, el nombre de la subred
de puerta de enlace y el nombre de la cuenta de almacenamiento.
Creación de certificados raíz para la
autenticación de VPN
Para que las conexiones VPN desde las máquinas Windows locales se autentiquen para
acceder a la red virtual, debe crear dos certificados:
Puede usar un certificado raíz que se generó con una solución empresarial o puede
generar un certificado autofirmado. Si usa una solución empresarial, adquiera el archivo
.cer para el certificado raíz de la organización de TI.
) Importante
Ejecute este script de PowerShell como administrador desde una máquina local que
ejecute Windows 10/Windows Server 2016 o posterior. No ejecute el script desde
una máquina virtual o Cloud Shell en Azure.
PowerShell
$rootcertname = "CN=P2SRootCert"
$certLocation = "Cert:\CurrentUser\My"
$vpnTemp = "C:\vpn-temp\"
$exportedencodedrootcertpath = $vpnTemp + "P2SRootCertencoded.cer"
$exportedrootcertpath = $vpnTemp + "P2SRootCert.cer"
$rootcert = New-SelfSignedCertificate `
-Type Custom `
-KeySpec Signature `
-Subject $rootcertname `
-KeyExportPolicy Exportable `
-HashAlgorithm sha256 `
-KeyLength 2048 `
-CertStoreLocation $certLocation `
-KeyUsageProperty Sign `
-KeyUsage CertSign
Export-Certificate `
-Cert $rootcert `
-FilePath $exportedencodedrootcertpath `
-NoClobber | Out-Null
[System.String]$rootCertificate = ""
foreach($line in $rawRootCertificate) {
if ($line -notlike "*Certificate*") {
$rootCertificate += $line
}
}
1. Una IP pública que identificará la puerta de enlace a los clientes dondequiera que
estén en el mundo
2. El certificado raíz que creó en el paso anterior, que se usará para autenticar a los
clientes
Puede usar Azure Portal o Azure PowerShell para implementar la puerta de enlace de
red virtual. La implementación puede tardar hasta 45 minutos en completarse.
Portal
Para implementar una puerta de enlace de red virtual mediante Azure Portal, siga
estas instrucciones.
1. Inicie sesión en Azure Portal .
3. Seleccione + Crear para crear una nueva puerta de enlace de red virtual.
7 Nota
Si no es así, siga estos pasos para identificar el certificado raíz autofirmado instalado en
el equipo.
PowerShell
2. Busque el nombre del firmante de la lista devuelta y, luego, copie la huella digital
que se encuentra junto a él en un archivo de texto. En el ejemplo siguiente, hay
dos certificados. El nombre CN es el nombre del certificado raíz autofirmado a
partir del que va a generar un certificado secundario. En este caso, se denomina
P2SRootCert.
Thumbprint Subject
---------- -------
AED812AD883826FF76B4D1D5A77B3C08EFA79F3F CN=P2SChildCert4
7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655 CN=P2SRootCert
3. Declare una variable para el certificado raíz con la huella digital del paso anterior.
Reemplace THUMBPRINT por la huella digital del certificado raíz desde el que
desea generar un certificado de cliente.
PowerShell
PowerShell
) Importante
PowerShell
$clientcertpassword = "1234"
$resourceGroupName = "<resource-group-name>"
$vpnName = "<vpn-gateway-name>"
$vpnTemp = "C:\vpn-temp\"
$certLocation = "Cert:\CurrentUser\My"
$vpnClientConfiguration = New-AzVpnClientConfiguration `
-ResourceGroupName $resourceGroupName `
-Name $vpnName `
-AuthenticationMethod EAPTLS
Invoke-WebRequest `
-Uri $vpnClientConfiguration.VpnProfileSASUrl `
-OutFile "$vpnTemp\vpnclientconfiguration.zip"
Expand-Archive `
-Path "$vpnTemp\vpnclientconfiguration.zip" `
-DestinationPath "$vpnTemp\vpnclientconfiguration"
$vpnGeneric = "$vpnTemp\vpnclientconfiguration\Generic"
$vpnProfile = ([xml](Get-Content -Path
"$vpnGeneric\VpnSettings.xml")).VpnProfile
$clientcert = New-SelfSignedCertificate `
-Type Custom `
-DnsName $vpnProfile.VpnServer `
-KeySpec Signature `
-Subject $clientcertname `
-KeyExportPolicy Exportable `
-HashAlgorithm sha256 `
-KeyLength 2048 `
-CertStoreLocation $certLocation `
-Signer $rootcert `
-TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")
Export-PfxCertificate `
-FilePath $exportedclientcertpath `
-Password $mypwd `
-Cert $clientcert | Out-Null
Portal
1. Una vez que se exporte el certificado de cliente, busque y copie el archivo .pfx
en el equipo cliente.
2. En el equipo cliente, haga doble clic en el archivo .pfx para instalarlo. Deje
Ubicación del almacén como Usuario actual y seleccione Siguiente.
3. En la página File to import (Archivo para importar), no haga ningún cambio.
Seleccione Siguiente.
4. En la página Protección de clave privada, escriba la contraseña del certificado
o compruebe que la entidad de seguridad sea correcta y seleccione Siguiente.
5. En la página Almacén de certificados, deje la ubicación predeterminada y
seleccione Siguiente.
6. Seleccione Finalizar. En la advertencia de seguridad para la instalación de
certificados, seleccione Sí. Puede seleccionar con total tranquilidad el valor
"Sí" en esta advertencia de seguridad, ya que ha generado el certificado.
7. El certificado se importó correctamente.
7 Nota
Portal
PowerShell
#Creating the new Root Certificate
$ResourceGroupName = "<resource-group-name>"
$vpnName = "<desired-vpn-name-here>"
$NewRootCertName = "<new-root-cert-name>"
$rootcertname = "CN=$NewRootCertName"
$certLocation = "Cert:\CurrentUser\My"
$date = get-date -Format "MM_yyyy"
$vpnTemp = "C:\vpn-temp_$date\"
$exportedencodedrootcertpath = $vpnTemp + "P2SRootCertencoded.cer"
$exportedrootcertpath = $vpnTemp + "P2SRootCert.cer"
$rootcert = New-SelfSignedCertificate `
-Type Custom `
-KeySpec Signature `
-Subject $rootcertname `
-KeyExportPolicy Exportable `
-HashAlgorithm sha256 `
-KeyLength 2048 `
-CertStoreLocation $certLocation `
-KeyUsageProperty Sign `
-KeyUsage CertSign
Export-Certificate `
-Cert $rootcert `
-FilePath $exportedencodedrootcertpath `
-NoClobber | Out-Null
[System.String]$rootCertificate = ""
foreach($line in $rawRootCertificate) {
if ($line -notlike "*Certificate*") {
$rootCertificate += $line
}
}
#Fetching gateway details and adding the newly created Root Certificate.
$gateway = Get-AzVirtualNetworkGateway -Name $vpnName -ResourceGroupName
$ResourceGroupName
Add-AzVpnClientRootCertificate `
-PublicCertData $rootCertificate `
-ResourceGroupName $ResourceGroupName `
-VirtualNetworkGatewayName $gateway `
-VpnClientRootCertificateName $NewRootCertName
Consulte también
Configuración de los ajustes del servidor para conexiones VPN Gateway P2S
Consideraciones de red para el acceso directo a los recursos compartidos de
archivos de Azure
Configure una VPN de punto a sitio (P2S) en Linux para su uso con Azure Files
Configuración de una VPN de sitio a sitio (S2S) para su uso con Azure Files
Configuración de una VPN de punto a
sitio (P2S) en Linux para su uso con
Azure Files
Artículo • 10/03/2023
Puede usar una conexión VPN de punto a sitio (P2S) para montar los recursos
compartidos de archivos de Azure desde fuera de Azure, sin necesidad de enviar los
datos por la red Internet abierta. Una conexión VPN de punto a sitio es una conexión
VPN entre Azure y un cliente individual. Para usar una conexión VPN de punto a sitio
con Azure Files, se debe configurar una conexión VPN de punto a sitio para cada cliente
que quiera conectarse. Si tiene muchos clientes que necesitan conectarse a sus recursos
compartidos de archivos de Azure desde la red local, puede usar una conexión VPN de
sitio a sitio (S2S) en lugar de una conexión de punto a sitio para cada cliente. Para
obtener más información, consulte Configuración de una VPN de sitio a sitio para su uso
con Azure Files.
Se recomienda que lea Introducción a las redes de Azure Files antes de continuar con
este artículo para obtener una descripción completa de las opciones de red disponibles
para Azure Files.
En este artículo se detallan los pasos para configurar una VPN de punto a sitio en Linux
para montar recursos compartidos de archivos de Azure directamente en el entorno
local.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Prerrequisitos
La versión más reciente de la CLI de Azure. Para más información sobre cómo
instalar la CLI de Azure, consulte Instalación de la CLI de Azure PowerShell y
seleccione el sistema operativo. Si prefiere usar el módulo de Azure PowerShell en
Linux, puede hacerlo. Sin embargo, las instrucciones siguientes son para la CLI de
Azure.
Bash
INSTALL_DIR="/etc/"
Bash
El siguiente script creará una red virtual de Azure con tres subredes: una para el punto
de conexión de servicio de la cuenta de almacenamiento, otra para el punto de
conexión privado de la cuenta de almacenamiento (que es necesaria para acceder a la
cuenta de almacenamiento local sin crear un enrutamiento personalizado para la
dirección IP pública de la cuenta de almacenamiento que puede cambiar) y otra para la
puerta de enlace de red virtual que proporciona el servicio VPN.
Bash
REGION="<region>"
RESOURCE_GROUP_NAME="<resource-group>"
VIRTUAL_NETWORK_NAME="<desired-vnet-name>"
Bash
ROOT_CERT_NAME="P2SRootCert"
USERNAME="client"
PASSWORD="1234"
mkdir temp
cd temp
sudo ipsec pki --gen --size 4096 --outform pem > "clientKey.pem"
sudo ipsec pki --pub --in "clientKey.pem" | \
sudo ipsec pki \
--issue \
--cacert rootCert.pem \
--cakey rootKey.pem \
--dn "CN=$USERNAME" \
--san $USERNAME \
--flag clientAuth \
--outform pem > "clientCert.pem"
7 Nota
Las conexiones P2S IKEv2/OpenVPN no son compatibles con la SKU básica. Este
script usa la SKU VpnGw1 para la puerta de enlace de red virtual, según
corresponda.
Azure CLI
VPN_NAME="<desired-vpn-name-here>"
PUBLIC_IP_ADDR_NAME="$VPN_NAME-PublicIP"
Azure CLI
Consulte también
Introducción a las redes de Azure Files
Configuración de una VPN de punto a sitio (P2S) en Windows para su uso con
Azure Files
Configuración de una VPN de sitio a sitio (S2S) para su uso con Azure Files
Introducción: autenticación de
Active Directory Domain Services local
en SMB para recursos compartidos de
archivos de Azure
Artículo • 21/11/2023
Si no está familiarizado con Azure Files, se recomienda que lea la guía de planeamiento.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Vídeos
Con el fin de ayudarle a configurar la autenticación basada en la identidad para algunos
casos de uso comunes, hemos publicado dos vídeos con una guía paso a paso para los
siguientes escenarios:
Reemplazo de servidores de archivos Uso de Azure Files como contenedor de
locales por Azure Files (incluida la perfiles para Azure Virtual Desktop (incluida
configuración en un vínculo privado para la la configuración de la autenticación de AD y
autenticación de archivos y AD) la configuración de FSLogix)
Requisitos previos
Antes de habilitar la autenticación de AD DS para los recursos compartidos de archivos
de Azure, asegúrese de que cumple los siguientes requisitos previos:
Unir una máquina local o una máquina virtual de Azure por dominio a un AD DS
local. Para información acerca de cómo unirse a un dominio, consulte Unión de un
equipo a un dominio.
Disponibilidad regional
La autenticación de Azure Files con AD DS está disponible en todas las regiones
públicas, en China y en las de Azure Government .
Información general
Si planea habilitar configuraciones de red en el recurso compartido de archivos, se
recomienda que lea el artículo sobre consideraciones de redes y que complete la
configuración relacionada antes de habilitar la autenticación de AD DS.
Siga estos pasos para configurar Azure Files para la autenticación de AD DS:
Las identidades que se usan para acceder a los recursos compartidos de archivos de
Azure se deben sincronizar con Microsoft Entra ID para aplicar los permisos de archivo
de nivel de recurso compartido mediante el modelo de control de acceso basado en
roles de Azure (RBAC de Azure). También puede usar un permiso de nivel de recurso
compartido predeterminado. Se conservarán y aplicarán las DACL tipo Windows en
archivos o directorios transferidos desde servidores de archivos existentes. Esto ofrece
una perfecta integración con el entorno de AD DS de la empresa. A medida que
reemplaza los servidores de archivos locales por recursos compartidos de archivos de
Azure, los usuarios existentes pueden acceder a estos desde sus clientes actuales con
una experiencia de inicio de sesión único, sin ningún cambio en las credenciales en uso.
Pasos siguientes
Para empezar, debe habilitar la autenticación de AD DS para la cuenta de
almacenamiento.
Habilitación de la autenticación de
AD DS para recursos compartidos de
archivos de Azure
Artículo • 19/10/2023
) Importante
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Prerrequisitos
Si no tiene instalado .NET Framework 4.7.2 o superior , instálelo ahora. Es
necesario para que el módulo AzFilesHybrid se importe correctamente.
Asegúrese de que tiene instalado Azure PowerShell (módulo Az) Az.Storage .
Debe tener al menos Az.PowerShell 2.8.0+ y Az.Storage 4.3.0+ para usar
AzFilesHybrid.
Instale el módulo PowerShell de Active Directory.
Ejecución de Join-AzStorageAccount
El cmdlet Join-AzStorageAccount realiza la acción equivalente a la unión a un dominio
sin conexión en nombre de la cuenta de almacenamiento especificada. El script
siguiente usa este cmdlet para crear una cuenta de equipo en el dominio de AD. Si, por
cualquier motivo, no puede usar una cuenta de equipo, puede modificar el script para
crear una cuenta de inicio de sesión de servicio en su lugar. El uso del cifrado AES-256
con cuentas de inicio de sesión de servicio se admite a partir de la versión 0.2.5 de
AzFilesHybrid.
La cuenta de AD DS que crea el cmdlet representa la cuenta de almacenamiento. Si la
cuenta de AD DS se crea en una unidad organizativa (OU) que aplica la expiración de
contraseñas, debe actualizar la contraseña antes de su vigencia máxima. Si no actualiza
la contraseña de la cuenta antes de esa vigencia, se producirán errores de autenticación
al acceder a los recursos compartidos de archivos de Azure. Para saber cómo actualizar
la contraseña, consulte Actualización de la contraseña de la cuenta de AD DS.
) Importante
Debe ejecutar el siguiente script en PowerShell 5.1 y en un dispositivo que esté unido
al dominio de su instancia de AD DS local, mediante las credenciales de AD DS local
que tengan permisos para crear una cuenta de equipo o una cuenta de inicio de
sesión del servicio en la instancia de AD de destino (como el dominio administración).
Para seguir el principio de privilegios mínimos, la credencial de AD DS local debe tener
los siguientes roles de Azure:
PowerShell
# Navigate to where AzFilesHybrid is unzipped and stored and run to copy the
files into your path
.\CopyToPSPath.ps1
# Login to Azure using a credential that has either storage account owner or
contributor Azure role
# assignment. If you are logging into an Azure environment other than Public
(ex. AzureUSGovernment)
# you will need to specify that.
# See https://learn.microsoft.com/azure/azure-government/documentation-
government-get-started-connect-with-ps
# for more information.
Connect-AzAccount
# Define parameters
# $StorageAccountName is the name of an existing storage account that you
want to join to AD
# $SamAccountName is the name of the to-be-created AD object, which is used
by AD as the logon name
# for the object. It must be 20 characters or less and has certain character
restrictions.
# Make sure that you provide the SamAccountName without the trailing '$'
sign.
# See https://learn.microsoft.com/windows/win32/adschema/a-samaccountname
for more information.
$SubscriptionId = "<your-subscription-id-here>"
$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
$SamAccountName = "<sam-account-name-here>"
$DomainAccountType = "<ComputerAccount|ServiceLogonAccount>" # Default is
set as ComputerAccount
# If you don't provide the OU name as an input parameter, the AD identity
that represents the
# storage account is created under the root directory.
$OuDistinguishedName = "<ou-distinguishedname-here>"
# Specify the encryption algorithm used for Kerberos authentication. Using
AES256 is recommended.
$EncryptionType = "<AES256|RC4|AES256,RC4>"
Join-AzStorageAccount `
-ResourceGroupName $ResourceGroupName `
-StorageAccountName $StorageAccountName `
-SamAccountName $SamAccountName `
-DomainAccountType $DomainAccountType `
-OrganizationalUnitDistinguishedName $OuDistinguishedName `
-EncryptionType $EncryptionType
) Importante
Si ya ha ejecutado correctamente el script Join-AzStorageAccount anterior, vaya
directamente a la sección Confirmación de que la característica está habilitada.
No tendrá que realizar los siguientes pasos manuales.
) Importante
PowerShell
# Create the Kerberos key on the storage account and get the Kerb1 key as
the password for the AD identity
# to represent the storage account
$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
Los cmdlets deben devolver el valor de clave. Una vez que tenga la clave kerb1, cree una
cuenta de equipo o una cuenta de servicio en AD en la unidad organizativa y use la
clave como contraseña para la identidad de AD.
shell
Setspn -S cifs/your-storage-account-name-here.file.core.windows.net
<ADAccountName>
2. Si tiene una cuenta de usuario, modifique el UPN para que coincida con el SPN del
objeto de AD (debe tener instalados los cmdlets de PowerShell de AD y ejecutar
los cmdlets en PowerShell 5.1 con privilegios elevados).
PowerShell
PowerShell
PowerShell
# Set the feature flag on the target storage account and provide the
required AD domain information
Set-AzStorageAccount `
-ResourceGroupName "<your-resource-group-name>" `
-Name "<your-storage-account-name>" `
-EnableActiveDirectoryDomainServicesForFile $true `
-ActiveDirectoryDomainName "<your-domain-dns-root>" `
-ActiveDirectoryNetBiosDomainName "<your-domain-dns-root>" `
-ActiveDirectoryForestName "<your-forest-name>" `
-ActiveDirectoryDomainGuid "<your-guid>" `
-ActiveDirectoryDomainsid "<your-domain-sid>" `
-ActiveDirectoryAzureStorageSid "<your-storage-account-sid>" `
-ActiveDirectorySamAccountName "<your-domain-object-sam-account-
name>" `
-ActiveDirectoryAccountType "<your-domain-object-account-type, the
value could be 'Computer' or 'User'>"
Para habilitar el cifrado AES-256, siga los pasos de esta sección. Si piensa usar el cifrado
RC4, puede saltarse esta sección.
) Importante
PowerShell
Para habilitar el cifrado AES-256 en una cuenta de inicio de sesión de servicio, ejecute
el siguiente comando. Reemplace <domain-object-identity> y <domain-name> con sus
valores.
PowerShell
PowerShell
$KeyName = "kerb1" # Could be either the first or second kerberos key, this
script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -
Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-
Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
) Importante
Depuración
Si hace falta, puede ejecutar el cmdlet Debug-AzStorageAccountAuth para realizar un
conjunto de comprobaciones básicas en la configuración de AD con el usuario de AD
con el que ha iniciado sesión. Este cmdlet se admite en AzFilesHybrid v0.1.2+ y
versiones posteriores. Para más detalles sobre las comprobaciones realizadas en este
cmdlet, consulte No se puede montar recursos compartidos de archivos Azure con las
credenciales de AD.
PowerShell
PowerShell
# List the directory domain information if the storage account has enabled
AD DS authentication for file shares
$storageAccount.AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
PowerShell
DomainName:<yourDomainHere>
NetBiosDomainName:<yourNetBiosDomainNameHere>
ForestName:<yourForestNameHere>
DomainGuid:<yourGUIDHere>
DomainSid:<yourSIDHere>
AzureStorageID:<yourStorageSIDHere>
Pasos siguientes
Ahora, ya ha habilitado correctamente AD DS en la cuenta de almacenamiento. Para
usar la característica, debe asignar permisos de nivel de recurso compartido.
Asignación de permisos de nivel de
recurso compartido
Artículo • 25/10/2023
) Importante
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
En su lugar, hay tres escenarios en los que se recomienda usar un permiso de nivel de
recurso compartido predeterminado para permitir el acceso de colaborador,
colaborador con privilegios elevados o lector a todas las identidades autenticadas:
7 Nota
Dado que las cuentas de equipo no tienen una identidad en Microsoft Entra ID, no
se puede configurar el control de acceso basado en rol (RBAC) de Azure para estas.
Sin embargo, las cuentas de equipo pueden acceder a un recurso compartido de
archivos mediante un permiso de nivel de recurso compartido predeterminado.
Asignación de permisos de nivel de recurso
compartido
En la tabla siguiente se enumeran los permisos de nivel de recurso compartido y cómo
se corresponden con los roles de RBAC de Azure integrados:
) Importante
Asigne permisos al declarar explícitamente acciones y acciones de datos en lugar
de usar un carácter comodín (*). Si la definición de rol personalizada de una acción
de datos contiene un carácter comodín, se concede acceso a todas las identidades
asignadas a ese rol para todas las posibles acciones de datos. Esto significa que a
todas esas identidades también se les concederá cualquier nueva acción de datos
agregada a la plataforma. El acceso adicional y los permisos concedidos mediante
nuevas acciones o acciones de datos pueden ser comportamientos no deseados
para los clientes que usan un carácter comodín.
Sugerencia
Opcional: Los clientes que quieran migrar permisos de nivel de recurso compartido
del servidor SMB a otros permisos de RBAC pueden usar el cmdlet Move-
OnPremSharePermissionsToAzureFileShare de PowerShell para migrar permisos de
nivel de directorio y archivo desde el entorno local hasta Azure. Este cmdlet evalúa
los grupos de un recurso compartido de archivos local determinado y, a
continuación, escribe los usuarios y grupos adecuados en el recurso compartido de
archivos de Azure mediante los tres roles RBAC. Al invocar el cmdlet, se
proporciona la información para el recurso compartido local y el recurso
compartido de archivos de Azure.
Puede usar Azure Portal, Azure PowerShell o la CLI de Azure para asignar los roles
integrados a la identidad de Microsoft Entra de un usuario a fin de conceder permisos
de nivel de recurso compartido.
) Importante
Los permisos en el nivel de recurso compartido tardarán hasta tres horas en surtir
efecto una vez completado. Espere a que se sincronicen los permisos antes de
conectarse al recurso compartido de archivos con sus credenciales.
Portal
Para asignar un rol de Azure a una identidad de Microsoft Entra mediante Azure
Portal , siga estos pasos:
Portal
5. Seleccione Guardar.
Pasos siguientes
Ahora que ha asignado los permisos de nivel de recurso compartido, puede configurar
los permisos de nivel de archivo y de directorio. Recuerde que los permisos de nivel de
recurso compartido pueden tardar hasta tres horas en surtir efecto.
Configuración de permisos de directorio
y de nivel de archivo sobre SMB
Artículo • 27/11/2023
Después de asignar los permisos de los recursos compartidos, puede configurar listas de
control de acceso (ACL) de Windows, también conocidas como permisos NTFS, en las
raíces, los directorios o los archivos. Si bien los permisos de nivel de recurso compartido
actúan como un equipo selector de alto nivel que determina si un usuario puede
acceder al recurso compartido, las listas de control de acceso de Windows operan en un
nivel más pormenorizado para controlar qué operaciones puede hacer un usuario en el
nivel de directorio o archivo.
) Importante
Para configurar las ACL de Windows, necesitará una máquina cliente que ejecute
Windows que tenga conectividad de red sin obstáculos al controlador de dominio.
Si va a autenticarse con Azure Files mediante Active Directory Domain Services
(AD DS) o Microsoft Entra Kerberos para identidades híbridas, esto significa que
necesitará conectividad de red sin obstáculos de AD local. Si usa Microsoft Entra
Domain Services, la máquina cliente debe tener conectividad de red sin obstáculos
a los controladores de dominio del dominio administrado por Microsoft Entra
Domain Services, que se encuentran en Azure.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Lectura Lectura
Modificar Modificar
Lectura Lectura
Escritura Escritura
Modificar Modificar
Lectura Lectura
Escritura Escritura
Usuarios Definición
CREATOR OWNER Cada objeto del directorio o archivo tiene un propietario para ese
objeto. Si hay ACL asignadas a CREATOR OWNER en ese objeto, el
usuario que es propietario de este objeto tiene los permisos para el
objeto definido por la ACL.
BUILTIN\Administrators:(OI)(CI)(F)
BUILTIN\Users:(RX)
BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(F)
CREATOR OWNER:(OI)(CI)(IO)(F)
Para más información sobre estos permisos avanzados, consulte la referencia de la línea
de comandos para icacls.
Cómo funciona
Hay dos enfoques que puede adoptar para configurar y editar ACL de Windows:
Es importante que use el comando net use de Windows para montar el recurso
compartido en esta fase, no PowerShell. Si usa PowerShell para montar el recurso
compartido, este no será visible para el Explorador de archivos de Windows o cmd.exe, y
tendrá dificultades a la hora de configurar las ACL de Windows.
7 Nota
Es posible que vea la ACL de control total ya aplicada a un rol. Normalmente, esto
ya ofrece la posibilidad de asignar permisos. Sin embargo, dado que hay
comprobaciones de acceso en dos niveles (el nivel de recurso compartido y el nivel
de archivo o directorio), esto está restringido. Solo los usuarios que tienen el rol
Colaborador con privilegios elevados de SMB y crean un archivo o directorio
pueden asignar permisos en esos archivos o directorios nuevos sin utilizar la clave
de cuenta de almacenamiento. El resto de la asignación de permisos de archivo o
directorio requiere primero conectarse al recurso compartido con la clave de
cuenta de almacenamiento.
) Importante
Para más información sobre cómo usar icacls para establecer ACL de Windows, así como
sobre los distintos tipos de permisos admitidos, vea la referencia de línea de comandos
de icacls.
Pasos siguientes
Ahora que la característica está habilitada y configurada, puede montar un recurso
compartido de archivos desde una máquina virtual unida a un dominio.
Montaje de un recurso compartido de
archivos de Azure
Artículo • 21/12/2023
Se aplica a
ノ Expandir tabla
PowerShell
También puede usar el comando net-use desde una ventana del sistema de Windows
para montar el recurso compartido de archivos. Recuerde reemplazar
<YourStorageAccountName> y <FileShareName> por sus valores propios.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Para montar un recurso compartido de archivos desde una máquina virtual no unida a
un dominio, use la notación username@domainFQDN, donde domainFQDN es el
nombre de dominio completo. Esto permitirá al cliente ponerse en contacto con el
controlador de dominio para solicitar y recibir vales de Kerberos. Es posible obtener el
valor de domainFQDN ejecutando (Get-ADDomain).Dnsroot en el PowerShell de Active
Directory.
Por ejemplo:
7 Nota
Azure Files no admite la traducción de SID a UPN para usuarios y grupos desde una
máquina virtual no unida a un dominio o una máquina virtual unida a un dominio
diferente a través del Explorador de archivos de Windows. Si desea ver los
propietarios de archivos o directorios o ver o modificar permisos NTFS a través del
Explorador de archivos de Windows, puede hacerlo solo desde máquinas virtuales
unidas a un dominio.
7 Nota
Esto permitirá a los clientes montar el recurso compartido con net use
\\mystorageaccount.onpremad1.com porque los clientes de onpremad1 sabrán buscar
h. Seleccione Aceptar.
Pasos siguientes
Si la identidad que creó en AD DS para representar la cuenta de almacenamiento está
en un dominio o en una unidad organizativa que aplica la rotación de contraseñas, es
posible que tenga que actualizar la contraseña de la identidad de la cuenta de
almacenamiento en AD DS.
Actualización de la contraseña de la
identidad de la cuenta de
almacenamiento en AD DS
Artículo • 01/06/2023
7 Nota
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
PowerShell
Esta acción cambiará la contraseña del objeto de AD de kerb1 a kerb2. Esto está
pensado para ser un proceso de dos fases: cambie de kerb1 a kerb2 (kerb2 se volverá a
generar en la cuenta de almacenamiento antes de establecerse), espere varias horas y, a
continuación, vuelva a kerb1 (este cmdlet también volverá a generar kerb1).
) Importante
PowerShell
$KeyName = "kerb1" # Could be either the first or second kerberos key, this
script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -
Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-
Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
) Importante
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Requisitos previos
Dos controladores de dominio de AD DS con bosques diferentes y en diferentes
redes virtuales (VNET)
Permisos suficientes de AD para realizar tareas administrativas (por ejemplo,
Administración de dominio )
Si usa RBAC de Azure, un único servidor de sincronización de Microsoft Entra
Connect debe ser accesible para ambos bosques.
Una confianza de bosque es una confianza transitiva entre dos bosques de AD que
permite a los usuarios de cualquiera de los dominios de un bosque autenticarse en
cualquiera de los dominios del otro bosque.
4. Especifique el nombre de dominio con el que desea crear confianza (en este
ejemplo, onpremad1.com) y, a continuación, seleccione Siguiente.
8. Los usuarios del bosque especificado se pueden autenticar para usar todos los
recursos del bosque local (autenticación en todo el bosque) o solo aquellos
recursos que seleccione (autenticación selectiva). En Nivel de autenticación de
confianza saliente, seleccione Autenticación en todo el bosque, que es la opción
preferida cuando ambos bosques pertenecen a la misma organización. Seleccione
Next (Siguiente).
10. Debería ver un mensaje que indica que la relación de confianza se ha creado
correctamente. Para configurar la confianza, seleccione Siguiente.
Una vez que se supera la autenticación, se establece la confianza y debería poder ver el
dominio especificado onpremad1.com en la pestaña Confianzas.
7 Nota
6. Para crear una cuenta de usuario, vaya a Active Directory > onpremad1.com. Haga
clic con el botón derecho en Usuarios, seleccione Crear, escriba un nombre de
usuario (por ejemplo, onprem1user) y active la casilla Contraseña nunca expira
(opcional).
7. Opcional: si desea usar Azure RBAC para asignar permisos de nivel de recurso
compartido, debe sincronizar el usuario con el identificador de Microsoft Entra
mediante Microsoft Entra Connect. Normalmente, Microsoft Entra Connect Sync se
actualiza cada 30 minutos. Sin embargo, puede forzar que se sincronice
inmediatamente abriendo una sesión de PowerShell con privilegios elevados y
ejecutando Start-ADSyncSyncCycle -PolicyType Delta . Es posible que primero
tenga que instalar el módulo ADSync mediante la ejecución Import-Module ADSync .
Para comprobar que el usuario se ha sincronizado con Microsoft Entra ID, inicie
sesión en Azure Portal con la suscripción de Azure asociada al inquilino de varios
bosques y seleccione Microsoft Entra ID. Seleccione Administrar > usuarios y
busque el usuario que agregó (por ejemplo, onprem1user). La sincronización local
habilitada debe indicar Sí.
Si se produce un error de icacls con un error de acceso denegado, siga estos pasos para
configurar los permisos de nivel de archivo y directorio montando el recurso
compartido con la clave de la cuenta de almacenamiento.
7 Nota
Dado que el sufijo file.core.windows.net es el sufijo de todos los recursos de Azure Files
en lugar de un sufijo para un dominio de AD específico, el controlador de dominio del
cliente no sabe a qué dominio reenviar la solicitud y, por tanto, producirá un error en
todas las solicitudes en las que el recurso no se encuentre en su propio dominio.
Por ejemplo, cuando los usuarios de un dominio del Bosque 1 quieren llegar a un
recurso compartido de archivos con la cuenta de almacenamiento registrada en un
dominio del Bosque 2, esto no funcionará automáticamente porque la entidad de
servicio de la cuenta de almacenamiento no tiene un sufijo que coincida con el sufijo de
ningún dominio del Bosque 1.
Esto permitirá a los clientes montar el recurso compartido con net use
\\onprem1sa.onpremad1.com porque los clientes de onpremad1 o onpremad2 sabrán
i. Seleccione Aceptar.
Ahora, desde clientes unidos a un dominio, debería poder usar cuentas de
almacenamiento unidas a cualquier bosque.
7 Nota
Asegúrese de que la parte de nombre de host del FQDN coincide con el nombre de
la cuenta de almacenamiento, como se ha descrito anteriormente. De lo contrario,
recibe un error de acceso denegado: "La sintaxis de nombre de archivo, nombre de
directorio o etiqueta de volumen es incorrecta". Un seguimiento de red mostrará
STATUS_OBJECT_NAME_INVALID (0xc0000033) mensaje durante la configuración de
la sesión de SMB.
1. Inicie sesión en una máquina o máquina virtual que esté unida a un dominio en el
bosque 2.
2. Abra la consola Dominios y confianzas de Active Directory.
3. Haga clic con el botón derecho en Dominios y confianzas de Active Directory.
4. Seleccione Propiedades y luego seleccione Añadir.
5. Agregue el sufijo "file.core.windows.net" como sufijo de UPN.
6. Seleccione Aplicar y, después, Aceptar para cerrar el asistente.
1. Inicie sesión en una máquina o máquina virtual que esté unida a un dominio en el
Bosque 1.
2. Abra la consola Dominios y confianzas de Active Directory.
3. Haga clic con el botón derecho en el dominio desde el cual quiera acceder al
recurso compartido de archivos, haga clic en la pestaña Confianzas y seleccione el
dominio del Bosque 2 en las confianzas de salida.
4. Seleccione Propiedades y, a continuación, Enrutamiento de sufijo de nombre.
5. Compruebe si aparece el sufijo "*.file.core.windows.net". Si no es así, seleccione
Actualizar.
6. Seleccione "*.file.core.windows.net", y Habilitar y Aplicar.
1. Inicie sesión en una máquina o máquina virtual que esté unida a un dominio en el
bosque 1 y abra un símbolo del sistema de Windows.
2. Para mostrar la caché de credenciales de la cuenta de almacenamiento unida a un
dominio en el Bosque 2, ejecute uno de los siguientes comandos:
3. Debería ver una salida similar a la siguiente. La salida klist variará ligeramente en
función del método que usó para configurar los sufijos de dominio.
4. Inicie sesión en una máquina o máquina virtual que esté unida a un dominio en el
Bosque 2 y abra un símbolo del sistema de Windows.
5. Para mostrar la caché de credenciales de la cuenta de almacenamiento unida a un
dominio en el Bosque 1, ejecute uno de los siguientes comandos:
6. Debería ver una salida similar a la siguiente. La salida klist variará ligeramente en
función del método que usó para configurar los sufijos de dominio.
) Importante
Este método solo funcionará en entornos con dos bosques. Si tiene más de dos
bosques, use uno de los otros métodos para configurar los sufijos de dominio.
1. Inicie sesión en una máquina o máquina virtual que esté unida a un dominio en el
Bosque 1.
2. Abra la consola Dominios y confianzas de Active Directory.
3. Haga clic con el botón derecho en Dominios y confianzas de Active Directory.
4. Seleccione Propiedades y luego seleccione Añadir.
5. Agregue un sufijo UPN alternativo, como "onprem1sa.file.core.windows.net".
6. Seleccione Aplicar y, después, Aceptar para cerrar el asistente.
1. Inicie sesión en una máquina o máquina virtual que esté unida a un dominio en el
bosque 2.
2. Abra la consola Dominios y confianzas de Active Directory.
3. Haga clic con el botón derecho en el dominio al que desea acceder al recurso
compartido de archivos y, a continuación, seleccione la pestaña Confianzas y
seleccione la confianza saliente del Bosque 2 donde se agregó el nombre de
enrutamiento de sufijo.
4. Seleccione Propiedades y, a continuación, Enrutamiento de sufijo de nombre.
5. Compruebe si aparece el sufijo "onprem1sa.file.core.windows.net". Si no es así,
seleccione Actualizar.
6. Seleccione "onprem1sa.file.core.windows.net", y Habilitar y Aplicar.
Pasos siguientes
Para obtener más información, vea estos recursos:
Si no está familiarizado con Azure Files, se recomienda que lea la guía de planeamiento
antes de este artículo.
7 Nota
Requisitos previos
Antes de habilitar Microsoft Entra Domain Services con SMB para los recursos
compartidos de archivos de Azure, asegúrese de que ha completado los requisitos
previos siguientes:
3. Unión a dominio de una máquina virtual de Azure con Microsoft Entra Domain
Services.
7 Nota
Disponibilidad regional
La autenticación de Azure Files con Microsoft Entra Domain Services está disponible en
todas las regiones públicas, de Azure Government y de China .
Siga estos pasos para conceder acceso a los recursos de Azure Files con las credenciales
de Microsoft Entra:
Portal
4. Seleccione Guardar.
) Importante
PowerShell
# 1. Find the service account in your managed domain that represents the
storage account.
$storageAccountName= “<InsertStorageAccountNameHere>”
$searchFilter = "Name -like '*{0}*'" -f $storageAccountName
$userObject = Get-ADUser -filter $searchFilter
# 3. Validate that the object now has the expected (AES256) encryption type.
) Importante
Hay cinco roles integrados de Azure para Azure Files, algunos de los cuales permiten
conceder permisos de nivel de recurso compartido a usuarios y grupos:
) Importante
Puede usar Azure Portal, PowerShell o la CLI de Azure para asignar los roles integrados a
la identidad de Microsoft Entra de un usuario a fin de conceder permisos de nivel de
recurso compartido. Tenga en cuenta que la asignación de roles de Azure de nivel de
recurso compartido puede tardar un tiempo en estar en vigor. Se recomienda usar el
permiso de nivel de recurso compartido para la administración del acceso de alto nivel
para un grupo de AD que represente un grupo de usuarios e identidades y, después,
aprovechar las listas de control de acceso de Windows para el control de acceso
pormenorizado en el nivel de directorio o archivo.
Asignación de un rol de Azure a una identidad de
Microsoft Entra
) Importante
Portal
Para asignar un rol de Azure a una identidad de Microsoft Entra mediante Azure
Portal , siga estos pasos:
Azure Files admite el conjunto completo de permisos básicos y avanzados. Las listas de
control de acceso de Windows se pueden ver y configurar en los directorios y los
archivos de un recurso compartido de archivos de Azure; para ello, monte el recurso
compartido y utilice el Explorador de archivos de Windows o ejecute el comando icacls
o Set-ACL de Windows.
BUILTIN\Administrators:(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
BUILTIN\Users:(RX)
BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
NT AUTHORITY\SYSTEM:(F)
CREATOR OWNER:(OI)(CI)(IO)(F)
Es importante que use el comando net use de Windows para montar el recurso
compartido en esta fase, no PowerShell. Si usa PowerShell para montar el recurso
compartido, este no será visible para el Explorador de archivos de Windows o cmd.exe, y
no podrá configurar las ACL de Windows.
7 Nota
Es posible que vea la ACL de control total ya aplicada a un rol. Normalmente, esto
ya ofrece la posibilidad de asignar permisos. Sin embargo, dado que hay
comprobaciones de acceso en dos niveles (el nivel de recurso compartido y el nivel
de archivo o directorio), esto está restringido. Solo los usuarios que tienen el rol
Colaborador con privilegios elevados de SMB y crean un archivo o directorio
pueden asignar permisos en esos archivos o directorios nuevos sin utilizar la clave
de cuenta de almacenamiento. El resto de la asignación de permisos de archivo o
directorio requiere primero conectarse al recurso compartido con la clave de
cuenta de almacenamiento.
Siga estos pasos para utilizar el Explorador de archivos de Windows a fin de conceder
permisos completos para todos los directorios y archivos en el recurso compartido de
archivos, incluido el directorio raíz.
Para más información sobre cómo usar icacls para establecer listas de control de acceso
de Windows, así como sobre los distintos tipos de permisos admitidos,consulte la
referencia de línea de comandos de icacls.
Inicie sesión en la máquina virtual unida al dominio con la identidad de Microsoft Entra
a la que se concedieron permisos. Asegúrese de iniciar sesión con las credenciales de
Microsoft Entra. Si la unidad ya está montada con la clave de la cuenta de
almacenamiento, deberá desconectar la unidad o volver a iniciar sesión.
Ejecute el script de PowerShell siguiente o use Azure Portal para montar de manera
persistente el recurso compartido de archivos de Azure y asignarlo a la unidad Z: en
Windows. Si Z ya está en uso, reemplácelo por una letra de unidad disponible. Como se
autenticó, no será necesario que proporcione la clave de cuenta de almacenamiento. El
script comprobará si esta cuenta de almacenamiento es accesible a través del puerto
TCP 445, que es el puerto que SMB usa. Recuerde reemplazar <storage-account-name> y
<file-share-name> por sus valores propios. Para más información, consulte Uso de un
recurso compartido.
PowerShell
También puede usar el comando net-use desde una ventana del sistema de Windows
para montar el recurso compartido de archivos. Recuerde reemplazar
<YourStorageAccountName> y <FileShareName> por sus valores propios.
Por ejemplo:
or
Pasos siguientes
Si desea conceder a otros usuarios acceso al recurso compartido de archivos, siga las
instrucciones que aparecen en Asignación de permisos de nivel de recurso compartido y
Configuración de ACL de Windows.
Para más información sobre la autenticación basada en identidad para Azure Files,
consulte estos recursos:
) Importante
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Requisitos previos
Antes de habilitar la autenticación Kerberos de Microsoft Entra con SMB en los recursos
compartidos de archivos de Azure, asegúrese de que ha completado los requisitos
previos siguientes.
7 Nota
Para obtener información sobre cómo crear y configurar una máquina virtual Windows e
iniciar sesión mediante la autenticación basada en Microsoft Entra ID, consulte Inicio de
sesión en una máquina virtual Windows en Azure mediante Microsoft Entra ID.
Los clientes deben estar unidos a Microsoft Entra o a Microsoft Entra híbrido. No se
admite Kerberos de Microsoft Entra en clientes unidos a Microsoft Entra Domain
Services o unidos solo a AD.
Actualmente, esta característica no admite cuentas de usuario que cree y administre
únicamente en Microsoft Entra ID. Las cuentas de usuario deben ser identidades de
usuario híbridas, lo que significa que también necesitará AD DS y Microsoft Entra
Connect o la sincronización en la nube de Microsoft Entra Connect. Debe crear estas
cuentas en Active Directory y sincronizarlas con Microsoft Entra ID. Para asignar
permisos de control de acceso basado en rol (RBAC) de Azure en el recurso compartido
de archivos de Azure a un grupo de usuarios, debe crear el grupo en Active Directory y
sincronizarlo con Microsoft Entra ID.
Disponibilidad regional
Esta característica se admite en las nubes de Azure Public, Azure US Gov y Azure China
21Vianet .
Portal
7. Seleccione Guardar.
2 Advertencia
Puede configurar los permisos de API desde Azure Portal mediante estos pasos:
) Importante
) Importante
Existen dos opciones para configurar los permisos de nivel de directorio y de archivo
con la autenticación Kerberos de Microsoft Entra:
Para configurar los permisos de los niveles de directorio y de archivo a través del
Explorador de archivos de Windows, también es preciso especificar el nombre de
dominio y el GUID de dominio de la instancia local de AD. Esta información la pueden
proporcionar un administrador de dominio o de cliente unido a una instancia local
de AD. Si prefiere realizar la configuración mediante icacls, este paso no es necesario.
) Importante
Puede establecer ACL de nivel de archivo o directorio para las identidades que no
están sincronizadas con Microsoft Entra ID. Sin embargo, estas ACL no se aplicarán
porque el vale de Kerberos usado para la autenticación o autorización no
contendrá estas identidades no sincronizadas. Para aplicar las ACL establecidas, las
identidades deben estar sincronizadas con Microsoft Entra ID.
Sugerencia
Si los usuarios unidos a Microsoft Entra híbrido de dos bosques diferentes van a
acceder al recurso compartido, es mejor usar icacls para configurar los permisos de
nivel de directorio y archivo. Esto se debe a que la configuración de ACL de
Explorador de archivos de Windows requiere que el cliente esté unido al dominio
de Active Directory al que está unida la cuenta de almacenamiento.
Para configurar los permisos de directorio y de nivel de archivo, siga las instrucciones de
Configuración de permisos de directorio y de nivel de archivo a través de SMB.
) Importante
Una vez aplicado este cambio, los clientes no podrán conectarse a las cuentas de
almacenamiento configuradas para la integración de AD DS local sin configurar las
asignaciones de dominio de Kerberos. Si desea que los clientes puedan conectarse
a cuentas de almacenamiento configuradas para AD DS, así como a cuentas de
almacenamiento configuradas para Kerberos de Microsoft Entra, siga los pasos
descritos en Configuración de la coexistencia con cuentas de almacenamiento
mediante AD DS local.
Agregue una entrada para cada cuenta de almacenamiento que use la integración de
AD DS local. Use uno de los siguientes tres métodos para configurar las asignaciones de
dominio kerberos. Los cambios no son instantáneos y requieren una actualización de la
directiva o un reinicio para surtir efecto.
) Importante
Puede ver la lista de las asignaciones del nombre de host actual al dominio
kerberos al inspeccionar la clave del Registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToReal
m.
) Importante
Una vez aplicado este cambio, los clientes no podrán conectarse a las cuentas de
almacenamiento configuradas para la autenticación Kerberos de Microsoft Entra.
Sin embargo, podrán conectarse a las cuentas de almacenamiento configuradas
para AD DS, sin ninguna configuración adicional.
Deshabilitación de la autenticación de
Microsoft Entra en la cuenta de
almacenamiento
Si quiere usar otro método de autenticación, puede deshabilitar la autenticación de
Microsoft Entra en la cuenta de almacenamiento mediante Azure Portal, Azure
PowerShell o la CLI de Azure.
7 Nota
Portal
Pasos siguientes
Para obtener más información, vea estos recursos:
Para usar la primera opción (AD DS), debe sincronizar AD DS con Microsoft Entra ID
mediante Microsoft Entra Connect.
7 Nota
En este artículo se usa Ubuntu para los pasos de ejemplo. Las configuraciones
similares funcionarán para las máquinas RHEL y SLES, lo que le permite montar
recursos compartidos de archivos de Azure mediante Active Directory.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
como para montarse en tiempo de arranque. Sin embargo, puede usar una fstab
entrada y especificar la opción noauto . Esto no montará el recurso compartido en
tiempo de arranque, pero permitirá a un usuario montar convenientemente el recurso
compartido de archivos después de iniciar sesión con un comando de montaje simple
sin todos los parámetros. También puede usar autofs para montar el recurso compartido
tras el acceso.
Prerrequisitos
Antes de habilitar la autenticación de AD sobre SMB para los recursos compartidos de
archivos de Azure, asegúrese de que cumple los siguientes requisitos previos.
Una máquina virtual Linux (Ubuntu 18.04+ o una máquina virtual de RHEL o SLES
equivalente) que se ejecuta en Azure. La máquina virtual debe tener al menos una
interfaz de red en la red virtual que contenga Microsoft Entra Domain Services o
una máquina virtual Linux local con AD DS sincronizado con Microsoft Entra ID.
Credenciales de usuario raíz o usuario en una cuenta de usuario local que tiene
derechos de sudo completos (para esta guía, localadmin).
La máquina virtual Linux no debe haber unido ningún dominio de AD. Si ya forma
parte de un dominio, primero debe dejar ese dominio para poder unirse a este
dominio.
Un inquilino de Microsoft Entra totalmente configurado, con el usuario de dominio
ya configurado.
Bash
La herramienta wbinfo forma parte del conjunto samba. Puede ser útil para fines de
autenticación y depuración, como comprobar si se puede acceder al controlador de
dominio, comprobar a qué dominio está unido una máquina y buscar información sobre
los usuarios.
Asegúrese de que el host de Linux mantiene el tiempo sincronizado con el servidor de
dominio. Consulte la documentación de la distribución de Linux. Para algunas
distribuciones, puede hacerlo mediante systemd-timesyncd . Edite
/etc/systemd/timesyncd.conf con su editor de texto favorito para incluir lo siguiente:
plaintext
[Time]
NTP=onpremaadint.com
FallbackNTP=ntp.ubuntu.com
Bash
Bash
systemd-resolve --status
Resultados
Global
DNSSEC NTA: 10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
corp
d.f.ip6.arpa
home
internal
intranet
lan
local
private
test
Link 2 (eth0)
Current Scopes: DNS
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
DNS Servers: 10.0.2.5
10.0.2.4
10.0.0.41
DNS Domain: domain1.contoso.com
Bash
ping 10.0.2.5
Resultados
^C
5. Si las direcciones IP están haciendo ping pero los servidores DNS no se detectan
automáticamente, puede agregar los servidores DNS manualmente. Edite
/etc/netplan/50-cloud-init.yaml en el editor de texto que prefiera.
plaintext
Bash
6. Winbind supone que el servidor DHCP mantiene actualizados los registros DNS del
dominio. Sin embargo, esto no es cierto para DHCP de Azure. Para configurar el
cliente para realizar actualizaciones de DDNS, use esta guía para crear un script de
red. Este es un script de ejemplo que reside en /etc/dhcp/dhclient-exit-
hooks.d/ddns-update .
plaintext
#!/bin/sh
nsupdate $nsupdatecmds
fi
Bash
ping contosodomain.contoso.com
Resultados
^C
Bash
nslookup
> set type=SRV
> _ldap._tcp.contosodomain.contoso.com.
Resultados
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
plaintext
Bash
Resultados
127.0.0.1 contosovm.contosodomain.contoso.com contosovm
Bash
dnsdomainname
Resultados
contosodomain.contoso.com
Bash
hostname -f
Resultados
contosovm.contosodomain.contoso.com
7 Nota
Configuración de krb5.conf
1. Configure /etc/krb5.conf para que el centro de distribución de claves (KDC) de
Kerberos con el servidor de dominio pueda ser contactado para la autenticación.
Para obtener más información, consulte Documentación de Kerberos MIT . Aquí
tiene un archivo /etc/krb5.conf de muestra.
plaintext
[libdefaults]
default_realm = CONTOSODOMAIN.CONTOSO.COM
dns_lookup_realm = false
dns_lookup_kdc = true
Configuración de smb.conf
1. Identifique la ruta de acceso a smb.conf .
Bash
Resultados
CONFIGFILE: /etc/samba/smb.conf
2. Cambie la configuración de SMB para que actúe como miembro de dominio. Para
obtener más información, consulte Configuración de Samba como miembro de
dominio . Aquí tiene un archivo smb.conf de muestra.
7 Nota
Este ejemplo es para Microsoft Entra Domain Services, para el que se recomienda
establecer backend = rid al configurar idmap. Es posible que los usuarios de AD
DS locales prefieran elegir un back-end idmap diferente .
plaintext
[global]
workgroup = CONTOSODOMAIN
security = ADS
realm = CONTOSODOMAIN.CONTOSO.COM
load printers = No
printing = bsd
printcap name = /dev/null
disable spoolss = Yes
Bash
Unir al dominio
1. Use el comando net ads join para unir el host al dominio de Microsoft Entra
Domain Services. Si el comando produce un error, consulte Solución de problemas
de miembros del dominio samba para resolver el problema.
Bash
Resultados
2. Asegúrese de que el registro DNS existe para este host en el servidor de dominio.
Bash
Resultados
Server: 10.0.2.5
Address: 10.0.2.5#53
Name: contosovm.contosodomain.contoso.com
Address: 10.0.0.8
Configuración de nsswitch.conf
1. Ahora que el host está unido al dominio, debe colocar bibliotecas winbind en los
lugares para buscar al buscar usuarios y grupos. Para ello, actualice las entradas de
grupo y passwd en nsswitch.conf . Use el editor de texto para editar
/etc/nsswitch.conf y agregar las siguientes entradas:
plaintext
Bash
Resultados
Bash
Resultados
winbind.service - Samba Winbind Daemon
Loaded: loaded (/lib/systemd/system/winbind.service; enabled; vendor
preset: enabled)
Active: active (running) since Fri 2020-04-24 09:34:31 UTC; 10s ago
Docs: man:winbindd(8)
man:samba(7)
man:smb.conf(5)
Main PID: 27349 (winbindd)
Status: "winbindd: ready to serve connections..."
Tasks: 2 (limit: 4915)
CGroup: /system.slice/winbind.service
├─27349 /usr/sbin/winbindd --foreground --no-process-group
└─27351 /usr/sbin/winbindd --foreground --no-process-group
Bash
Resultados
contososmbadmin:*:12604:10513::/home/contososmbadmin:/bin/bash
Bash
Resultados
domain users:x:10513:
wbinfo --ping-dc
Bash
Bash
Resultados
3. Ahora debería poder iniciar sesión en este sistema como usuario del dominio, ya
sea a través de ssh, su o cualquier otro medio de autenticación.
Bash
su - contososmbadmin
Password:
Resultados
Comprobación de la configuración
Para comprobar que la máquina cliente está unida al dominio, busque el FQDN del
cliente en el controlador de dominio y busque la entrada DNS indicada para este cliente
determinado. En muchos casos, <dnsserver> es el mismo que el nombre de dominio al
que está unido el cliente.
Bash
A continuación, use el comando klist para ver los vales en la memoria caché de
Kerberos. Debe haber una entrada que comience con krbtgt y tenga un aspecto similar
al siguiente:
plaintext
krbtgt/CONTOSODOMAIN.CONTOSO.COM@CONTOSODOMAIN.CONTOSO.COM
Si no configuró PAM para winbind, klist es posible que no muestre la entrada del vale.
En este caso, puede autenticar manualmente al usuario para obtener los vales:
Bash
wbinfo -K contososmbadmin
Bash
wbinfo -K 'contososmbadmin%SUPERSECRETPASSWORD'
Use la siguiente opción de montaje adicional con todos los modelos de control de
acceso para habilitar la seguridad de Kerberos: sec=krb5
7 Nota
Permisos de archivo
Los permisos de archivo son importantes, especialmente si los clientes de Linux y
Windows tendrán acceso al recurso compartido de archivos. Para convertir permisos de
archivo a DACL en archivos, use una opción de montaje predeterminada, como
file_mode=<>,dir_mode=<>. Los permisos de archivo especificados como file_mode y
dir_mode solo se aplican dentro del cliente. El servidor aplica el control de acceso en
función del descriptor de seguridad del archivo o del directorio.
Propiedad del archivo
La propiedad de los archivos es importante, especialmente si los clientes de Linux y
Windows accederán al recurso compartido de archivos. Elija una de las siguientes
opciones de montaje para convertir la propiedad del archivo UID/GID al SID de
propietario o grupo en la DACL del archivo:
Para los kernels más recientes, considere la posibilidad de establecer las características
de actimeo de forma más detallada. Puede usar acdirmax para el almacenamiento en
caché de revalidación de entrada de directorio y acregmax para almacenar en caché los
metadatos del archivo, por ejemplo acdirmax=60,acregmax=5.
Pasos siguientes
Para más información sobre cómo montar un recurso compartido de archivos SMB en
Linux, consulte:
Cuando se accede a los datos de archivos mediante Azure Portal , este realiza
solicitudes a Azure Files en segundo plano. Estas solicitudes se pueden autorizar
mediante la cuenta de Microsoft Entra o la clave de acceso a la cuenta de
almacenamiento. El portal indica qué método está usando, y le permite alternar entre
ambos si tiene los permisos adecuados.
Tiene asignado un rol (ya sea integrado o personalizado) que proporciona acceso
a los datos de archivos.
Tiene asignado como mínimo el rol Lector de Azure Resource Manager, con el
ámbito establecido en el nivel de la cuenta de almacenamiento o en un nivel
superior. El rol Lector concede los permisos más restringidos, pero otro rol de
Azure Resource Manager que conceda acceso a los recursos de administración de
la cuenta de almacenamiento también es aceptable.
El rol Lector de Azure Resource Manager permite a los usuarios ver recursos de la
cuenta de almacenamiento, pero no modificarlos. No proporciona permisos de lectura
en los datos de Azure Storage, sino únicamente en los recursos de administración de la
cuenta. El rol Lector es necesario para que los usuarios puedan navegar a recursos
compartido de archivos en Azure Portal.
Hay dos nuevos roles integrados que tienen los permisos necesarios para acceder a los
datos de archivo con OAuth:
Para obtener información sobre los roles integrados que admiten el acceso a los datos
de archivos, consulte Acceso a recursos compartidos de archivos de Azure mediante
Microsoft Entra ID con OAuth de Azure Files a través de REST.
7 Nota
) Importante
7 Nota
Se requieren dos permisos de RBAC adicionales para usar la cuenta de Microsoft Entra:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/actio
n
Para especificar que el portal usará la autorización con Microsoft Entra de forma
predeterminada para el acceso a datos al crear una cuenta de almacenamiento, siga
estos pasos:
Para actualizar esta configuración para una cuenta de almacenamiento existente, siga
estos pasos:
Consulte también
Acceso a recursos compartidos de archivos de Azure mediante Microsoft Entra ID
con OAuth de Azure Files a través de REST
Autorización del acceso a datos en Azure Storage
Habilitación de la eliminación temporal
en recursos compartidos de archivos de
Azure
Artículo • 28/12/2023
Se aplica a
ノ Expandir tabla
Requisitos previos
Si planea usar Azure PowerShell, instale la versión más reciente.
Si planea usar la CLI de Azure, instale la versión más reciente.
Introducción
En las secciones siguientes se muestra cómo habilitar y usar la eliminación temporal
para recursos compartidos de archivos de Azure en una cuenta de almacenamiento
existente:
Portal
4. Seleccione Enabled (Habilitado) para Soft delete for all file shares
(Eliminación temporal para todos los recursos compartidos de archivos).
Portal
Pasos siguientes
Para obtener información sobre otra forma de protección y recuperación de datos,
consulte Introducción a las instantáneas de recursos compartidos de Azure Files.
Cambio en la forma en que se replican
las cuentas de almacenamiento
Artículo • 18/08/2023
Azure Storage siempre almacena varias copias de los datos en la misma zona para que
estén protegidos frente a eventos planeados y no planeados. Por ejemplo, errores
transitorios de hardware, cortes de red o de energía y desastres naturales masivos. La
redundancia garantiza que la cuenta de almacenamiento cumpla el Acuerdo de Nivel de
Servicio (SLA) de Azure Storage , incluso en caso de errores.
Redundancia local: los datos siempre se replican tres veces dentro de la región
local o primaria (LRS)
Redundancia de zona: si los datos se replican entre diferentes zonas dentro de la
región primaria (LRS frente a ZRS)
Redundancia geográfica: replicación dentro de una sola región "local" o entre una
región primaria y una región secundaria (LRS frente a GRS)
Acceso de lectura (RA): acceso de lectura a la región secundaria cuando se usa
redundancia geográfica (GRS frente a RA-GRS)
Para obtener información general sobre todas las opciones de redundancia, consulte
Redundancia de Azure Storage.
Use Azure Portal, Azure PowerShell o la CLI de Azure para agregar o quitar la
replicación geográfica o el acceso de lectura a la región secundaria.
Realice una conversión para agregar o quitar la redundancia de zona.
Realice una migración manual en escenarios en los que no se admiten las dos
primeras opciones o para asegurarse de que el cambio se completa en un
momento específico.
7 Nota
... desde ZRS Realizar una Cambiar primero N/D Usar Azure Portal,
conversión3 a GZRS/RA- PowerShell o la
GZRS1 y, luego, CLI1
realizar una
conversión a
GRS/RA-GRS3
Conmutación ... a LRS …a GRS/RA-GRS …a ZRS …a GZRS/RA-
6 GZRS 2,6
1
Al agregar redundancia geográfica genera un cargo de salida único.
2
Si la cuenta de almacenamiento contiene blobs en el nivel de archivo, revise las
limitaciones del nivel de acceso antes de cambiar el tipo de redundancia por la
redundancia geográfica o de zona.
3
El tipo de conversión admitido depende del tipo de cuenta de almacenamiento. Para
más información, consulte la tabla de la cuenta de almacenamiento.
4
No se admite la conversión a ZRS o GZRS para una cuenta LRS resultante de una
conmutación por error. Para más información, consulte Conmutación por error y
conmutación por recuperación.
5 La conversión de LRS a ZRS no se admite si la compatibilidad con el protocolo NFSv3
está habilitada para Azure Blob Storage o si la cuenta de almacenamiento contiene
recursos compartidos de Azure Files NFSv4.1.
6 Aunque la habilitación de la redundancia geográfica parezca producirse
instantáneamente, la conmutación por error a la región secundaria no se puede iniciar
hasta que se haya completado la sincronización de datos entre las dos regiones.
Portal
4. Seleccione Guardar.
Sugerencia
Microsoft recomienda usar, siempre que sea posible, la conversión iniciada por el
cliente en lugar de la conversión solicitada por el soporte técnico. Con la
conversión iniciada por el cliente, puede iniciar y supervisar el progreso de la
solicitud de conversión directamente desde Azure Portal, y no es necesario abrir y
administrar una solicitud de soporte técnico.
7 Nota
La conversión iniciada por el cliente solo está disponible desde el Azure Portal, no desde
PowerShell ni la CLI de Azure. Para iniciar la conversión, realice los mismos pasos que se
usan para cambiar otras opciones de configuración de replicación en la Azure Portal tal
y como se describe en Cambio de la configuración de replicación mediante el portal,
PowerShell o la CLI.
La conversión iniciada por el cliente no está disponible en todas las regiones. Consulte
las limitaciones de la región para más información.
A medida que se evalúa y procesa la solicitud de conversión, el estado debe avanzar por
la lista que se muestra en la tabla siguiente:
Status Explicación
1
Una vez iniciada, la conversión puede tardar hasta 72 horas en comenzar realmente. Si
la conversión no especifica el estado "En curso" en un plazo de 96 horas después de
iniciar la solicitud, envíe una solicitud de soporte técnico a Microsoft para determinar el
motivo.
2
Si se produce un error en la conversión, envíe una solicitud de soporte técnico a
Microsoft para determinar el motivo.
7 Nota
Los clientes todavía pueden solicitar una conversión abriendo una solicitud de soporte
técnico con Microsoft.
Sugerencia
7. Rellene la información adicional requerida en la pestaña Detalles adicionales y, a
continuación, seleccione Revisar y crear para revisar y enviar su incidencia de
soporte técnico. Un responsable de soporte técnico se pondrá en contacto con
usted para proporcionarle la asistencia que necesite.
Migración manual
Una migración manual proporciona más flexibilidad y control que una conversión.
Puede usar esta opción si necesita mover los datos en una fecha determinada o si la
conversión no se admite en su escenario. La migración manual también es útil al mover
una cuenta de almacenamiento a otra región. Consulte Mover una cuenta de Azure
Storage a otra región para obtener más detalles.
) Importante
Con una migración manual, copia los datos de la cuenta de almacenamiento existente
en una nueva cuenta de almacenamiento. Para realizar una migración manual, puede
usar una de las siguientes opciones:
Copie los datos mediante una herramienta existente como AzCopy, una de las
bibliotecas cliente de Azure Storage o una herramienta de terceros de confianza.
Si conoce Hadoop o HDInsight, puede asociar tanto la cuenta de almacenamiento
de origen como la de destino a su clúster. Después, realice un paralelismo del
proceso de copia de datos con una herramienta como DistCp.
Para obtener instrucciones más detalladas sobre cómo realizar una migración manual,
consulte Traslado de una cuenta de Azure Storage a otra región.
Región
Conflictos de características
Tipo de cuenta de almacenamiento
Nivel de acceso
Compatibilidad con protocolos
Conmutación por error y conmutación por recuperación
Region
Asegúrese de que la región donde se encuentra la cuenta de almacenamiento admite
toda la configuración de replicación deseada. Por ejemplo, si va a convertir la cuenta en
con redundancia de zona (ZRS, GZRS o RA-GZRS), asegúrese de que la cuenta de
almacenamiento está en una región que la admita. Consulte las listas de regiones
admitidas para almacenamiento con redundancia de zona y almacenamiento con
redundancia de zona geográfica.
) Importante
La conversión iniciada por el cliente de LRS a ZRS está disponible en todas las
regiones públicas que admiten ZRS, excepto en las siguientes:
Conflictos de características
Algunas características de la cuenta de almacenamiento no son compatibles con otras
características o operaciones. Por ejemplo, la capacidad de conmutar por error a la
región secundaria es la característica clave de redundancia geográfica, pero otras
características no son compatibles con la conmutación por error. Para obtener más
información sobre las características y los servicios que no se admiten con la
conmutación por error, consulte Características y servicios no admitidos. La conversión
de una cuenta a GRS, GZRS o RA-GZRS podría bloquearse si se habilita una
característica en conflicto o podría ser necesario deshabilitar la característica más
adelante antes de iniciar una conmutación por error.
De uso general ✅ ✅ ✅ ✅ ✅
estándar, v2
Recursos compartidos ✅ ✅ ✅1 ✅
de archivos Prémium
Blobs en bloques ✅ ✅ ✅
Premium
Blob en páginas ✅
Premium
Discos administrados2 ✅ ✅ ✅ ✅
3
De uso general, ✅ ✅
estándar, v1
ZRS clásico 4 ✅
(disponible en cuentas
estándar de uso general v1)
1
La conversión de recursos compartidos de archivos prémium solo está disponible
cuando se abre una solicitud de soporte técnico; actualmente no se admite la
conversión iniciada por el cliente.
2 Los discos administrados están disponibles para LRS y ZRS, aunque los discos ZRS
tienen algunas limitaciones. Si un disco LRS es regional (sin zona especificada), se puede
convertir cambiando la SKU. Si un disco LRS es zonal, solo se puede migrar
manualmente siguiendo el proceso de Migración de los discos administrados. Puede
almacenar instantáneas e imágenes de discos administrados SSD estándar en un
almacenamiento HDD estándar y elegir entre las opciones LRS y ZRS . Para más
información sobre la integración con conjuntos de disponibilidad, consulte Introducción
a los discos administrados de Azure.
3 Si la cuenta de almacenamiento es v1, deberá actualizarla a v2 antes de realizar una
conversión. Para información sobre cómo actualizar la cuenta v1, consulte Actualización
a una cuenta de almacenamiento de uso general v2.
4 Las cuentas de almacenamiento clásicas de ZRS han quedado en desuso. Para obtener
información sobre la conversión de cuentas de ZRS Classic, consulte Conversión de
cuentas de ZRS Classic.
) Importante
Las cuentas de ZRS Classic han quedado en desuso el 31 de marzo de 2021. Los
clientes ya no pueden crear cuentas ZRS Classic. Si todavía tiene algunas, debe
actualizarlas a cuentas de uso general v2.
Las cuentas de ZRS Classic replican los datos de forma asíncrona entre los centros de
datos de una o dos regiones. Los datos replicados no estaban disponibles a menos que
Microsoft iniciara una conmutación por error al secundario. Una cuenta de ZRS clásico
no puede convertirse a o desde LRS, GRS o RA-GRS. Las cuentas de ZRS clásico no
admiten ni las métricas ni el registro.
Para cambiar ZRS Classic a otro tipo de replicación, use uno de los métodos siguientes:
Portal
Para migrar manualmente los datos de la cuenta de ZRS Classic a otro tipo de
replicación, siga los pasos para realizar una migración manual.
Si desea migrar sus datos a una cuenta de almacenamiento redundante por zonas
situada en una región diferente a la cuenta de origen, debe realizar una migración
manual. Para más detalles, consulte Mover una cuenta de Azure Storage a otra región.
Nivel de acceso
Asegúrese de que la opción de replicación deseada admite el nivel de acceso que se usa
actualmente en la cuenta de almacenamiento. Por ejemplo, las cuentas de
almacenamiento ZRS, GZRS y RA-GZRS no admiten actualmente el nivel de archivo. Vea
Niveles de acceso frecuente, esporádico y de archivo para los datos de blobs para
obtener más detalles. Para convertir una cuenta LRS, GRS o RA-GRS en una que admita
redundancia de zona, mueva primero los blobs archivados a una cuenta de
almacenamiento que admita blobs en el nivel de archivo. A continuación, convierta la
cuenta de origen en ZRS, GZRS y RA-GZRS.
Para cambiar una cuenta de almacenamiento LRS que contiene blobs en el nivel de
archivo a GRS o RA-GRS, primero debe rehidratar todos los blobs archivados al nivel de
acceso frecuente o esporádico o realizar una migración manual.
Sugerencia
La compatibilidad con el protocolo NFSv3 está habilitada para Azure Blob Storage.
La cuenta de almacenamiento contiene recursos compartidos de Azure
Files NFSv4.1.
Si decide realizar una migración manual, se requiere tiempo de inactividad, pero tiene
más control sobre el tiempo del proceso de migración.
Tiempo y frecuencia
Si inicia la conversión de una redundancia de zona desde Azure Portal, el proceso puede
tardar hasta 72 horas en comenzar. Puede tardar más tiempo en iniciarse si solicita una
conversión abriendo una solicitud de soporte técnico. Si la conversión iniciada por el
cliente no especifica el estado "En curso" en un plazo de 96 horas después de iniciar la
solicitud, envíe una solicitud de soporte técnico a Microsoft para determinar el motivo.
Para supervisar el progreso de una conversión iniciada por el cliente, consulte
Supervisión del progreso de la conversión iniciada por el cliente.
No hay ningún Acuerdo de Nivel de Servicio para completar una conversión. Si necesita
más control sobre cuándo comienza y finaliza una conversión, considere la posibilidad
de realizar una migración manual. Por lo general, cuantos más datos tenga en su cuenta,
más tiempo tardará en replicar esos datos en otras zonas de la región.
Si quita la redundancia geográfica (cambia de GRS a LRS), no hay ningún costo por
realizar el cambio, pero los datos replicados se eliminan de la ubicación secundaria.
) Importante
Consulte también
Redundancia de Azure Storage
Uso de redundancia geográfica para diseñar aplicaciones de alta disponibilidad
Traslado de una cuenta de Azure Storage a otra región
Comprobación de la propiedad Hora de la última sincronización de una cuenta de
almacenamiento
Comprobación de la propiedad Hora de
la última sincronización de una cuenta
de almacenamiento
Artículo • 02/08/2023
Cuando se configura una cuenta de almacenamiento, se puede definir que los datos se
copien en una región secundaria que se encuentra a cientos de kilómetros de la región
primaria. La replicación geográfica proporciona durabilidad para los datos en caso de
que se produzca una interrupción importante en la región primaria, como un desastre
natural. Si, además, habilita el acceso de lectura a la región secundaria, los datos
seguirán disponibles para las operaciones de lectura si la región primaria deja de estar
disponible. Puede diseñar la aplicación para que cambie sin problemas a la lectura
desde la región secundaria si la región primaria no responde.
PowerShell
PowerShell
Consulte también
Redundancia de Azure Storage
Cambio de la opción de redundancia para una cuenta de almacenamiento
Uso de redundancia geográfica para diseñar aplicaciones de alta disponibilidad
Inicio de una conmutación por error de
la cuenta de almacenamiento
Artículo • 20/10/2023
En este artículo se muestra cómo iniciar una conmutación por error de la cuenta de
almacenamiento mediante Azure Portal, PowerShell o la CLI de Azure. Para más
información sobre la conmutación por error de la cuenta, consulte Recuperación ante
desastres y conmutación por error de la cuenta de almacenamiento.
2 Advertencia
7 Nota
Prerrequisitos
Para poder realizar una conmutación por error de su cuenta de almacenamiento,
asegúrese de lo siguiente:
7 Nota
Portal
Para iniciar una conmutación por error de la cuenta desde Azure Portal, siga estos
pasos:
Para calcular el alcance de la posible pérdida de datos antes de iniciar una conmutación
por error, compruebe la propiedad Hora de la última sincronización. Para más
información sobre cómo comprobar la propiedad Hora de la última actualización,
consulte Comprobación de la propiedad Hora de la última sincronización de una cuenta
de almacenamiento.
El tiempo que se tarda en realizar la conmutación por error después del inicio puede
variar, aunque por lo general tarda menos de una hora.
Después de la conmutación por error, el tipo de cuenta de almacenamiento se convierte
automáticamente en almacenamiento con redundancia local (LRS) en la nueva región
primaria. Puede volver a habilitar el almacenamiento con redundancia geográfica (GRS)
o el almacenamiento con redundancia geográfica con acceso de lectura (RA-GRS) para
la cuenta. Tenga en cuenta que la conversión de LRS a GRS o a RA-GRS supone un costo
adicional. El costo se debe a los cargos de salida de red para volver a replicar los datos
en la nueva región secundaria. Para más información, consulte Detalles de precios de
ancho de banda .
Pasos siguientes
Recuperación ante desastres y conmutación por error de la cuenta de
almacenamiento
Comprobación de la propiedad Hora de la última sincronización de una cuenta de
almacenamiento
Uso de redundancia geográfica para diseñar aplicaciones de alta disponibilidad
Tutorial: Creación de una aplicación de alta disponibilidad con Blob Storage
Copia de seguridad de recursos
compartidos de archivos de Azure
Artículo • 19/03/2023
Requisitos previos
Asegúrese de que el recurso compartido de archivos se encuentra en uno de los
tipos de cuenta de almacenamiento admitidos.
Identifique o cree un almacén de Recovery Services en la misma región y
suscripción que la cuenta de almacenamiento que hospeda el recurso compartido
de archivos.
En caso de tener un acceso restringido a la cuenta de almacenamiento, compruebe
la configuración del firewall de la cuenta de almacenamiento para asegurarse de
que se concede la excepción "Permitir que los servicios de Azure de la lista de
servicios de confianza accedan a esta cuenta de almacenamiento". Puede consultar
este vínculo para ver los pasos para conceder una excepción.
Grupo de recursos: Use un grupo de recursos existente o cree uno. Para ver
la lista de los grupos de recursos disponibles en una suscripción, seleccione
Usar existente y, a continuación, un recurso de la lista desplegable. Para crear
un grupo de recursos, seleccione Crear nuevo y escriba un nombre. Para más
información sobre los grupos de recursos, consulte Información general de
Azure Resource Manager.
) Importante
Azure Backup ahora admite los almacenes inmutables que ayudan a garantizar que
los puntos de recuperación creados no se pueden eliminar antes de su expiración,
según la directiva de copia de seguridad. Puedes hacer irreversible la inmutabilidad
para ofrecer la máxima protección a los datos de copia de seguridad datos contra
diversas amenazas, incluidos los ataques de ransomware y los actores
malintencionados. Más información.
2. Seleccione Azure Files (Azure Storage) como tipo de origen de datos, elija el
almacén con el que quiere proteger los recursos compartidos de archivos y,
luego, haga clic en Continuar.
7 Nota
Filtre por Azure Files (Azure Storage) como tipo de origen de datos.
Procedimientos recomendados
No elimine las instantáneas que crea Azure Backup. La eliminación de instantáneas
puede provocar la pérdida de puntos de recuperación o errores de restauración.
Pasos siguientes
Obtenga información sobre cómo:
La CLI de Azure es la forma de usar la línea de comandos para administrar los recursos
de Azure. Es una herramienta excelente para personalizar la automatización del uso de
los recursos de Azure. En este artículo se detalla cómo realizar una copia de seguridad
de los recursos compartidos de archivos de Azure con la CLI de Azure. Estos pasos
también se pueden realizar desde Azure PowerShell o Azure Portal.
Al final de este tutorial, habrá aprendido a realizar las siguientes operaciones mediante
la CLI de Azure:
Prerrequisitos
Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio
rápido para Bash en Azure Cloud Shell.
Azure CLI
Resultados
Location Name
---------- ----------
eastus AzureFiles
2. Use el cmdlet az backup vault create para crear el almacén. Especifique para el
almacén la misma ubicación del grupo de recursos.
Azure CLI
Para habilitar la copia de seguridad de recursos compartidos de archivos, debe crear una
directiva de protección que defina cuándo se ejecuta un trabajo de copia de seguridad y
durante cuánto tiempo se almacenan los puntos de recuperación. Puede crear una
directiva de copia de seguridad mediante el cmdlet az backup policy create.
Azure CLI
Resultados
Name ResourceGroup
------------------------------------ ---------------
0caa93f4-460b-4328-ac1d-8293521dd928 azurefiles
El atributo Name de la salida corresponde al nombre del trabajo creado por el servicio
de copia de seguridad para la operación de habilitación de copia de seguridad. Para
realizar el seguimiento del estado del trabajo, use el cmdlet az backup job show.
Debe definir los parámetros siguientes para desencadenar una copia de seguridad a
petición:
Azure CLI
Resultados
Name ResourceGroup
------------------------------------ ---------------
9f026b4f-295b-4fb8-aae0-4f058124cb12 azurefiles
El atributo Name de la salida corresponde al nombre del trabajo creado por el servicio
de copia de seguridad para la operación de "copia de seguridad a petición". Para
realizar el seguimiento del estado de un trabajo, use el cmdlet az backup job show.
Pasos siguientes
Más información sobre cómo restaurar recursos compartidos de archivos de Azure
con la CLI
Más información sobre cómo administrar copias de seguridad de recursos
compartidos de archivos de Azure con la CLI
Copia de seguridad de un recurso
compartido de archivos de Azure
mediante PowerShell
Artículo • 11/05/2023
En este artículo se describe cómo usar Azure PowerShell para realizar copias de
seguridad de un recurso compartido de archivos de Azure Files mediante el almacén de
Recovery Services de Azure Backup.
Antes de comenzar
Más información sobre los almacenes de Recovery Services.
Configurar PowerShell
7 Nota
7 Nota
7 Nota
Azure PowerShell
Azure PowerShell
Get-Command *azrecoveryservices*
3. Revise los alias y cmdlets de Azure Backup, Azure Site Recovery y el almacén de
Recovery Services. Este es un ejemplo de lo que puede ver. No es la lista completa
de los cmdlets.
4. Inicie sesión en su cuenta de Azure mediante el cmdlet Connect-AzAccount.
6. Debe asociar la suscripción que quiere usar con la cuenta, ya que una cuenta
puede tener varias suscripciones:
Azure PowerShell
Azure PowerShell
Register-AzResourceProvider -ProviderNamespace
"Microsoft.RecoveryServices"
Azure PowerShell
Azure PowerShell
Azure PowerShell
Azure PowerShell
Get-AzRecoveryServicesVault
La salida será similar a la siguiente. Tenga en cuenta que la salida proporciona el grupo
de recursos y la ubicación asociados.
Azure PowerShell
Name : Contoso-vault
ID : /subscriptions/1234
Type : Microsoft.RecoveryServices/vaults
Location : WestUS
ResourceGroupName : Contoso-docs-rg
SubscriptionId : 1234-567f-8910-abc
Properties :
Microsoft.Azure.Commands.RecoveryServices.ARSVaultProperties
Azure PowerShell
Una directiva de copia de seguridad está asociada con al menos una directiva de
retención. Una directiva de retención define el tiempo que se conserva un punto de
recuperación antes de que se elimine. Puede configurar copias de seguridad con
retención diaria, semanal, mensual o anual. Con la directiva de varias copias de
seguridad, también puede configurar la retención por hora de las copias de seguridad.
Azure PowerShell
) Importante
Azure PowerShell
Azure PowerShell
Azure PowerShell
Azure PowerShell
Azure PowerShell
Azure PowerShell
Enable-AzRecoveryServicesBackupProtection -StorageAccountName
"testStorageAcct" -Name "testAzureFS" -Policy $afsPol
Siempre se recomienda realizar una lista de los elementos y luego recuperar su nombre
único del campo del nombre de la respuesta. Use este valor para filtrar los elementos
con el parámetro Name. De lo contrario, use el parámetro FriendlyName para recuperar
el elemento con su id.
) Importante
Azure PowerShell
Azure PowerShell
El comando devuelve un trabajo con un id. del cual se puede realizar un seguimiento, tal
como se indica en el ejemplo siguiente:
Azure PowerShell
Pasos siguientes
Obtenga información sobre cómo realizar copias de seguridad de archivos de
Azure Files en Azure Portal.
Consulte el script de ejemplo en GitHub para usar un runbook de Azure
Automation para programar copias de seguridad.
Copia de seguridad de un recurso
compartido de archivos de Azure con
Azure Backup mediante API REST
Artículo • 01/06/2023
Directiva:schedule1
HTTP
POST
https://management.azure.com/Subscriptions/{subscriptionId}/resourceGroups/{
vaultresourceGroupname}/providers/Microsoft.RecoveryServices/vaults/{vaultNa
me}/backupFabrics/{fabricName}/refreshContainers?api-version=2016-12-
01&$filter={$filter}
{fabricName} es Azure
{vaultName} es azurefilesvault
{vaultresourceGroupName} es azurefiles
$filter=backupManagementType eq 'AzureStorage'
HTTP
POST https://management.azure.com/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/refreshContainers?api-
version=2016-12-01&$filter=backupManagementType eq 'AzureStorage'
La operación 'refresh' es una operación asincrónica. Significa que esta operación crea
otra que tiene que ser seguida por separado.
Devuelve las dos respuestas: 202 (Aceptado) cuando se crea otra operación y 200
(Correcto) cuando se completa dicha operación.
Una vez que se envía la solicitud POST, se devuelve una respuesta 202 (Accepted).
HTTP
HTTP
GET https://management.azure.com/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/operationResults/cca47745-12d2-
42f9-b3a4-75335f18fdf6?api-version=2016-12-01
Una vez que se detectan todas las cuentas de Azure Storage, el comando GET devuelve
una respuesta 204 (Sin contenido). El almacén ahora puede detectar cualquier cuenta de
almacenamiento con recursos compartidos de archivos de los que se puede realizar una
copia de seguridad dentro de la suscripción.
HTTP
HTTP
GET https://management.azure.com/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectableContainers?api-
version=2016-12-01&$filter=backupManagementType eq 'AzureStorage'
JSON
"value": [
{
"id": "/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers
/Microsoft.RecoveryServices/vaults/azurefilesvault/backupFabrics/Azure/
protectableContainers/StorageContainer;Storage;AzureFiles;testvault2",
"name": "StorageContainer;Storage;AzureFiles;testvault2",
"type":
"Microsoft.RecoveryServices/vaults/backupFabrics/protectableContainers",
"properties": {
"friendlyName": "testvault2",
"backupManagementType": "AzureStorage",
"protectableContainerType": "StorageContainer",
"healthStatus": "Healthy",
"containerId": "/subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/
AzureFiles/providers/Microsoft.Storage/storageAccounts/testvault2"
}
}
HTTP
PUT
https://management.azure.com/Subscriptions/{subscriptionId}/resourceGroups/{
resourceGroupName}/providers/Microsoft.RecoveryServices/vaults/{vaultName}/b
ackupFabrics/{fabricName}/protectionContainers/{containerName}?api-
version=2016-12-01
{resourceGroupName}: azurefiles
{fabricName}: Azure
{vaultName}: azurefilesvault
{containerName}: es el atributo de nombre del cuerpo de la respuesta de la
operación GET ProtectableContainers. En nuestro ejemplo, es
StorageContainer;Storage;AzureFiles;testvault2
7 Nota
HTTP
PUT https://management.azure.com/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/AzureFiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;Storage;AzureFiles;testvault2?api-version=2016-12-01
JSON
"properties": {
"containerType": "StorageContainer",
"sourceResourceId": "/subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/AzureFiles/providers/Microsoft.Storage/storageAc
counts/testvault2",
"resourceGroup": "AzureFiles",
"friendlyName": "testvault2",
"backupManagementType": "AzureStorage"
}
}
Para obtener una lista completa de las definiciones del cuerpo de la solicitud y otros
detalles, consulte ProtectionContainers-Register.
HTTP
GET https://management.azure.com/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/AzureFiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;Storage;AzureFiles;testvault2/operationresults/1a3c8ee7-e0e5-43ed-b8b3-
73cc992b6db9?api-version=2016-12-01
JSON
{
"id": "/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/AzureFiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/
protectionContainers/StorageContainer;Storage;AzureFiles;testvault2",
"name": "StorageContainer;Storage;AzureFiles;testvault2",
"properties": {
"sourceResourceId": "/subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/AzureFiles/providers/Microsoft.Storage/storageAc
counts/testvault2",
"protectedItemCount": 0,
"friendlyName": "testvault2",
"backupManagementType": "AzureStorage",
"registrationStatus": "Registered",
"healthStatus": "Healthy",
"containerType": "StorageContainer",
"protectableObjectType": "StorageContainer"
}
}
Puede comprobar si el registro se realizó correctamente a partir del valor del parámetro
registrationstatus en el cuerpo de la respuesta. En nuestro caso, muestra el estado
registrado para testvault2, por lo que la operación de registro se realizó correctamente.
HTTP
POST
https://management.azure.com/Subscriptions/{subscriptionId}/resourceGroups/{
resourceGroupName}/providers/Microsoft.RecoveryServices/vaults/{vaultName}/b
ackupFabrics/{fabricName}/protectionContainers/{containerName}/inquire?api-
version=2016-12-01
{vaultName}: azurefilesvault
{fabricName}: Azure
{containerName}: consulte el atributo de nombre del cuerpo de la respuesta de la
operación GET ProtectableContainers. En nuestro ejemplo, es
StorageContainer;Storage;AzureFiles;testvault2
HTTP
https://management.azure.com/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;Storage;AzureFiles;testvault2/inquire?api-version=2016-12-01
HTTP
Cache-Control : no-cache
Pragma : no-cache
X-Content-Type-Options: nosniff
x-ms-request-id : 68727f1e-b8cf-4bf1-bf92-8e03a9d96c46
x-ms-client-request-id : 3da383a5-d66d-4b7c-982a-bc8d94798d61,3da383a5-
d66d-4b7c-982a-bc8d94798d61
Strict-Transport-Security: max-age=31536000; includeSubDomains
Server : Microsoft-IIS/10.0
X-Powered-B : ASP.NET
x-ms-ratelimit-remaining-subscription-reads: 11932
x-ms-correlation-request-id : 68727f1e-b8cf-4bf1-bf92-8e03a9d96c46
x-ms-routing-request-id : CENTRALUSEUAP:20200127T105305Z:68727f1e-b8cf-
4bf1-bf92-8e03a9d96c46
Date : Mon, 27 Jan 2020 10:53:05 GMT
Seleccione el recurso compartido de archivos del que
quiere hacer una copia de seguridad
Puede enumerar todos los elementos que se pueden proteger en la suscripción y buscar
el recurso compartido de archivos que se va a incluir en la copia de seguridad mediante
la operación GET backupprotectableItems.
HTTP
GET
https://management.azure.com/Subscriptions/{subscriptionId}/resourceGroups/{
resourceGroupName}/providers/Microsoft.RecoveryServices/vaults/{vaultName}/b
ackupProtectableItems?api-version=2016-12-01&$filter={$filter}
{vaultName}: azurefilesvault
{$filter}: backupManagementType eq 'AzureStorage'
HTTP
GET https://management.azure.com/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupProtectableItems?$filter=backupManagementType
eq 'AzureStorage'&api-version=2016-12-01
Respuesta de ejemplo:
JSON
Status Code:200
{
"value": [
{
"id": "/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/storageconta
iner;storage;azurefiles;afaccount1/protectableItems/azurefileshare;azurefile
s1",
"name": "azurefileshare;azurefiles1",
"type":
"Microsoft.RecoveryServices/vaults/backupFabrics/protectionContainers/protec
tableItems",
"properties": {
"parentContainerFabricId": "/subscriptions/00000000-0000-
0000-0000-
000000000000/resourceGroups/AzureFiles/providers/Microsoft.Storage/storageAc
counts/afaccount1",
"parentContainerFriendlyName": "afaccount1",
"azureFileShareType": "XSMB",
"backupManagementType": "AzureStorage",
"workloadType": "AzureFileShare",
"protectableItemType": "AzureFileShare",
"friendlyName": "azurefiles1",
"protectionState": "NotProtected"
}
},
{
"id": "/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/storageconta
iner;storage;azurefiles;afsaccount/protectableItems/azurefileshare;afsresour
ce",
"name": "azurefileshare;afsresource",
"type":
"Microsoft.RecoveryServices/vaults/backupFabrics/protectionContainers/protec
tableItems",
"properties": {
"parentContainerFabricId": "/subscriptions/00000000-0000-
0000-0000-
000000000000/resourceGroups/AzureFiles/providers/Microsoft.Storage/storageAc
counts/afsaccount",
"parentContainerFriendlyName": "afsaccount",
"azureFileShareType": "XSMB",
"backupManagementType": "AzureStorage",
"workloadType": "AzureFileShare",
"protectableItemType": "AzureFileShare",
"friendlyName": "afsresource",
"protectionState": "NotProtected"
}
},
{
"id": "/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/storageconta
iner;storage;azurefiles;testvault2/protectableItems/azurefileshare;testshare
",
"name": "azurefileshare;testshare",
"type":
"Microsoft.RecoveryServices/vaults/backupFabrics/protectionContainers/protec
tableItems",
"properties": {
"parentContainerFabricId": "/subscriptions/00000000-0000-
0000-0000-
000000000000/resourceGroups/AzureFiles/providers/Microsoft.Storage/storageAc
counts/testvault2",
"parentContainerFriendlyName": "testvault2",
"azureFileShareType": "XSMB",
"backupManagementType": "AzureStorage",
"workloadType": "AzureFileShare",
"protectableItemType": "AzureFileShare",
"friendlyName": "testshare",
"protectionState": "NotProtected"
}
}
]
}
HTTP
PUT
https://management.azure.com/Subscriptions/{subscriptionId}/resourceGroups/{
vaultresourceGroupName}/providers/Microsoft.RecoveryServices/vaults/{vaultNa
me}/backupFabrics/{fabricName}/protectionContainers/{containerName}/protecte
dItems/{protectedItemName}?api-version=2019-05-13
Resultados
"/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/storageconta
iner;storage;azurefiles;testvault2/protectableItems/azurefileshare;testshare
{containername}: storagecontainer;storage;azurefiles;testvault2
{protectedItemName}: azurefileshare;azurefiles
También puede hacer referencia al atributo name del contenedor de protección y las
respuestas de los elementos que se pueden proteger.
7 Nota
HTTP
PUT https://management.azure.com/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;Storage;AzureFiles;testvault2/protectedItems/azurefileshare;testshare?
api-version=2016-12-01
JSON
{
"properties": {
"protectedItemType": "AzureFileShareProtectedItem",
"sourceResourceId": "/subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/AzureFiles/providers/Microsoft.Storage/storageAc
counts/testvault2",
"policyId": "/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupPolicies/schedule1"
}
}
HTTP
HTTP
GET https://management.azure.com/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupOperations/c3a52d1d-0853-4211-8141-
477c65740264?api-version=2016-12-01
Una vez completada la operación, devuelve 200 (OK) con el contenido del elemento
protegido en el cuerpo de respuesta.
JSON
{
"id": "c3a52d1d-0853-4211-8141-477c65740264",
"name": "c3a52d1d-0853-4211-8141-477c65740264",
"status": "Succeeded",
"startTime": "2020-02-03T18:10:48.296012Z",
"endTime": "2020-02-03T18:10:48.296012Z",
"properties": {
"objectType": "OperationStatusJobExtendedInfo",
"jobId": "e2ca2cf4-2eb9-4d4b-b16a-8e592d2a658b"
}
}
Así se confirma que la protección está habilitada para el recurso compartido de archivos
y la primera copia de seguridad se desencadenará según la programación de la
directiva.
HTTP
POST
https://management.azure.com/Subscriptions/{subscriptionId}/resourceGroups/{
resourceGroupName}/providers/Microsoft.RecoveryServices/vaults/{vaultName}/b
ackupFabrics/{fabricName}/protectionContainers/{containerName}/protectedItem
s/{protectedItemName}/backup?api-version=2016-12-01
POST https://management.azure.com/subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;storage;azurefiles;testvault2/protectedItems/AzureFileShare;testshare/b
ackup?api-version=2017-07-01
Para obtener una lista completa de las definiciones del cuerpo de la solicitud y otros
detalles, consulte el documento de la API REST sobre desencadenar copias de seguridad
de los elementos protegidos.
JSON
"properties":{
"objectType":"AzureFileShareBackupRequest",
"recoveryPointExpiryTimeInUTC":"2020-03-07T18:29:59.000Z"
}
Devuelve las dos respuestas: 202 (Aceptado) cuando se crea otra operación y 200
(Correcto) cuando se completa dicha operación.
Respuestas de ejemplo a la operación de copia de
seguridad a petición
Una vez enviada la solicitud POST para una copia de seguridad a petición, la respuesta
inicial es 202 (Accepted) con un encabezado de ubicación o Azure-async-header.
HTTP
'Cache-Control': 'no-cache'
'Pragma': 'no-cache'
'Expires': '-1'
'Location': https://management.azure.com/subscriptions/00000000-0000-0000-
0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;storage;azurefiles;testvault2/protectedItems/AzureFileShare;testshare/o
perationResults/dc62d524-427a-4093-968d-e951c0a0726e?api-version=2017-07-01
'Retry-After': '60'
'Azure-AsyncOperation': https://management.azure.com/subscriptions/00000000-
0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;storage;azurefiles;testvault2/protectedItems/AzureFileShare;testshare/o
perationsStatus/dc62d524-427a-4093-968d-e951c0a0726e?api-version=2017-07-01
'X-Content-Type-Options': 'nosniff'
'x-ms-request-id': '2e03b8d4-66b1-48cf-8094-aa8bff57e8fb'
'x-ms-client-request-id': 'a644712a-4895-11ea-ba57-0a580af42708, a644712a-
4895-11ea-ba57-0a580af42708'
'Strict-Transport-Security': 'max-age=31536000; includeSubDomains'
'X-Powered-By': 'ASP.NET'
'x-ms-ratelimit-remaining-subscription-writes': '1199'
'x-ms-correlation-request-id': '2e03b8d4-66b1-48cf-8094-aa8bff57e8fb'
'x-ms-routing-request-id': 'WESTEUROPE:20200206T040339Z:2e03b8d4-66b1-48cf-
8094-aa8bff57e8fb'
'Date': 'Thu, 06 Feb 2020 04:03:38 GMT'
'Content-Length': '0'
HTTP
GET https://management.azure.com/Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupOperations/dc62d524-427a-4093-968d-
e951c0a0726e?api-version=2016-12-01
Una vez completada la operación, devuelve 200 (OK) con el identificador del trabajo de
copia de seguridad resultante en el cuerpo de respuesta.
Muestra de cuerpo de respuesta
JSON
{
"id": "dc62d524-427a-4093-968d-e951c0a0726e",
"name": "dc62d524-427a-4093-968d-e951c0a0726e",
"status": "Succeeded",
"startTime": "2020-02-06T11:06:02.1327954Z",
"endTime": "2020-02-06T11:06:02.1327954Z",
"properties": {
"objectType": "OperationStatusJobExtendedInfo",
"jobId": "39282261-cb52-43f5-9dd0-ffaf66beeaef"
}
}
Pasos siguientes
Más información sobre cómo restaurar recursos compartidos de archivos de Azure
mediante la API REST.
Restauración de recursos compartidos
de archivos de Azure
Artículo • 01/06/2023
En este artículo se explica cómo usar Azure Portal para restaurar un recurso compartido
de archivos completo o archivos específicos desde un punto de restauración creado por
Azure Backup.
2. Seleccione Azure Files (Azure Storage) como tipo de origen de datos, elija el
recurso compartido de archivos que desea restaurar y, a continuación, haga clic en
Continuar.
Restauración de recursos compartidos de Azure
En esta sección se describe cómo restaurar:
Puede usar esta opción para restaurar el recurso compartido de archivos completo
en la ubicación original o en otra alternativa.
7 Nota
7 Nota
Pasos siguientes
Más información sobre cómo administrar copias de seguridad de recursos
compartidos de archivos de Azure.
Restauración de recursos compartidos
de archivos de Azure con la CLI de Azure
Artículo • 09/04/2023
La CLI de Azure es la forma de usar la línea de comandos para administrar los recursos
de Azure. Es una herramienta excelente para personalizar la automatización del uso de
los recursos de Azure. En este artículo se explica cómo restaurar un recurso compartido
de archivos completo o archivos específicos desde un punto de restauración creado por
Azure Backup mediante la CLI de Azure. Estos pasos también se pueden llevar a cabo
con Azure PowerShell o en Azure Portal.
Al acabar este tutorial, habrá aprendido cómo realizar las siguientes operaciones con la
CLI de Azure:
7 Nota
Prerrequisitos
En este artículo se presupone que ya tiene un recurso compartido de archivos de Azure
con una copia de seguridad hecha con Azure Backup. Si no la tiene, consulte Copia de
seguridad de recursos compartidos de archivos de Azure con la CLI para configurar la
copia de seguridad para los recursos compartidos de archivos. En este artículo, se
usarán los siguientes recursos:
Puede usar una estructura similar para los recursos compartidos de archivos para probar
los distintos tipos de restauraciones que se explican en este artículo.
Azure CLI
También puede ejecutar el cmdlet anterior con el nombre descriptivo del contenedor y
el elemento proporcionando los dos parámetros adicionales siguientes:
--backup-management-type: azurestorage
--workload-type: azurefileshare
Azure CLI
Resultados
Azure CLI
Resultados
Name ResourceGroup
------------------------------------ ---------------
6a27cc23-9283-4310-9c27-dcfb81b7b4bb azurefiles
El atributo Name de la salida se corresponde con el nombre del trabajo creado por el
servicio de copia de seguridad para la operación de restauración. Para realizar el
seguimiento del estado del trabajo, use el cmdlet az backup job show.
Restauración del recurso compartido completo en una
ubicación alternativa
Use esta opción para restaurar el recurso compartido de archivos en una ubicación
alternativa y mantener el original tal cual. Especifique los parámetros siguientes para la
recuperación en una ubicación alternativa:
Azure CLI
Resultados
Name ResourceGroup
------------------------------------ ---------------
babeb61c-d73d-4b91-9830-b8bfa83c349a azurefiles
El atributo Name de la salida se corresponde con el nombre del trabajo creado por el
servicio de copia de seguridad para la operación de restauración. Para realizar el
seguimiento del estado del trabajo, use el cmdlet az backup job show.
Recuperación a nivel de elemento
Puede usar esta opción para restaurar archivos o carpetas en la ubicación original o en
otra alternativa.
Especifique los parámetros siguientes para los elementos que desea recuperar:
Azure CLI
Resultados
Name ResourceGroup
------------------------------------ ---------------
df4d9024-0dcb-4edc-bf8c-0a3d18a25319 azurefiles
El atributo Name de la salida se corresponde con el nombre del trabajo creado por el
servicio de copia de seguridad para la operación de restauración. Para realizar el
seguimiento del estado del trabajo, use el cmdlet az backup job show.
Azure CLI
Name ResourceGroup
------------------------------------ ---------------
df4d9024-0dcb-4edc-bf8c-0a3d18a25319 azurefiles
El atributo Name de la salida se corresponde con el nombre del trabajo creado por el
servicio de copia de seguridad para la operación de restauración. Para realizar el
seguimiento del estado del trabajo, use el cmdlet az backup job show.
Azure CLI
Resultados
Name ResourceGroup
------------------------------------ ---------------
649b0c14-4a94-4945-995a-19e2aace0305 azurefiles
El atributo Name de la salida se corresponde con el nombre del trabajo creado por el
servicio de copia de seguridad para la operación de restauración. Para realizar el
seguimiento del estado del trabajo, use el cmdlet az backup job show.
Si quiere restaurar varios archivos en una ubicación alternativa, use el comando anterior
y especifique parámetros relacionados con el destino, tal y como se describe en la
sección Restauración de archivos o carpetas individuales en una ubicación alternativa.
Pasos siguientes
Obtenga más información sobre la Administración de copias de seguridad de recursos
compartidos de archivos de Azure con la CLI de Azure.
Restauración de Azure Files con
PowerShell
Artículo • 01/06/2023
2 Advertencia
7 Nota
En el script siguiente:
PowerShell
FileShareSnapshotUri :
https://testStorageAcct.file.core.windows.net/testAzureFS?
sharesnapshot=2018-11-20T00:31:04.00000
00Z
RecoveryPointType : FileSystemConsistent
RecoveryPointTime : 11/20/2018 12:31:05 AM
RecoveryPointId : 86593702401459
ItemName : testAzureFS
Id : /Subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/testVaultRG/providers/Micros
oft.RecoveryServices/vaults/testVault/backupFabrics/Azure/protectionContaine
rs/StorageContainer;storage;teststorageRG;testStorageAcct/protectedItems/Azu
reFileShare;testAzureFS/recoveryPoints/86593702401462
WorkloadType : AzureFiles
ContainerName : storage;teststorageRG;testStorageAcct
ContainerType : AzureStorage
BackupManagementType : AzureStorage
PowerShell
PowerShell
PowerShell
Este comando devuelve un trabajo con un identificador del cual se puede realizar un
seguimiento, como se indica en la sección anterior.
PowerShell
PowerShell
$vault = Get-AzRecoveryServicesVault -ResourceGroupName "azurefiles" -Name
"azurefilesvault"
$files = ("Restore","zrs1_restore")
Resultados
Si desea restaurar varios archivos o carpetas en una ubicación alternativa, utilice los
scripts anteriores especificando los valores de parámetros relacionados con la ubicación
de destino, tal como se ha explicado anteriormente en Restauración de un archivo de
Azure en una ubicación alternativa.
Pasos siguientes
Aprenda a restaurar Azure Files en Azure Portal.
Restauración de recursos compartidos
de archivos de Azure con la API REST
Artículo • 01/06/2023
Al acabar este tutorial, habrá aprendido cómo realizar las siguientes operaciones con
API REST:
Prerrequisitos
Damos por sentado que ya tiene un recurso compartido de archivos que quiere
restaurar. Si no es así, consulte Copia de seguridad de recurso compartido de archivos
de Azure con API REST para aprender a crear uno.
Captura de ContainerName y
ProtectedItemName
Para la mayoría de las llamadas API relacionadas con la restauración, debe pasar valores
para los parámetros de URI {containerName} y {protectedItemName}. Use el atributo ID
en el cuerpo de respuesta de la operación GET backupprotectableitems para recuperar
los valores de estos parámetros. En nuestro ejemplo, el identificador del recurso
compartido de archivos que queremos proteger es el siguiente:
"/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/vaults/
azurefilesvault/backupFabrics/Azure/protectionContainers/storagecontainer;storage;a
zurefiles;afsaccount/protectableItems/azurefileshare;azurefiles
{containername}: storagecontainer;storage;azurefiles;afsaccount
{protectedItemName}: azurefileshare;azurefiles
HTTP
GET
https://management.azure.com/Subscriptions/{subscriptionId}/resourceGroups/{
resourceGroupName}/providers/Microsoft.RecoveryServices/vaults/{vaultName}/b
ackupFabrics/{fabricName}/protectionContainers/{containerName}/protectedItem
s/{protectedItemName}/recoveryPoints?api-version=2019-05-13&$filter=
{$filter}
{fabricName}: Azure
{vaultName}: azurefilesvault
{containername}: storagecontainer;storage;azurefiles;afsaccount
{protectedItemName}: azurefileshare;azurefiles
{ResourceGroupName}: azurefiles
El identificador URI de GET tiene todos los parámetros necesarios. No es necesario otro
cuerpo de solicitud.
HTTP
GET https://management.azure.com/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;storage;azurefiles;afsaccount/protectedItems/AzureFileShare;azurefiles/
recoveryPoints?api-version=2019-05-13
HTTP
HTTP
POST
https://management.azure.com/Subscriptions/{subscriptionId}/resourceGroups/{
resourceGroupName}/providers/Microsoft.RecoveryServices/vaults/{vaultName}/b
ackupFabrics/{fabricName}/protectionContainers/{containerName}/protectedItem
s/{protectedItemName}/recoveryPoints/{recoveryPointId}/restore?api-
version=2019-05-13
HTTP
POST https://management.azure.com/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;storage;azurefiles;afsaccount/protectedItems/AzureFileShare%3Bazurefile
s/recoveryPoints/932886657837421071/restore?api-version=2019-05-13'
JSON
{
"properties":{
"objectType":"AzureFileShareRestoreRequest",
"recoveryType":"OriginalLocation",
"sourceResourceId":"/subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/AzureFiles/providers/Microsoft.Storage/storageAc
counts/afsaccount",
"copyOptions":"Overwrite",
"restoreRequestType":"FullShareRestore"
}
}
{
"properties":{
"objectType":"AzureFileShareRestoreRequest",
"recoveryType":"AlternateLocation",
"sourceResourceId":"/subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/AzureFiles/providers/Microsoft.Storage/storageAc
counts/afsaccount",
"copyOptions":"Overwrite",
"restoreRequestType":"FullShareRestore",
"restoreFileSpecs":[
{
"targetFolderPath":"restoredata"
}
],
"targetDetails":{
"name":"azurefiles1",
"targetResourceId":"/subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/AzureFiles/providers/Microsoft.Storage/storageAc
counts/afaccount1"
}
}
}
Response
La activación de una operación de restauración es una operación asincrónica. Esta
operación crea otra operación de la que se debe hacer un seguimiento por separado.
Devuelve las dos respuestas: 202 (Aceptado) cuando se crea otra operación y 200
(Correcto) cuando se completa dicha operación.
Ejemplo de respuesta
Una vez enviado el URI de POST para desencadenar una restauración, la respuesta inicial
es 202 (Aceptado) con un encabezado de ubicación o Azure-async-header.
HTTP
HTTP/1.1" 202
'Cache-Control': 'no-cache'
'Pragma': 'no-cache'
'Expires': '-1'
'Location': 'https://management.azure.com/Subscriptions/ef4ab5a7-c2c0-4304-
af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;storage;azurefiles;afsaccount/protectedItems/AzureFileShare;azurefiles/
operationResults/68ccfbc1-a64f-4b29-b955-314b5790cfa9?api-version=2019-05-
13'
'Retry-After': '60'
'Azure-AsyncOperation':
'https://management.azure.com/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;storage;azurefiles;afsaccount/protectedItems/AzureFileShare;azurefiles/
operationsStatus/68ccfbc1-a64f-4b29-b955-314b5790cfa9?api-version=2019-05-
13'
'X-Content-Type-Options': 'nosniff'
'x-ms-request-id': '2426777d-c5ec-44b6-a324-384f8947460c'
'x-ms-client-request-id': '3c743096-47eb-11ea-ae90-0a580af41908, 3c743096-
47eb-11ea-ae90-0a580af41908'
'Strict-Transport-Security': 'max-age=31536000; includeSubDomains'
'X-Powered-By': 'ASP.NET'
'x-ms-ratelimit-remaining-subscription-writes': '1198'
'x-ms-correlation-request-id': '2426777d-c5ec-44b6-a324-384f8947460c'
'x-ms-routing-request-id': 'WESTEUROPE:20200205T074347Z:2426777d-c5ec-44b6-
a324-384f8947460c'
'Date': 'Wed, 05 Feb 2020 07:43:47 GMT'
HTTP
GET https://management.azure.com/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupOperations/68ccfbc1-a64f-4b29-b955-
314b5790cfa9?api-version=2016-12-01
Una vez completada la operación, devuelve 200 (OK) con el identificador del trabajo de
restauración resultante en el cuerpo de respuesta.
HTTP
HTTP/1.1" 200
'Cache-Control': 'no-cache'
'Pragma': 'no-cache'
'Transfer-Encoding': 'chunked'
'Content-Type': 'application/json'
'Content-Encoding': 'gzip'
'Expires': '-1'
'Vary': 'Accept-Encoding'
'X-Content-Type-Options': 'nosniff'
'x-ms-request-id': '41ee89b2-3be4-40d8-8ff6-f5592c2571e3'
'x-ms-client-request-id': '3c743096-47eb-11ea-ae90-0a580af41908, 3c743096-
47eb-11ea-ae90-0a580af41908'
'Strict-Transport-Security': 'max-age=31536000; includeSubDomains'
'Server': 'Microsoft-IIS/10.0'
'X-Powered-By': 'ASP.NET'
'x-ms-ratelimit-remaining-subscription-reads': '11998'
'x-ms-correlation-request-id': '41ee89b2-3be4-40d8-8ff6-f5592c2571e3'
'x-ms-routing-request-id': 'WESTEUROPE:20200205T074348Z:41ee89b2-3be4-40d8-
8ff6-f5592c2571e3'
'Date': 'Wed, 05 Feb 2020 07:43:47 GMT'
{
"id": "/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupJobs/a7e97e42-4e54-4d4b-b449-26fcf946f42c",
"location": null,
"name": "a7e97e42-4e54-4d4b-b449-26fcf946f42c",
"properties": {
"actionsInfo": [
"Cancellable"
],
"activityId": "3c743096-47eb-11ea-ae90-0a580af41908",
"backupManagementType": "AzureStorage",
"duration": "0:00:01.863098",
"endTime": null,
"entityFriendlyName": "azurefiles",
"errorDetails": null,
"extendedInfo": {
"dynamicErrorMessage": null,
"propertyBag": {},
"tasksList": []
},
"jobType": "AzureStorageJob",
"operation": "Restore",
"startTime": "2020-02-05T07:43:47.144961+00:00",
"status": "InProgress",
"storageAccountName": "afsaccount",
"storageAccountVersion": "Storage"
},
"resourceGroup": "azurefiles",
"tags": null,
"type": "Microsoft.RecoveryServices/vaults/backupJobs"
}
HTTP
{
"id": "/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupJobs/7e0ee41e-6e31-4728-a25c-98ff6b777641",
"location": null,
"name": "7e0ee41e-6e31-4728-a25c-98ff6b777641",
"properties": {
"actionsInfo": [
"Cancellable"
],
"activityId": "6077be6e-483a-11ea-a915-0a580af4ad72",
"backupManagementType": "AzureStorage",
"duration": "0:00:02.171965",
"endTime": null,
"entityFriendlyName": "azurefiles",
"errorDetails": null,
"extendedInfo": {
"dynamicErrorMessage": null,
"propertyBag": {
"Data Transferred (in MB)": "0",
"Job Type": "Recover to an alternate file share",
"Number Of Failed Files": "0",
"Number Of Restored Files": "0",
"Number Of Skipped Files": "0",
"RestoreDestination": "afaccount1/azurefiles1/restoredata",
"Source File Share Name": "azurefiles",
"Source Storage Account Name": "afsaccount",
"Target File Share Name": "azurefiles1",
"Target Storage Account Name": "afaccount1"
},
"tasksList": []
},
"jobType": "AzureStorageJob",
"operation": "Restore",
"startTime": "2020-02-05T17:10:18.106532+00:00",
"status": "InProgress",
"storageAccountName": "afsaccount",
"storageAccountVersion": "ClassicCompute"
},
"resourceGroup": "azurefiles",
"tags": null,
"type": "Microsoft.RecoveryServices/vaults/backupJobs"
}
HTTP
POST
https://management.azure.com/Subscriptions/{subscriptionId}/resourceGroups/{
resourceGroupName}/providers/Microsoft.RecoveryServices/vaults/{vaultName}/b
ackupFabrics/{fabricName}/protectionContainers/{containerName}/protectedItem
s/{protectedItemName}/recoveryPoints/{recoveryPointId}/restore?api-
version=2019-05-13
HTTP
POST https://management.azure.com/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;storage;azurefiles;afsaccount/protectedItems/AzureFileShare%3Bazurefile
s/recoveryPoints/932886657837421071/restore?api-version=2019-05-13'
Para obtener una lista completa de las definiciones del cuerpo de la solicitud y otros
detalles, consulte el documento de API REST para desencadenar la restauración.
JSON
{
"properties":{
"objectType":"AzureFileShareRestoreRequest",
"copyOptions":"Overwrite",
"recoveryType":"OriginalLocation",
"restoreFileSpecs":[
{
"fileSpecType":"File",
"path":"RestoreTest.txt",
"targetFolderPath":null
}
],
"restoreRequestType":"ItemLevelRestore",
"sourceResourceId":"/subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.storage/storageAc
counts/afsaccount",
"targetDetails":null
}
}
JSON
{
"properties":{
"objectType":"AzureFileShareRestoreRequest",
"recoveryType":"AlternateLocation",
"sourceResourceId":"/subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/AzureFiles/providers/Microsoft.Storage/storageAc
counts/afsaccount",
"copyOptions":"Overwrite",
"restoreRequestType":"ItemLevelRestore",
"restoreFileSpecs":[
{
"path":"Restore/RestoreTest.txt",
"fileSpecType":"File",
"targetFolderPath":"restoredata"
}
],
"targetDetails":{
"name":"azurefiles1",
"targetResourceId":"/subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/AzureFiles/providers/Microsoft.Storage/storageAc
counts/afaccount1"
}
}
}
Pasos siguientes
Obtenga información sobre cómo administrar copias de seguridad de recursos
compartidos de archivos de Azure mediante API REST.
Administración de copias de seguridad
de recursos compartidos de archivos de
Azure
Artículo • 01/06/2023
En este artículo se describen las tareas comunes para administrar y supervisar los
recursos compartidos de archivos de Azure de los que Azure Backup realiza una copia
de seguridad. Aprenderá a realizar tareas de administración en el Centro de copias de
seguridad.
Supervisión de trabajos
Al desencadenar operaciones de copia de seguridad o restauración, el servicio de copia
de seguridad crea un trabajo para realizar un seguimiento. Puede supervisar el progreso
de todos los trabajos en la página Backup Jobs (Trabajos de copia de seguridad).
Para abrir la página Backup Jobs (Trabajos de copia de seguridad), siga estos pasos:
7 Nota
Para crear una nueva directiva de copia de seguridad, siga estos pasos:
2. Seleccione Azure Files (Azure Storage) como tipo de origen de datos, seleccione
el almacén en el que se debe crear la directiva y, a continuación, haga clic en
Continuar.
Visualización de directiva
Para ver las directivas de copia de seguridad existentes:
2. Para ver directivas específicas de Azure Files (Azure Storage) , seleccione Recurso
compartido de archivos de Azure como el tipo de origen de datos.
Modificación de directivas
Puede modificar una directiva de copia de seguridad para cambiar la frecuencia de las
copias de seguridad o la duración de retención.
2. Para ver las directivas específicas de un recurso compartido de archivos de Azure,
seleccione Azure Files (Azure Storage) como el tipo de origen de datos.
Detener todos los trabajos futuros de copia de seguridad y eliminar todos los
puntos de recuperación.
Detener todos los trabajos futuros de copia de seguridad pero dejar los puntos de
recuperación.
Para dejar de proteger recursos compartidos de archivos de Azure, siga estos pasos:
Para eliminar los datos de copia de seguridad del recurso compartido de archivos de
Azure:
5. Haga clic con el botón derecho en la cuenta cuyo registro desee eliminar y
seleccione Anular registro.
Pasos siguientes
Para más información, vea Solución de problemas de las copias de seguridad de
recursos compartidos de archivos de Azure.
Administración de copias de seguridad
de recursos compartidos de archivos de
Azure con la CLI de Azure
Artículo • 09/03/2023
La CLI de Azure es la forma de usar la línea de comandos para administrar los recursos
de Azure. Es una herramienta excelente para personalizar la automatización del uso de
los recursos de Azure. En este artículo se explica cómo realizar tareas para administrar y
supervisar los recursos compartidos de archivos de Azure de los que se ha realizado una
copia de seguridad mediante Azure Backup. También puede llevar a cabo estos pasos en
Azure Portal .
Prerrequisitos
En este artículo se da por supuesto que ya tiene una copia de seguridad de un recurso
compartido de archivos de Azure realizada por Azure Backup. Si no la tiene, consulte
Copia de seguridad de recursos compartidos de archivos de Azure con la CLI para
configurar la copia de seguridad para los recursos compartidos de archivos. En este
artículo, se usarán los siguientes recursos:
Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio
rápido para Bash en Azure Cloud Shell.
Supervisión de trabajos
Al desencadenar operaciones de copia de seguridad o restauración, el servicio de copia
de seguridad crea un trabajo para realizar un seguimiento. Para supervisar los trabajos
completados o en ejecución, use el cmdlet az backup job list. Con la CLI, también puede
suspender un trabajo que se esté ejecutando actualmente o esperar hasta que se
complete un trabajo.
Azure CLI
Resultados
[
{
"eTag": null,
"id": "/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupJobs/d477dfb6-b292-4f24-bb43-6b14e9d06ab5",
"location": null,
"name": "d477dfb6-b292-4f24-bb43-6b14e9d06ab5",
"properties": {
"actionsInfo": null,
"activityId": "3cef43ed-0af4-43e2-b9cb-1322c496ccb4",
"backupManagementType": "AzureStorage",
"duration": "0:00:29.718011",
"endTime": "2020-01-13T08:05:29.180606+00:00",
"entityFriendlyName": "azurefiles",
"errorDetails": null,
"extendedInfo": null,
"jobType": "AzureStorageJob",
"operation": "Backup",
"startTime": "2020-01-13T08:04:59.462595+00:00",
"status": "Completed",
"storageAccountName": "afsaccount",
"storageAccountVersion": "MicrosoftStorage"
},
"resourceGroup": "azurefiles",
"tags": null,
"type": "Microsoft.RecoveryServices/vaults/backupJobs"
},
{
"eTag": null,
"id": "/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupJobs/1b9399bf-c23c-4caa-933a-5fc2bf884519",
"location": null,
"name": "1b9399bf-c23c-4caa-933a-5fc2bf884519",
"properties": {
"actionsInfo": null,
"activityId": "2663449c-94f1-4735-aaf9-5bb991e7e00c",
"backupManagementType": "AzureStorage",
"duration": "0:00:28.145216",
"endTime": "2020-01-13T08:05:27.519826+00:00",
"entityFriendlyName": "azurefilesresource",
"errorDetails": null,
"extendedInfo": null,
"jobType": "AzureStorageJob",
"operation": "Backup",
"startTime": "2020-01-13T08:04:59.374610+00:00",
"status": "Completed",
"storageAccountName": "afsaccount",
"storageAccountVersion": "MicrosoftStorage"
},
"resourceGroup": "azurefiles",
"tags": null,
"type": "Microsoft.RecoveryServices/vaults/backupJobs"
}
]
Creación de directiva
Puede crear una directiva de copia de seguridad mediante la ejecución del comando az
backup policy create con los parámetros siguientes:
Ejemplo
Azure CLI
JSON
{
"eTag": null,
"id": "/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupPolicies/schedule20",
"location": null,
"name": "schedule20",
"properties": {
"backupManagementType": "AzureStorage",
"protectedItemsCount": 0,
"retentionPolicy": {
"dailySchedule": {
"retentionDuration": {
"count": 30,
"durationType": "Days"
},
"retentionTimes": [
"2020-01-05T08:00:00+00:00"
]
},
"monthlySchedule": null,
"retentionPolicyType": "LongTermRetentionPolicy",
"weeklySchedule": null,
"yearlySchedule": null
},
"schedulePolicy": {
"schedulePolicyType": "SimpleSchedulePolicy",
"scheduleRunDays": null,
"scheduleRunFrequency": "Daily",
"scheduleRunTimes": [
"2020-01-05T08:00:00+00:00"
],
"scheduleWeeklyFrequency": 0
},
"timeZone": "UTC",
"workLoadType": “AzureFileShare”
},
"resourceGroup": "azurefiles",
"tags": null,
"type": "Microsoft.RecoveryServices/vaults/backupPolicies"
}
Ejemplo para crear una directiva de copia de seguridad que configure varias copias de
seguridad al día
JSON
{
"properties":{
"backupManagementType": "AzureStorage",
"workloadType": "AzureFileShare",
"schedulePolicy": {
"schedulePolicyType": "SimpleSchedulePolicy",
"scheduleRunFrequency": "Hourly",
"hourlySchedule": {
"interval": 4,
"scheduleWindowStartTime": "2021-09-29T08:00:00.000Z",
"scheduleWindowDuration": 12
}
},
"timeZone": "UTC",
"retentionPolicy": {
"retentionPolicyType": "LongTermRetentionPolicy",
"dailySchedule": {
"retentionTimes": null,
"retentionDuration": {
"count": 5,
"durationType": "Days"
}
},
"weeklySchedule": {
"daysOfTheWeek": [
"Sunday"
],
"retentionTimes": null,
"retentionDuration": {
"count": 12,
"durationType": "Weeks"
}
},
"monthlySchedule": {
"retentionScheduleFormatType": "Weekly",
"retentionScheduleDaily": null,
"retentionScheduleWeekly": {
"daysOfTheWeek": [
"Sunday"
],
"weeksOfTheMonth": [
"First"
]
},
"retentionTimes": null,
"retentionDuration": {
"count": 60,
"durationType": "Months"
}
},
"yearlySchedule": {
"retentionScheduleFormatType": "Weekly",
"monthsOfYear": [
"January"
],
"retentionScheduleDaily": null,
"retentionScheduleWeekly": {
"daysOfTheWeek": [
"Sunday"
],
"weeksOfTheMonth": [
"First"
]
},
"retentionTimes": null,
"retentionDuration": {
"count": 10,
"durationType": "Years"
}
}
}
}
}
Una vez que la directiva se crea correctamente, la salida del comando mostrará el JSON
de la directiva que pasó como parámetro al ejecutar el comando.
Ejemplo
Si desea conservar la copia de seguridad del primer domingo de cada mes durante dos
meses, actualice la programación mensual como se indica a continuación:
JSON
"monthlySchedule": {
"retentionDuration": {
"count": 2,
"durationType": "Months"
},
"retentionScheduleDaily": null,
"retentionScheduleFormatType": "Weekly",
"retentionScheduleWeekly": {
"daysOfTheWeek": [
"Sunday"
],
"weeksOfTheMonth": [
"First"
]
},
"retentionTimes": [
"2020-01-05T08:00:00+00:00"
]
}
Modificación de directivas
Puede modificar una directiva de copia de seguridad para cambiar la frecuencia de las
copias de seguridad o la duración de retención mediante az backup item set-policy.
Azure CLI
az backup item set-policy --policy-name schedule2 --name azurefiles --vault-
name azurefilesvault --resource-group azurefiles --container-name
"StorageContainer;Storage;AzureFiles;afsaccount" --name
"AzureFileShare;azurefiles" --backup-management-type azurestorage --out
table
También puede ejecutar el comando anterior con los nombres descriptivos del
contenedor y el elemento proporcionando los dos parámetros adicionales siguientes:
--backup-management-type: azurestorage
--workload-type: azurefileshare
Azure CLI
Resultados
Name ResourceGroup
------------------------------------ ---------------
fec6f004-0e35-407f-9928-10a163f123e5 azurefiles
El atributo Name de la salida se corresponde con el nombre del trabajo creado por el
servicio de copia de seguridad para la operación de cambio de directiva. Para realizar el
seguimiento del estado del trabajo, use el cmdlet az backup job show.
Detener todos los trabajos futuros de copia de seguridad y eliminar todos los
puntos de recuperación.
Detener todos los trabajos futuros de copia de seguridad pero dejar los puntos de
recuperación.
Para detener la protección del recurso compartido de archivos, defina los parámetros
siguientes:
Azure CLI
También puede ejecutar el comando anterior con el nombre descriptivo del contenedor
y el elemento proporcionando los dos parámetros adicionales siguientes:
--backup-management-type: azurestorage
--workload-type: azurefileshare
Azure CLI
Resultados
Name ResourceGroup
------------------------------------ ---------------
fec6f004-0e35-407f-9928-10a163f123e5 azurefiles
El atributo Name de la salida se corresponde con el nombre del trabajo creado por el
servicio de copia de seguridad para la operación de detención de la protección. Para
realizar el seguimiento del estado del trabajo, use el cmdlet az backup job show.
Azure CLI
También puede ejecutar el comando anterior con el nombre descriptivo del contenedor
y el elemento proporcionando los dos parámetros adicionales siguientes:
--backup-management-type: azurestorage
--workload-type: azurefileshare
Azure CLI
Azure CLI
También puede ejecutar el comando anterior con el nombre descriptivo del contenedor
y el elemento proporcionando los dos parámetros adicionales siguientes:
--backup-management-type: azurestorage
--workload-type: azurefileshare
Azure CLI
Resultados
Name ResourceGroup
------------------------------------ ---------------
75115ab0-43b0-4065-8698-55022a234b7f azurefiles
El atributo Name de la salida se corresponde con el nombre del trabajo creado por el
servicio de copia de seguridad para la operación de reanudación de la protección. Para
realizar el seguimiento del estado del trabajo, use el cmdlet az backup job show.
Anulación del registro de una cuenta de
almacenamiento
Si desea proteger los recursos compartidos de archivos en una cuenta de
almacenamiento determinada mediante un almacén de Recovery Services diferente,
primero debe detener la protección de todos los recursos compartidos de archivos en
esa cuenta de almacenamiento. A continuación, anule el registro de la cuenta del
almacén de Recovery Services que se usa actualmente para la protección.
Azure CLI
También puede ejecutar el cmdlet anterior con el nombre descriptivo del contenedor
proporcionando el parámetro adicional siguiente:
--backup-management-type: azurestorage
Azure CLI
Pasos siguientes
Para más información, vea Solución de problemas de las copias de seguridad de
recursos compartidos de archivos de Azure.
Administración de copias de seguridad
de recursos compartidos de archivos de
Azure con PowerShell
Artículo • 01/06/2023
En este artículo se describe el uso de Azure PowerShell para administrar y supervisar los
recursos compartidos de archivos de Azure que tienen una copia de seguridad del
servicio Azure Backup.
2 Advertencia
PowerShell
PowerShell
$job | fl
IsCancellable : False
IsRetriable : False
ErrorDetails :
{Microsoft.Azure.Commands.RecoveryServices.Backup.Cmdlets.Models.AzureFileSh
areJobErrorInfo}
ActivityId : 00000000-5b71-4d73-9465-8a4a91f13a36
JobId : 00000000-6c46-496e-980a-3740ccb2ad75
Operation : Restore
Status : Failed
WorkloadName : testAFS
StartTime : 12/10/2018 9:56:38 AM
EndTime : 12/10/2018 11:03:03 AM
Duration : 01:06:24.4660027
BackupManagementType : AzureStorage
$job.ErrorDetails
ErrorCode ErrorMessage
Recommendations
--------- ------------ -----------
----
1073871825 Microsoft Azure Backup encountered an internal error. Wait for a
few minutes and then try the operation again. If the issue persists, please
contact Microsoft support.
Detener todos los trabajos futuros de copia de seguridad y eliminar todos los
puntos de recuperación.
Detener todos los trabajos futuros de copia de seguridad pero dejar los puntos de
recuperación.
Puede que dejar los puntos de recuperación en el almacenamiento conlleve un costo
asociado, dado que las instantáneas subyacentes creadas por Azure Backup se
conservan. Sin embargo, la ventaja de dejarlos es que puede restaurar el recurso
compartido de archivos más adelante, si así lo desea. Para más información sobre el
costo de dejar los puntos de recuperación, consulte la información sobre precios . Si
opta por eliminar todos los puntos de recuperación, no podrá restaurar el recurso
compartido de archivos.
PowerShell
Resultados
El atributo Job ID de la salida se corresponde con el id. del trabajo creado por el servicio
de copia de seguridad para la operación de "detención de la protección". Para
supervisar el estado de un trabajo, use el cmdlet Get-AzRecoveryServicesBackupJob.
PowerShell
Resultados
Pasos siguientes
Obtenga información acerca de la administración de copias de seguridad de recursos
compartidos de archivos de Azure en Azure Portal.
Administración de copias de seguridad
de recursos compartidos de archivos de
Azure con API REST
Artículo • 01/06/2023
En este artículo se explica cómo realizar tareas para administrar y supervisar los recursos
compartidos de archivos de Azure de los que se ha realizado una copia de seguridad
mediante Azure Backup.
Supervisión de trabajos
El servicio Azure Backup desencadena trabajos que se ejecutan en segundo plano. Esto
incluye escenarios como desencadenar copias de seguridad, operaciones de
restauración y deshabilitar la copia de seguridad. Estos trabajos se pueden seguir
mediante sus identificadores.
Por ejemplo, la respuesta final de una operación para desencadenar una copia de
seguridad en API REST es como sigue:
JSON
{
"id": "c3a52d1d-0853-4211-8141-477c65740264",
"name": "c3a52d1d-0853-4211-8141-477c65740264",
"status": "Succeeded",
"startTime": "2020-02-03T18:10:48.296012Z",
"endTime": "2020-02-03T18:10:48.296012Z",
"properties": {
"objectType": "OperationStatusJobExtendedInfo",
"jobId": "e2ca2cf4-2eb9-4d4b-b16a-8e592d2a658b"
}
}
GET
https://management.azure.com/Subscriptions/{subscriptionId}/resourceGroups/{
resourceGroupName}/providers/Microsoft.RecoveryServices/vaults/{vaultName}/b
ackupJobs/{jobName}?api-version=2019-05-13
HTTP
GET https://management.azure.com/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupJobs/e2ca2cf4-2eb9-4d4b-b16a-8e592d2a658b?api-
version=2019-05-13'
Response
Ejemplo de respuesta
Una vez que se envía el identificador URI de GET, se devuelve una respuesta 200.
HTTP
HTTP/1.1" 200
'Cache-Control': 'no-cache'
'Pragma': 'no-cache'
'Transfer-Encoding': 'chunked'
'Content-Type': 'application/json'
'Content-Encoding': 'gzip'
'Expires': '-1'
'Vary': 'Accept-Encoding'
'Server': 'Microsoft-IIS/10.0, Microsoft-IIS/10.0'
'X-Content-Type-Options': 'nosniff'
'x-ms-request-id': 'dba43f00-5cdb-43b1-a9ec-23e419db67c5'
'x-ms-client-request-id': 'a644712a-4895-11ea-ba57-0a580af42708, a644712a-
4895-11ea-ba57-0a580af42708'
'X-Powered-By': 'ASP.NET'
'Strict-Transport-Security': 'max-age=31536000; includeSubDomains'
'x-ms-ratelimit-remaining-subscription-reads': '11999'
'x-ms-correlation-request-id': 'dba43f00-5cdb-43b1-a9ec-23e419db67c5'
'x-ms-routing-request-id': 'WESTEUROPE:20200206T040341Z:dba43f00-5cdb-43b1-
a9ec-23e419db67c5'
'Date': 'Thu, 06 Feb 2020 04:03:40 GMT'
{
"id": "/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupJobs/e2ca2cf4-2eb9-4d4b-b16a-8e592d2a658b",
"name": "e2ca2cf4-2eb9-4d4b-b16a-8e592d2a658b",
"type": "Microsoft.RecoveryServices/vaults/backupJobs",
"properties": {
"jobType": "AzureStorageJob",
"duration": "00:00:43.1809140",
"storageAccountName": "testvault2",
"storageAccountVersion": "Storage",
"extendedInfo": {
"tasksList": [],
"propertyBag": {
"File Share Name": "testshare",
"Storage Account Name": "testvault2",
"Policy Name": "schedule1"
}
},
"entityFriendlyName": "testshare",
"backupManagementType": "AzureStorage",
"operation": "ConfigureBackup",
"status": "Completed",
"startTime": "2020-02-03T18:10:48.296012Z",
"endTime": "2020-02-03T18:11:31.476926Z",
"activityId": "3677cec0-942d-4eac-921f-8f3c873140d7"
}
}
Modificación de directivas
Para cambiar la directiva con la que se protege el recurso compartido de archivos,
puede usar el mismo formato que para habilitar la protección. Basta con que
proporcione el identificador de la nueva directiva en la directiva de solicitud y envíe la
solicitud.
JSON
{
"properties": {
"protectedItemType": "AzureFileShareProtectedItem",
"sourceResourceId": "/subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/AzureFiles/providers/Microsoft.Storage/storageAc
counts/testvault2",
"policyId": "/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupPolicies/schedule2"
}
}
JSON
{
"properties": {
"protectedItemType": "AzureFileShareProtectedItem",
"sourceResourceId": "/subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/AzureFiles/providers/Microsoft.Storage/storageAc
counts/testvault2",
"policyId": "" ,
"protectionState":"ProtectionStopped"
}
}
Respuesta de muestra
Detener la protección de un recurso compartido de archivos es una operación
asincrónica. La operación crea otra de la que se tiene que hacer el seguimiento.
Devuelve las dos respuestas: 202 (Aceptado) cuando se crea otra operación y 200
cuando se completa dicha operación.
HTTP
HTTP/1.1" 202
'Cache-Control': 'no-cache'
'Pragma': 'no-cache'
'Expires': '-1'
'Location': 'https://management.azure.com/Subscriptions/ef4ab5a7-c2c0-4304-
af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;storage;azurefiles;testvault2/protectedItems/AzureFileShare;testshare/o
perationResults/b300922a-ad9c-4181-b4cd-d42ea780ad77?api-version=2019-05-13'
'Retry-After': '60'
msrest.http_logger : 'Azure-AsyncOperation':
'https://management.azure.com/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;storage;azurefiles;testvault2/protectedItems/AzureFileShare;testshare/o
perationsStatus/b300922a-ad9c-4181-b4cd-d42ea780ad77?api-version=2019-05-13'
'X-Content-Type-Options': 'nosniff'
'x-ms-request-id': '3895e8a1-e4b9-4da5-bec7-2cf0266405f8'
'x-ms-client-request-id': 'd331c15e-48ab-11ea-84c0-0a580af46a50, d331c15e-
48ab-11ea-84c0-0a580af46a50'
'Strict-Transport-Security': 'max-age=31536000; includeSubDomains'
'X-Powered-By': 'ASP.NET'
'x-ms-ratelimit-remaining-subscription-writes': '1199'
'x-ms-correlation-request-id': '3895e8a1-e4b9-4da5-bec7-2cf0266405f8'
'x-ms-routing-request-id': 'WESTEUROPE:20200206T064224Z:3895e8a1-e4b9-4da5-
bec7-2cf0266405f8'
'Date': 'Thu, 06 Feb 2020 06:42:24 GMT'
'Content-Length': '0'
HTTP
GET https://management.azure.com/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupoperations/b300922a-ad9c-4181-b4cd-
d42ea780ad77?api-version=2016-12-01
Response body
JSON
{
"id": "b300922a-ad9c-4181-b4cd-d42ea780ad77",
"name": "b300922a-ad9c-4181-b4cd-d42ea780ad77",
"status": "Succeeded",
"startTime": "2020-02-06T06:42:24.4001299Z",
"endTime": "2020-02-06T06:42:24.4001299Z",
"properties": {
"objectType": "OperationStatusJobExtendedInfo",
"jobId": "7816fca8-d5be-4c41-b911-1bbd922e5826"
}
}
HTTP
DELETE
https://management.azure.com/Subscriptions/{subscriptionId}/resourceGroups/{
resourceGroupName}/providers/Microsoft.RecoveryServices/vaults/{vaultName}/b
ackupFabrics/{fabricName}/protectionContainers/{containerName}/protectedItem
s/{protectedItemName}?api-version=2019-05-13
HTTP
DELETE https://management.azure.com/Subscriptions/ef4ab5a7-c2c0-4304-af80-
af49f48af3d1/resourceGroups/azurefiles/providers/Microsoft.RecoveryServices/
vaults/azurefilesvault/backupFabrics/Azure/protectionContainers/StorageConta
iner;Storage;AzureFiles;testvault2/protectedItems/azurefileshare;testshare?
api-version=2016-12-01
Respuestas
La eliminación de la protección es una operación asincrónica. La operación crea otra
operación de la que se debe hacer un seguimiento por separado. Devuelve las dos
respuestas: 202 (Aceptado) cuando se crea otra operación y 204 (Sin contenido) cuando
se completa dicha operación.
Pasos siguientes
Aprenda a solucionar problemas al configurar la copia de seguridad para recursos
compartidos de archivos de Azure.
Supervisión de Azure Files
Artículo • 13/09/2023
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Comience con el artículo Supervisión de recursos de Azure con Azure Monitor, que
describe lo siguiente:
Supervisión de datos
Azure Files recopila los mismos tipos de datos de supervisión que otros recursos de
Azure, que se describen en Supervisión de datos de recursos de Azure.
Recopilación y enrutamiento
Las métricas de la plataforma y el registro de actividad se recopilan automáticamente,
pero se pueden enrutar a otras ubicaciones mediante una configuración de diagnóstico.
Category Descripción
Limitaciones de destino
Para conocer las limitaciones de destino generales, consulte Limitaciones de destino. Las
siguientes limitaciones solo se aplican a la supervisión de cuentas de Azure Storage.
Esto provocaría registros recursivos en los que una entrada de registro describe la
escritura de otra entrada de registro. Debe crear una cuenta o usar otra existente
para almacenar información de registro.
Pasos siguientes
Análisis de métricas de Azure Files mediante Azure Monitor
Crear alertas de supervisión para Azure Files
Referencia de datos de supervisión de Azure Files
Supervisión de recursos de Azure con Azure Monitor
Migración de las métricas de Azure Storage.
Análisis de métricas de Azure Files
mediante Azure Monitor
Artículo • 13/09/2023
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Métricas compatibles
Para obtener una lista de todas las métricas compatibles con Azure Monitor, lo que
incluye Azure Files, vea Métricas compatibles con Azure Monitor.
Azure Portal
Puede analizar las métricas de Azure Storage con métricas de otros servicios de
Azure con el Explorador de métricas. Para abrir el Explorador de métricas, elija
Métricas en el menú Azure Monitor. Para más información sobre esta herramienta,
consulte Introducción al Explorador de métricas de Azure.
Para ver las métricas que admiten dimensiones, puede filtrar las métricas con el
valor de dimensión deseado. Para obtener una lista completa de las dimensiones
que admite Azure Storage, consulte Dimensiones de métricas. Las métricas de
Azure Files se encuentran en estos espacios de nombres:
Microsoft.Storage/storageAccounts
Microsoft.Storage/storageAccounts/fileServices
Supervisión del rendimiento de la carga de
trabajo
Puede usar Azure Monitor para analizar las cargas de trabajo que usan Azure Files. Siga
estos pasos.
Supervisión de la disponibilidad
En Azure Monitor, la métrica Disponibilidad puede ser útil cuando algo es visiblemente
incorrecto desde la perspectiva de un usuario o una aplicación, o al solucionar
problemas de alertas.
Al usar esta métrica con Azure Files, es importante ver siempre la agregación como
Promedio en lugar de Max o Min. El uso de Promedio le ayudará a comprender qué
porcentaje de las solicitudes están experimentando errores y si están dentro del
Acuerdo de Nivel de Servicio para Azure Files .
Supervisión de la latencia
Las dos métricas de latencia más importantes son Latencia de E2E correcta y Latencia
del servidor correcta. Estas son métricas ideales para seleccionar al iniciar cualquier
investigación de rendimiento. El Promedio es la agregación recomendada. Como se
mencionó anteriormente, Max y Min a veces pueden ser engañosas.
En los gráficos siguientes, la línea azul indica cuánto tiempo se dedica a la latencia total
(latencia de E2E correcta) y la línea rosa indica el tiempo invertido solo en el servicio de
Azure Files (latencia del servidor correcto).
Otro indicador de latencia que se debe buscar y podría sugerir un problema es una
mayor frecuencia o picos anómalos en la Latencia del servidor correcta. Esto suele
deberse a la limitación debido a superar los límites de escala de Azure Files para los
recursos compartidos de archivos estándar o a un Recurso compartido de Azure Files
premium aprovisionado insuficientemente.
Para obtener más información, consulte Solución de problemas de alta latencia, bajo
rendimiento o IOPS bajas.
Si usa las métricas Salida o Entrada para determinar el volumen de datos entrantes o
salientes, use la agregación Suma para determinar la cantidad total de datos que se
transmiten hacia el recurso compartido de archivos y desde este durante una
granularidad de un minuto a un día. Otras agregaciones como Promedio, Max y Min
solo muestran el valor del tamaño de E/S individual. Este es el motivo por el que la
mayoría de los clientes suelen ver 1 MiB al usar la agregación Max. Aunque puede ser
útil comprender el tamaño de E/S más grande, menor o incluso el promedio, no es
posible mostrar la distribución del tamaño de E/S generado por el patrón de uso de la
carga de trabajo.
También puede seleccionar Aplicar división en tipos de respuesta (correcto, errores) u
operaciones de API (lectura, escritura, creación, cierre) para mostrar detalles adicionales,
como se muestra en el gráfico siguiente.
Para determinar el promedio de E/S por segundo (IOPS) de la carga de trabajo, primero
determine el número total de transacciones durante un minuto y, a continuación, divida
ese número en 60 segundos. Por ejemplo, 120 000 transacciones en 1 minuto /
60 segundos = 2000 IOPS en promedio.
Con los recursos compartidos de archivos de Azure premium, puede usar las métricas
Transacciones por número máximo de IOPS y Ancho de banda por número máximo
de MiB/s para mostrar lo que la carga de trabajo está logrando en horas pico. El uso de
estas métricas para analizar la carga de trabajo le ayudará a comprender la verdadera
funcionalidad a gran escala, así como a establecer una base de referencia para
comprender el impacto de más rendimiento e IOPS para que pueda aprovisionar de
forma óptima el recurso compartido de archivos de Azure premium.
En el gráfico siguiente se muestra una carga de trabajo que generó 2,63 millones de
transacciones durante 1 hora. Cuando 2,63 millones de transacciones se divide entre
3600 segundos, obtenemos un promedio de 730 IOPS.
Ahora, cuando comparamos las IOPS promedio con las Transacciones por número
máximo de IOPS, vemos que en la carga máxima logramos 1840 IOPS, que es una mejor
representación de la capacidad de la carga de trabajo a gran escala.
Seleccione Agregar métrica para combinar las Métricas de entrada y Salida en un solo
gráfico. Esto muestra que 76,2 GiB (78 028 MiB) se transfirieron a lo largo de una hora,
lo que nos proporciona un rendimiento promedio de 21,67 MiB durante esa misma
hora.
Análisis de registros
Puede acceder a los registros de los recursos como blob en una cuenta de
almacenamiento, como datos de eventos o a través de consultas de Log Analytics. Para
obtener información sobre cómo buscar esos registros, consulte Registros de recursos
de Azure.
Todos los registros de recursos de Azure Monitor tienen los mismos campos seguidos
de campos específicos del servicio. El esquema común se describe en Esquema de
registros de recursos de Azure Monitor. El esquema para los registros de recursos de
Azure Files se encuentra en Referencia de datos de supervisión de Azure Files.
Para obtener la lista de operaciones de SMB y de REST que se registran, consulte
Operaciones y mensajes de estado registrados por Storage.
Las entradas del registro se crean solo si se presentan solicitudes al punto de conexión
de servicio. Por ejemplo, si una cuenta de almacenamiento tiene actividad en el punto
de conexión de su archivo, pero no en los puntos de conexión de su tabla o cola, solo se
crean los registros correspondientes al servicio del archivo de Azure. Los registros de
Azure Storage contienen información detallada sobre las solicitudes correctas y erróneas
realizadas a un servicio de almacenamiento. Esta información se puede utilizar para
supervisar solicitudes concretas y para diagnosticar problemas con un servicio de
almacenamiento. Las solicitudes se registran en función de la mejor opción.
Solicitudes correctas
Solicitudes erróneas, incluidos errores de tiempo de espera, de limitación, de red,
de autorización y de otro tipo
Solicitudes que usan Kerberos, NTLM o una firma de acceso compartido (SAS), que
incluyen tanto las solicitudes correctas como con error
Solicitudes de datos de análisis (datos de registro clásicos en el contenedor $logs y
datos de métricas clásicos en las tablas $metric)
Las solicitudes que realiza el propio servicio Azure Files, como la creación o eliminación
de registros, no se registran. Para obtener una lista completa de solicitudes de SMB y de
REST que se registran, vea Operaciones registradas de almacenamiento y mensajes de
estado y Referencia de datos de supervisión de Azure Files.
Estas son algunas consultas que puede escribir en la barra Búsqueda de registros para
ayudarle a supervisar Azure Files. Estas consultas funcionan con el nuevo lenguaje.
) Importante
Utilice estas consultas para ayudar a supervisar los recursos compartidos de Azure:
Kusto
StorageFileLogs
| where Protocol == "SMB" and TimeGenerated >= ago(7d) and StatusCode
contains "-"
| sort by StatusCode
Kusto
StorageFileLogs
| where Protocol == "SMB" and TimeGenerated >= ago(7d)
| summarize count() by OperationName
| sort by count_ desc
| render piechart
Kusto
StorageFileLogs
| where Protocol == "HTTPS" and TimeGenerated >= ago(7d) and StatusText
!contains "Success"
| sort by StatusText asc
Kusto
StorageFileLogs
| where Protocol == "HTTPS" and TimeGenerated >= ago(7d)
| summarize count() by OperationName
| sort by count_ desc
| render piechart
Para ver la lista de nombres y descripciones de las columnas de Azure Files, vea
StorageFileLogs.
Para obtener más información sobre cómo escribir consultas, vea Tutorial de Log
Analytics.
Pasos siguientes
Supervisión de Azure Files
Creación de alertas de supervisión para Azure Files
Referencia de datos de supervisión de Azure Files
Supervisión de recursos de Azure con Azure Monitor
Descripción del rendimiento de Azure Files
Creación de alertas de supervisión para
Azure Files
Artículo • 13/09/2023
Para obtener más información sobre cómo crear una alerta, consulte Creación o edición
de una regla de alerta.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Sugerencia
Si crea una alerta y esta produce demasiados resultados irrelevantes, ajuste el valor
del umbral y la lógica de alerta.
1. Abra el cuadro de diálogo Crear una regla de alerta . Para obtener más
información, consulte Creación o edición de una regla de alerta.
SuccessWithShareIopsThrottling
SuccessWithThrottling
ClientShareIopsThrottlingError
SuccessWithShareEgressThrottling
SuccessWithShareIngressThrottling
SuccessWithShareIopsThrottling
ClientShareEgressThrottlingError
ClientShareIngressThrottlingError
ClientShareIopsThrottlingError
7 Nota
7 Nota
Sugerencia
7 Nota
5. Escriba el Valor de umbral (en bytes). Por ejemplo, si el tamaño del recurso
compartido de archivos es 100 TiB y quiere recibir una alerta cuando su tamaño
sea el 80 % de la capacidad, el valor de umbral en bytes es 87960930222080.
7 Nota
1. Abra el cuadro de diálogo Crear una regla de alerta . Para obtener más
información, consulte Creación o edición de una regla de alerta.
7 Nota
Sugerencia
Si usa un umbral estático, el gráfico de métricas puede ayudar a determinar
un valor de umbral razonable si el recurso compartido está experimentado
una latencia alta. Si usa un umbral dinámico, el gráfico de métricas mostrará
los umbrales calculados según los datos recientes. Se recomienda usar la
lógica dinámica con una sensibilidad de umbral media y ajustar aún más
según sea necesario. Para obtener más información, consulte Descripción de
los umbrales dinámicos.
Pasos siguientes
Supervisión de Azure Files
Análisis de métricas de Azure Files mediante Azure Monitor
Referencia de datos de supervisión de Azure Files
Supervisión de recursos de Azure con Azure Monitor
Migración de las métricas de Azure Storage.
Migración a recursos compartidos de
archivos de Azure SMB
Artículo • 22/12/2023
En este artículo se tratan los aspectos básicos de una migración a recursos compartidos
de archivos de Azure SMB y se incluye una tabla de guías de migración. Estas guías le
ayudan a trasladar los archivos a recursos compartidos de archivos de Azure. Las guías
se organizan en función de dónde se encuentran los datos y el modelo de
implementación (solo en la nube o híbrido) al que va a realizar el cambio.
Se aplica a
ノ Expandir tabla
Los recursos compartidos de archivos de Azure son excelentes para los datos de
archivos de uso general. Estos datos incluyen cualquier contenido para el que use un
recurso compartido de SMB local. Con Azure File Sync, puede copiar en caché el
contenido de varios recursos compartidos de archivos de Azure en servidores que
ejecuten Windows Server en el entorno local.
La fidelidad de los archivos en una migración se puede definir como la capacidad de:
) Importante
Si va a migrar servidores de archivos locales a Azure File Sync, establezca las ACL
para el directorio raíz del recurso compartido de archivos antes de copiar un gran
número de archivos, ya que los cambios en los permisos de las ACL raíz pueden
tardar hasta un día en propagarse si se realiza después de una migración de
archivos de gran tamaño.
Los usuarios que utilizan Active Directory Domain Services (AD DS) como su controlador
de dominio local pueden acceder de forma nativa a un recurso compartido de archivos
de Azure. Lo mismo sucede con los usuarios de Microsoft Entra Domain Services. Ambos
usan su identidad actual para obtener acceso en función de los permisos de recurso
compartido, así como de las ACL de archivos y carpetas. Este comportamiento es similar
al de un usuario que se conecta a un recurso compartido de archivos local.
Metadatos admitidos
En la tabla siguiente se enumeran los metadatos admitidos para Azure Files.
) Importante
ノ Expandir tabla
Origen Destino
Vínculos Los vínculos simbólicos del origen se pueden conservar y asignar en el recurso
simbólicos compartido de destino.
Permisos de Azure Files admite las ACL de Windows, y estas deben establecerse en el recurso
acceso compartido de destino incluso si no hay ninguna integración de AD configurada
en el momento de la migración. Se deben conservar las siguientes ACL:
identificador de seguridad del propietario (SID), SID de grupo, listas de acceso
discrecional (DACL), listas de control de acceso del sistema (SACL).
Origen Destino
Cambio de La marca de tiempo del cambio original del archivo de origen se puede
marca de conservar en el recurso compartido de destino.
tiempo
Atributos de Los atributos comunes, como las marcas de solo lectura, ocultas y de archivo, se
archivo pueden conservar en el recurso compartido de destino.
Guías de migración
En la tabla siguiente se enumeran las combinaciones de herramientas sugeridas para
migrar a recursos compartidos de archivos de Azure SMB.
1. Busque la fila del sistema de origen en el que están almacenados los archivos.
Una implementación híbrida con Azure File Sync para copiar en caché el
contenido de los recursos compartidos de archivos de Azure de forma local
Recursos compartidos de archivos de Azure en la nube
ノ Expandir tabla
Source Destino: Destino:
implementación híbrida implementación solo en la nube
(Azure Files + Azure File Sync) (Azure Files)
¿La herramienta admite la ruta de acceso de red o los protocolos disponibles (por
ejemplo, REST o SMB) entre las ubicaciones de almacenamiento de origen y de
destino?
Cuando una herramienta admite una opción para reflejar un origen en un destino,
a menudo puede ejecutarla varias veces en el mismo origen y destino mientras el
origen permanece accesible.
La primera vez que se ejecuta la herramienta, copia la mayor parte de los datos.
Puede que esta primera ejecución tarde un rato. A menudo tarda más tiempo del
que le gustaría para dejar sin conexión el origen de datos de sus procesos
empresariales.
ノ Expandir tabla
compartidos de
archivos de Azure
RoboCopy
Incluido en Windows, RoboCopy es una de las herramientas más aplicables a las
migraciones de archivos SMB. La documentación principal de RoboCopy es un recurso
útil para las numerosas opciones de esta herramienta.
Para más información, vea Matriz de comparación para los participantes del Programa
de migración de archivos de Azure.
Puede usar la herramienta para crear una perspectiva antes de una implementación de
Azure File Sync. También puede usarla cuando se active la nube por niveles después de
la implementación. En ese escenario, verá el número de elementos y los directorios que
usan más la memoria caché del servidor.
Pasos siguientes
1. Cree un plan para la implementación de los recursos compartidos de archivos de
Azure (solo en la nube o híbridos) que quieras.
2. Revise la lista de guías de migración disponibles para encontrar la que coincida
con el origen y la implementación de los recursos compartidos de archivos de
Azure.
Más información sobre las tecnologías de Azure Files mencionadas en este artículo:
En este artículo se tratan los aspectos básicos de la migración de servidores de archivos de Linux a recursos
compartidos de archivos de Azure NFS, que solo están disponibles como recursos compartidos de archivos Premium
(tipo de cuenta FileStorage). También compararemos las herramientas de copia de archivos de código abierto fpsync y
rsync para comprender cómo se realizan al copiar datos en recursos compartidos de archivos de Azure.
7 Nota
Se aplica a
ノ Expandir tabla
Requisitos previos
Necesitará al menos un recurso compartido de archivos de Azure NFS montado en una máquina virtual (VM) Linux.
Para crear uno, consulte Creación de un recurso compartido de archivos de Azure NFS y montaje en una máquina
virtual Linux. Se recomienda montar el recurso compartido con nconnect para usar varias conexiones TCP. Para más
información, consulte Mejora del rendimiento del recurso compartido de archivos NFS de Azure.
Herramientas de migración
Muchas herramientas de código abierto están disponibles para transferir datos a recursos compartidos de archivos
NFS. Sin embargo, no todos ellos son eficaces cuando se trabaja con un sistema de archivos distribuido con distintas
consideraciones de rendimiento en comparación con las configuraciones locales. En un sistema de archivos distribuido,
cada llamada de red implica un recorrido de ida y vuelta a un servidor que podría no ser local. Por lo tanto, optimizar el
tiempo invertido en las llamadas de red es fundamental para lograr un rendimiento óptimo y una transferencia de
datos eficaz a través de la red.
En este artículo, usaremos fpsync para mover datos de un servidor de archivos Linux a recursos compartidos de
archivos de Azure NFS.
Para copiar los datos, fpsync usa herramientas rsync (valor predeterminado), cpio o tar. Calcula subconjuntos del
directorio de origen src_dir/ y genera trabajos de sincronización para sincronizarlos con el directorio de destino
dst_dir/ . Ejecuta trabajos de sincronización sobre la marcha mientras rastrea simultáneamente el sistema de archivos,
lo que lo convierte en una herramienta útil para migrar de forma eficaz sistemas de archivos grandes y copiar grandes
conjuntos de datos con varios archivos.
7 Nota
Fpsync solo sincroniza el contenido del directorio, no el propio directorio de origen. A diferencia de rsync, fpsync
aplica el "/" final en el directorio de destino, lo que significa que no obtendrá un subdirectorio con el nombre del
directorio de origen en el directorio de destino después de la sincronización.
Instalación de fpart
Para usar fpsync, deberá instalar el particionador de sistema de archivos fpart. Instale fpart en la distribución de Linux
que prefiera. Una vez instalado, debería ver fpsync en /usr/bin/ .
Ubuntu
Bash
1. Copia de línea base: copia de origen a destino cuando no exista ningún dato en el destino. Para la copia de línea
base, se recomienda usar fpsync con cpio como herramienta de copia.
2. Copia incremental: copie solo los cambios incrementales de origen a destino. Para la sincronización incremental,
recomendamos usar fpsync con rsync como herramienta de copia. Esto se debe hacer varias veces para capturar
todos los cambios.
3. Pase final: se necesita un pase final para eliminar los archivos del destino que no existen en el origen.
La copia de datos con fpsync siempre implica alguna versión de este comando:
Bash
fpsync -m <specify copy tool - rsync/cpio/tar> -n <parallel transfers> <absolute source path> <absolute
destination path>
Bash
fpsync -m cpio –n <parallel transfers> <absolute source path> <absolute destination path>
Para obtener más información, consulte Compatibilidad con Cpio y Tar .
Copia incremental
Para la sincronización incremental, use fpsync con la herramienta de copia predeterminada (rsync). Para capturar todos
los cambios, se recomienda ejecutarlo varias veces.
Bash
De manera predeterminada, fpsync especificará las siguientes opciones de rsync: -lptgoD -v --numeric-ids . Puede
especificar opciones de rsync adicionales agregando –o option al comando fpsync.
Pase final
Después de varias sincronizaciones incrementales, debe realizar un pase final para eliminar los archivos de ese destino
que no existen en el origen. Puede hacerlo manualmente con rsync --delete para eliminar archivos adicionales del
directorio /data/dst/ o puede usar fpsync con la opción -E. Para obtener más información, consulte El pase final .
ノ Expandir tabla
Las pruebas se realizaron en Máquinas virtuales de Azure Standard_D8s_v3 con 8 vCPU, 32 GiB de memoria y más de 1
TiB de espacio en disco para grandes conjuntos de datos. Para el destino, hemos configurado recursos compartidos de
archivos de Azure NFS con más de 1 tamaño aprovisionado de TiB.
El rendimiento de Azure Files puede ser mucho mayor que el representado en los gráficos siguientes. Algunos de
los experimentos se realizaron deliberadamente con pequeños conjuntos de datos para simplificar.
Configuración 1
Para un único directorio con 1 millón de archivos pequeños que sume 18 GiB, hemos ejecutado esta prueba como una
copia de línea base y una copia incremental.
Hemos observado los siguientes resultados realizando una copia de línea base de origen a destino.
Hemos observado los siguientes resultados realizando una copia incremental (cambio diferencial).
Configuration 2
Observamos los siguientes resultados haciendo una copia de línea base de 191.345 archivos pequeños en 3.906
directorios con un tamaño total de 3 GiB.
Configuración 3
Observamos los siguientes resultados haciendo una copia de línea base de 5000 archivos grandes (10 MiB) en un único
directorio con un tamaño total de 50 GiB.
La distribución de datos en el directorio ayuda a paralelizar el proceso de migración y, por tanto, logra un mejor
rendimiento.
La copia de datos de tamaños de archivo más grandes produce un mejor rendimiento que copiar datos de
tamaños de archivo más pequeños.
ノ Expandir tabla
Configuración Recuento Recuento Tamaño tamaño Duración de Rendimiento Duración de Rendimiento Ganancia
# de de de total rsync rsync fpsync de fpsync de
archivos directorios archivo rendimiento
1,1 (línea 1 millón 1 0- 18 GiB 837,06 minutos 0,33 MiB/s 228,16 1,20 MiB/s 267 %
base) 32 KiB minutos
1,2 1 millón 1 0- 18 GiB 84,02 minutos 3,25 MiB/s 7,5 minutos 36,41 MiB/s 1,020 %
(incremental) 32 KiB
Configuración Recuento Recuento Tamaño tamaño Duración de Rendimiento Duración de Rendimiento Ganancia
# de de de total rsync rsync fpsync de fpsync de
archivos directorios archivo rendimiento
2 (línea base) 191,345 3,906 0- 3 GiB 191,86 minutos 0,27 MiB/s 8,47 minutos 6,04 MiB/s 2,164 %
32 KiB
3 (línea base) 5\.000 1 10 MiB 50 GiB 8,12 minutos 105,04 MiB/s 2,76 minutos 308,90 MiB/s 194 %
Pasos siguientes
Mejorar el rendimiento del recurso compartido de archivos de Azure NFS
Migración de archivos entre recursos
compartidos de archivos de SMB de
Azure
Artículo • 29/07/2023
2 Advertencia
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
1. Implemente una máquina virtual (VM) Windows en Azure en la misma región que
el recurso compartido de archivos de origen. Mantener los datos y las redes en
Azure será rápido y le ahorrará los cargos de transferencia de datos salientes. Para
obtener un rendimiento óptimo, se recomienda un tipo de máquina virtual de
varios núcleos con al menos 56 GiB de memoria, por ejemplo , Standard_DS5_v2.
2. Monte los recursos compartidos de archivos de origen y de destino en la máquina
virtual. Asegúrese de montarlos con la clave de cuenta de almacenamiento para
que la máquina virtual tenga acceso a todos los archivos. No use una identidad de
dominio.
Consola
Consola
robocopy s:\ t:\ /MIR /COPYALL /MT:16 /R:2 /W:1 /B /IT /DCOPY:DAT
Puede ejecutar el comando mientras el origen siga en línea, pero tenga en cuenta
que cualquier E/S funcionará con los límites del recurso compartido existente.
5. Una vez completado el comando por segunda vez, puede redirigir la aplicación al
nuevo recurso compartido.
Consulte también
Migración a recursos compartidos de archivos de Azure con RoboCopy
Migración de archivos de un recurso compartido de archivos de Azure a otro al
usar Azure File Sync
Uso de RoboCopy para migrar a
recursos compartidos de archivos de
Azure
Artículo • 23/10/2023
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
AzCopy, por otro lado, se ha expandido recientemente para admitir la copia de archivos
con cierta fidelidad y ha agregado las primeras características necesarias para
considerarse como una herramienta de migración. Sin embargo, todavía hay lagunas y
pueden surgir malentendidos con facilidad en relación con la funcionalidad al comparar
las marcas de AzCopy con las de RoboCopy.
Objetivos de la migración
El objetivo es mover los datos de ubicaciones de recursos compartidos de archivos
existentes a Azure. En Azure, almacenará los datos en recursos compartidos de archivos
nativos de Azure que puede usar sin necesidad de Windows Server. Esta migración se
debe realizar de forma que garantice la integridad de los datos de producción y la
disponibilidad durante la migración. Esta última requiere que el tiempo de inactividad
sea mínimo, para ajustarse o solo superar ligeramente las ventanas de mantenimiento
regulares.
Como regla general, puede agrupar varios recursos compartidos de archivos de Azure
en la misma cuenta de almacenamiento si tiene recursos compartidos de archivo o que
espera que tengan escasa actividad diaria. Sin embargo, si tiene recursos compartidos
muy activos (recursos compartidos usados por muchos usuarios o aplicaciones), es
conveniente implementar cuentas de almacenamiento con un recurso compartido de
archivos cada una. Estas limitaciones no se aplican a las cuentas de almacenamiento de
FileStorage (prémium), donde el rendimiento se aprovisiona y garantiza explícitamente
para cada recurso compartido.
7 Nota
Hay un límite de 250 cuentas de almacenamiento por suscripción por cada región
de Azure. Con un aumento de cuota, podría crear hasta 500 cuentas de
almacenamiento por región. Para obtener más información, consulte Aumento de
las cuotas de la cuenta de Azure Storage.
Los recursos compartidos de archivos de Azure Estándar se crean con un límite de 5 TiB
de forma predeterminada. Si necesita más capacidad, puede crear un recurso
compartido de archivos grande (hasta 100 TiB). Sin embargo, ese recurso compartido
solo puede las opciones de redundancia de almacenamiento con redundancia local o de
almacenamiento con redundancia de zona. Tenga en cuenta sus necesidades de
redundancia de almacenamiento antes de usar recursos compartidos de archivos de
100 TiB.
Si ha creado una lista de recursos compartidos, tiene que asignar cada recurso
compartido a la cuenta de almacenamiento en la que se creará.
Los nombres de los recursos también son importantes. Por ejemplo, si agrupa varios
recursos compartidos para el Departamento de Recursos Humanos en una cuenta de
almacenamiento de Azure, debe asignar el nombre adecuado a la cuenta de
almacenamiento. Del mismo modo, al asignar el nombre a los recursos compartidos de
archivos de Azure, tiene que usar nombres similares a los que se usan para sus
homólogos locales.
https://www.youtube-nocookie.com/embed/jd49W33DxkQ
Este vídeo es una guía y demostración sobre cómo exponer de forma segura recursos
compartidos de archivos de Azure directamente para las aplicaciones y trabajadores de
la información en cinco sencillos pasos.
En el vídeo se hace referencia a documentación dedicada para algunos temas:
Introducción a las identidades
Unión a un dominio de una cuenta de almacenamiento
Información general sobre redes para recursos compartidos de archivos de Azure
Configuración de puntos de conexión públicos y privados
Configuración de una VPN S2S
Configuración de una VPN de Windows P2S
Configuración de una VPN P2S de Linux
Configuración del reenvío de DNS
Configuración de DFS-N
) Importante
Una vez todo listo, revise Uso de un recurso compartido de archivos de Azure con
Windows. A continuación, monte el recurso compartido de archivos de Azure para el
que desea iniciar RoboCopy.
Fase 3: RoboCopy
El siguiente comando RoboCopy solo copiará las diferencias (archivos y carpetas
actualizados) desde el almacenamiento de origen al recurso compartido de archivos de
Azure.
Consola
Conmutador Significado
/W:n Especifica el tiempo que espera Robocopy antes de intentar copiar un archivo
que no se ha copiado correctamente en el último intento. n es el número de
Conmutador Significado
segundos de espera entre reintentos. /W:n a menudo se usa junto con /R:n .
/MIR (Reflejar origen en destino). Permite que Robocopy solo tenga que copiar las
diferencias entre el origen y el destino. Se copiarán los subdirectorios vacíos. Se
copiarán los elementos (archivos o carpetas) que hayan cambiado o no existan en
el destino. Los elementos que existan en el destino, pero no en el origen, se
purgarán (se eliminarán) del destino. Cuando use este conmutador, haga
coincidir exactamente con las estructuras de carpetas de origen y de destino.
Coincidencia significa que se copia desde el nivel de carpeta y origen correctos en
el nivel de carpeta del destino coincidente. Solo entonces se puede realizar
correctamente una copia de "puesta al día". Cuando el origen y el destino no
coinciden, el uso de /MIR dará lugar a eliminaciones y nuevas copias a gran
escala.
/XD Especifica los directorios que se excluirán. Cuando ejecute Robocopy en la raíz de
un volumen, considere la posibilidad de excluir la carpeta System Volume
Information oculta. Si se usa como está previsto, toda la información que
contiene es específica del volumen exacto en este sistema exacto y se puede
recompilar a petición. Copiar esta información no será útil en la nube ni cuando
los datos se vuelvan a copiar en otro volumen Windows. Dejar este contenido
atrás no debe considerarse una pérdida de datos.
) Importante
Se recomienda usar Windows Server 2022. Cuando use Windows Server 2019,
asegúrese de que está instalado con el nivel de revisión más reciente o, al menos,
la actualización KB5005103 del sistema operativo . Contiene correcciones
importantes para determinados escenarios de Robocopy.
Sugerencia
La segunda vez que ejecute RoboCopy para el mismo recurso compartido se completará
más rápido, ya que solo necesita transportar los cambios posteriores a la última
ejecución. Puede ejecutar trabajos repetidos para el mismo recurso compartido.
Ejecute una última ronda de RoboCopy. Recuperará todos los cambios que puedan
haberse omitido. El tiempo necesario para hacer este último paso depende de la
velocidad del análisis de RoboCopy. Para realizar un cálculo estimado del tiempo (que
equivale al tiempo de inactividad) averigüe cuánto tardó en realizarse la ejecución
anterior.
Puede intentar ejecutar algunas de estas copias entre distintos recursos compartidos de
origen y destino en paralelo. Al hacerlo, tenga en cuenta el rendimiento de la red y la
relación de número de subprocesos y núcleos para no sobrecargar el sistema.
U Precaución
Aunque es deseable copiar lo más rápido posible, tenga en cuenta el uso de la red
local y el dispositivo NAS en otras tareas que suelen ser críticas para la empresa.
Copiar lo más rápido posible podría no ser deseable si existe el riesgo de que la
migración acapare los recursos disponibles.
/IPG:n no se puede usar para limitar la red a un número exacto de megabits por
Velocidad de procesamiento
RoboCopy recorrerá el espacio de nombres al que se apunta y evaluará cada archivo y
carpeta con fines de copia. Los archivos se evaluarán durante una copia inicial y durante
las copias de puesta al día. Por ejemplo, ejecuciones repetidas de RoboCopy/MIR en las
mismas ubicaciones de almacenamiento de origen y de destino. Estas ejecuciones
repetidas son útiles para minimizar el tiempo de inactividad de los usuarios y las
aplicaciones, así como para mejorar la tasa de éxito general de los archivos migrados.
A menudo, el ancho de banda suele considerarse como el factor más restrictivo en una
migración, algo que puede ser cierto. Pero la posibilidad de enumerar un espacio de
nombres puede influir en el tiempo total de copia para espacios de nombres más largos
con archivos más pequeños. Tenga en cuenta que copiar 1 TiB de archivos pequeños
tardará mucho más que copiar 1 TiB de un número inferior de archivos de mayor
tamaño, si se supone que todas las demás variables permanecen iguales. Por lo tanto, es
posible que se experimente una transferencia lenta si va a migrar una gran cantidad de
archivos pequeños. Este es un comportamiento esperado.
Sugerencia
Regla general: la primera ejecución de RoboCopy, que moverá una gran cantidad
de datos de una red de mayor latencia, se beneficia del aprovisionamiento excesivo
del número de subprocesos ( /MT:n ). Las ejecuciones posteriores copiarán menos
diferencias y es más probable que se cambie de un rendimiento restringido de red
a otro restringido por proceso. En estas circunstancias, a menudo es mejor que el
número de subprocesos de RoboCopy coincida con los subprocesos disponibles
realmente en la máquina. El aprovisionamiento excesivo en ese escenario puede
generar más cambios de contexto en el procesador, lo que podría ralentizar la
copia.
Otro aspecto importante es usar la herramienta RoboCopy de forma eficaz. Con el script
de RoboCopy recomendado, se creará y guardará un archivo de registro de los errores.
Es normal que puedan producirse errores de copia. Estos errores suelen hacer que sea
necesario ejecutar varias rondas de una herramienta de copia como RoboCopy: una
ejecución inicial, por ejemplo, desde un NAS a DataBox o un servidor a un recurso
compartido de archivos de Azure, y una o varias ejecuciones adicionales con el
modificador /MIR para detectar y volver a intentar archivos que no se copiaron.
/R:n n = la frecuencia con la que se vuelve a intentar copiar un archivo con errores
/W:n n = el número de segundos que hay que esperar entre reintentos
/R:5 /W:5 es un valor razonable que puede ajustar a su gusto. En este ejemplo, un
archivo con errores se intentará volver a copiar cinco veces, con un tiempo de espera de
cinco segundos entre un reintento y otro. Si el archivo sigue sin copiarse, el siguiente
trabajo de RoboCopy lo volverá a intentar. A menudo, los archivos que generan errores
por estar en uso o debido a problemas de tiempo de espera se pueden copiar
correctamente de esta manera.
Pasos siguientes
Los siguientes artículos le ayudarán a comprender las opciones avanzadas y los
procedimientos recomendados.
Este artículo de migración es uno de varios que implican las palabras clave NAS y Azure
Data Box. Compruebe si este artículo se aplica a su escenario:
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Objetivos de la migración
El objetivo es migrar los recursos compartidos del dispositivo NAS a Azure y convertirlos
en recursos compartidos de archivos de Azure nativos. Puede usar estos recursos
compartidos sin necesidad de una instancia de Windows Server. Esta migración se debe
realizar de forma que garantice la integridad de los datos de producción y la
disponibilidad durante la migración. Esta última requiere que el tiempo de inactividad
sea mínimo, para ajustarse o solo superar ligeramente las ventanas de mantenimiento
regulares.
Sugerencia
Si vuelve a este artículo, use la navegación del lado derecho para ir a la fase de
migración en la que se quedó.
Como regla general, puede agrupar varios recursos compartidos de archivos de Azure
en la misma cuenta de almacenamiento si tiene recursos compartidos de archivo o que
espera que tengan escasa actividad diaria. Sin embargo, si tiene recursos compartidos
muy activos (recursos compartidos usados por muchos usuarios o aplicaciones), es
conveniente implementar cuentas de almacenamiento con un recurso compartido de
archivos cada una. Estas limitaciones no se aplican a las cuentas de almacenamiento de
FileStorage (prémium), donde el rendimiento se aprovisiona y garantiza explícitamente
para cada recurso compartido.
7 Nota
Hay un límite de 250 cuentas de almacenamiento por suscripción por cada región
de Azure. Con un aumento de cuota, podría crear hasta 500 cuentas de
almacenamiento por región. Para obtener más información, consulte Aumento de
las cuotas de la cuenta de Azure Storage.
Si ha creado una lista de recursos compartidos, tiene que asignar cada recurso
compartido a la cuenta de almacenamiento en la que se creará.
Los nombres de los recursos también son importantes. Por ejemplo, si agrupa varios
recursos compartidos para el Departamento de Recursos Humanos en una cuenta de
almacenamiento de Azure, debe asignar el nombre adecuado a la cuenta de
almacenamiento. Del mismo modo, al asignar el nombre a los recursos compartidos de
archivos de Azure, tiene que usar nombres similares a los que se usan para sus
homólogos locales.
En esta fase, debe asignar los resultados del plan de migración de la fase anterior a los
límites de las opciones de DataBox disponibles. Estas consideraciones le ayudarán a
crear un plan para las opciones de DataBox que debe elegir, así como cuántas
necesitará para mover los recursos compartidos de NAS a recursos compartidos de
archivos de Azure.
Para determinar el número de dispositivos que necesita de cada tipo, tenga en cuenta
estos límites importantes:
Opciones de DataBox
Para una migración estándar, se debe elegir una combinación de estas dos opciones de
DataBox:
2 Advertencia
Estos servidores se usarán primero para copiar los archivos en el dispositivo Data
Box.
Después, se usarán para ponerse al día con los cambios que se han producido en
el dispositivo NAS mientras el dispositivo Data Box estaba transportándose. Este
enfoque reduce al mínimo el tiempo de inactividad en el lado de origen.
La velocidad con la que funcionan los trabajos de RoboCopy depende principalmente
de los siguientes factores:
Es importante tener en cuenta los detalles a los que se hace referencia al elegir la RAM y
el número de subprocesos que se proporcionarán a las instancias temporales de
Windows Server.
https://www.youtube-nocookie.com/embed/jd49W33DxkQ
Este vídeo es una guía y demostración sobre cómo exponer de forma segura recursos
compartidos de archivos de Azure directamente para las aplicaciones y trabajadores de
la información en cinco sencillos pasos.
En el vídeo se hace referencia a documentación dedicada para algunos temas:
Introducción a las identidades
Unión a un dominio de una cuenta de almacenamiento
Información general sobre redes para recursos compartidos de archivos de Azure
Configuración de puntos de conexión públicos y privados
Configuración de una VPN S2S
Configuración de una VPN de Windows P2S
Configuración de una VPN P2S de Linux
Configuración del reenvío de DNS
Configuración de DFS-N
En función del tipo de DataBox, puede que haya herramientas de copia de DataBox
disponibles. En este momento, no se recomiendan para las migraciones a recursos
compartidos de archivos de Azure, ya que no copian los archivos con plena fidelidad en
el dispositivo DataBox. En su lugar, use RoboCopy.
Consola
Robocopy /MT:32 /NP /NFL /NDL /B /MIR /IT /COPY:DATSO /DCOPY:DAT /UNILOG:
<FilePathAndName> <SourcePath> <Dest.Path>
Para obtener más información acerca de los detalles de cada marca de RoboCopy,
consulte la tabla en sección de RoboCopy más adelante.
Para obtener más información acerca de cómo ajustar correctamente el número de
subprocesos /MT:n , optimizar la velocidad de RoboCopy y hacer que RoboCopy
funcione adecuadamente en el centro de datos, eche un vistazo a la sección de
solución de problemas de RoboCopy.
Sugerencia
En los casos en los que necesita que un recurso compartido sea de lectura y escritura
durante la migración y solo pueda permitirse un pequeño período de inactividad, será
importante que complete este paso de RoboCopy de puesta al día antes de la
conmutación por error del acceso del usuario directamente al recurso compartido de
archivos de Azure.
En este paso, ejecutará trabajos de RoboCopy para poner al día los recursos
compartidos en la nube con los cambios más recientes del NAS desde el momento en
que bifurcó los recursos compartidos en el dispositivo DataBox. Esta puesta al día de
RoboCopy puede finalizar rápidamente o tardar unos minutos en función de la cantidad
de abandonos que haya ocurrido en los recursos compartidos de NAS.
) Importante
RoboCopy
El siguiente comando RoboCopy solo copiará las diferencias (archivos y carpetas
actualizados) desde el almacenamiento NAS al recurso compartido de archivos de
Azure.
Consola
Conmutador Significado
lugar a una mayoría de errores de copia porque los archivos siguen abiertos
después del tiempo de espera de reintento.
/W:n Especifica el tiempo que espera Robocopy antes de intentar copiar un archivo
que no se ha copiado correctamente en el último intento. n es el número de
segundos de espera entre reintentos. /W:n a menudo se usa junto con /R:n .
/MIR (Reflejar origen en destino). Permite que Robocopy solo tenga que copiar las
diferencias entre el origen y el destino. Se copiarán los subdirectorios vacíos. Se
copiarán los elementos (archivos o carpetas) que hayan cambiado o no existan en
el destino. Los elementos que existan en el destino, pero no en el origen, se
purgarán (se eliminarán) del destino. Cuando use este conmutador, haga
coincidir exactamente con las estructuras de carpetas de origen y de destino.
Coincidencia significa que se copia desde el nivel de carpeta y origen correctos en
el nivel de carpeta del destino coincidente. Solo entonces se puede realizar
correctamente una copia de "puesta al día". Cuando el origen y el destino no
coinciden, el uso de /MIR dará lugar a eliminaciones y nuevas copias a gran
escala.
rendimiento de la copia.
/XD Especifica los directorios que se excluirán. Cuando ejecute Robocopy en la raíz de
un volumen, considere la posibilidad de excluir la carpeta System Volume
Information oculta. Si se usa como está previsto, toda la información que
contiene es específica del volumen exacto en este sistema exacto y se puede
recompilar a petición. Copiar esta información no será útil en la nube ni cuando
los datos se vuelvan a copiar en otro volumen Windows. Dejar este contenido
atrás no debe considerarse una pérdida de datos.
) Importante
Se recomienda usar Windows Server 2022. Cuando use Windows Server 2019,
asegúrese de que está instalado con el nivel de revisión más reciente o, al menos,
la actualización KB5005103 del sistema operativo . Contiene correcciones
importantes para determinados escenarios de Robocopy.
Sugerencia
Consulte la sección de solución de problemas si RoboCopy está afectando a su
entorno de producción, si notifica un gran número de errores o si no progresa tan
rápido como se espera.
La segunda vez que ejecute RoboCopy para el mismo recurso compartido se completará
más rápido, ya que solo necesita transportar los cambios posteriores a la última
ejecución. Puede ejecutar trabajos repetidos para el mismo recurso compartido.
Ejecute una última ronda de RoboCopy. Recuperará todos los cambios que puedan
haberse omitido. El tiempo necesario para realizar este último paso dependerá de la
velocidad del análisis de RoboCopy. Para realizar un cálculo estimado del tiempo (que
equivale al tiempo de inactividad) averigüe cuánto tardó en realizarse la ejecución
anterior.
Solución de problemas
La velocidad y la tasa de éxito de una ejecución determinada de RoboCopy dependerán
de varios factores:
U Precaución
Aunque es deseable copiar lo más rápido posible, tenga en cuenta el uso de la red
local y el dispositivo NAS en otras tareas que suelen ser críticas para la empresa.
Copiar lo más rápido posible podría no ser deseable si existe el riesgo de que la
migración acapare los recursos disponibles.
/IPG:n no se puede usar para limitar la red a un número exacto de megabits por
Velocidad de procesamiento
RoboCopy recorrerá el espacio de nombres al que se apunta y evaluará cada archivo y
carpeta con fines de copia. Los archivos se evaluarán durante una copia inicial y durante
las copias de puesta al día. Por ejemplo, ejecuciones repetidas de RoboCopy/MIR en las
mismas ubicaciones de almacenamiento de origen y de destino. Estas ejecuciones
repetidas son útiles para minimizar el tiempo de inactividad de los usuarios y las
aplicaciones, así como para mejorar la tasa de éxito general de los archivos migrados.
A menudo, el ancho de banda suele considerarse como el factor más restrictivo en una
migración, algo que puede ser cierto. Pero la posibilidad de enumerar un espacio de
nombres puede influir en el tiempo total de copia para espacios de nombres más largos
con archivos más pequeños. Tenga en cuenta que copiar 1 TiB de archivos pequeños
tardará mucho más que copiar 1 TiB de un número inferior de archivos de mayor
tamaño, si se supone que todas las demás variables permanecen iguales. Por lo tanto, es
posible que se experimente una transferencia lenta si va a migrar una gran cantidad de
archivos pequeños. Este es un comportamiento esperado.
La razón de esta diferencia es la potencia de procesamiento necesaria para recorrer un
espacio de nombres. RoboCopy admite copias multiproceso mediante el parámetro
/MT:n , donde n indica el número de subprocesos que se van a usar. Por lo tanto, al
Sugerencia
Regla general: la primera ejecución de RoboCopy, que moverá una gran cantidad
de datos de una red de mayor latencia, se beneficia del aprovisionamiento excesivo
del número de subprocesos ( /MT:n ). Las ejecuciones posteriores copiarán menos
diferencias y es más probable que se cambie de un rendimiento restringido de red
a otro restringido por proceso. En estas circunstancias, a menudo es mejor que el
número de subprocesos de robocopy coincida con los subprocesos disponibles
realmente en la máquina. El aprovisionamiento excesivo en ese escenario puede
generar más cambios de contexto en el procesador, lo que podría ralentizar la
copia.
Otro aspecto importante es usar la herramienta RoboCopy de forma eficaz. Con el script
de RoboCopy recomendado, se creará y guardará un archivo de registro de los errores.
Es normal que puedan producirse errores de copia. Estos errores suelen hacer que sea
necesario ejecutar varias rondas de una herramienta de copia como RoboCopy. Una
ejecución inicial, por ejemplo, de un dispositivo NAS a DataBox o de un servidor a un
recurso compartido de archivos de Azure. Y una o varias ejecuciones adicionales con el
modificador /MIR para identificar los archivos que no se han copiado y volver a
intentarlo.
/R:n n = la frecuencia con la que se vuelve a intentar copiar un archivo con errores
archivo con errores se intentará volver a copiar cinco veces, con un tiempo de espera de
cinco segundos entre un reintento y otro. Si el archivo sigue sin copiarse, el siguiente
trabajo de RoboCopy lo volverá a intentar. A menudo, los archivos que generan errores
por estar en uso o debido a problemas de tiempo de espera se pueden copiar
correctamente de esta manera.
Pasos siguientes
Hay más información sobre los recursos compartidos de archivos de Azure. Los artículos
siguientes le ayudarán a comprender las opciones avanzadas, los procedimientos
recomendados y también contienen ayuda para la solución de problemas. Estos
artículos se vinculan a la documentación de recursos compartidos de archivos de Azure
según corresponda.
Este artículo de migración es uno de varios que implican las palabras clave NFS y Azure
File Sync. Compruebe si este artículo se aplica a su escenario:
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Objetivos de la migración
El objetivo es trasladar los recursos compartidos que tiene en el servidor Samba de
Linux a una instancia de Windows Server. Después, usará Azure File Sync para una
implementación de nube híbrida. Esta migración se debe realizar de forma que
garantice la integridad de los datos de producción y la disponibilidad durante la
migración. Esta última requiere que el tiempo de inactividad sea mínimo, para ajustarse
o solo superar ligeramente las ventanas de mantenimiento regulares.
Es posible que tenga más carpetas en los volúmenes que actualmente comparte
localmente como recursos compartidos de SMB en sus usuarios y aplicaciones. La
manera más sencilla de visualizar este escenario es imaginar un recurso compartido
local que asigne 1:1 a un recurso compartido de archivos de Azure. Si tiene un número
suficientemente pequeño de recursos compartidos, por debajo de 30 para una sola
instancia de Windows Server, se recomienda una asignación 1:1.
Sincronización de volúmenes
Azure File Sync admite la sincronización de la raíz de un volumen con un recurso
compartido de archivos de Azure. Si sincroniza la raíz del volumen, todas las
subcarpetas y los archivos van al mismo recurso compartido de archivos de Azure.
El examen inicial del contenido de la nube puede realizarse más rápido, lo que a su
vez reduce la espera de que aparezca el espacio de nombres en un servidor
habilitado para Azure File Sync.
La restauración en la nube a partir de una instantánea de recursos compartidos de
archivos de Azure se hará con mayor rapidez.
La recuperación ante desastres de un servidor local puede acelerarse de forma
considerable.
Los cambios hechos directamente en un recurso compartido de archivos de Azure
(sin sincronización) se pueden detectar y sincronizar más rápido.
Sugerencia
Para decidir cuántos recursos compartidos de archivos de Azure necesita, revise los
límites y procedimientos recomendados siguientes. Eso le va a ayudar a optimizar la
asignación.
Un servidor donde está instalado el agente de Azure File Sync puede sincronizarse
con hasta 30 recursos compartidos de archivos de Azure.
Si tiene previsto mover una aplicación a Azure que usará el recurso compartido de
archivos de Azure de forma nativa, es posible que necesite un mayor rendimiento
del recurso compartido de archivos de Azure. Si este tipo de uso es una
posibilidad, incluso en el futuro, lo mejor es crear un único recurso compartido de
archivos de Azure estándar en su propia cuenta de almacenamiento.
Hay un límite de 250 cuentas de almacenamiento por suscripción por cada región
de Azure.
Sugerencia
Teniendo en cuenta esta información, suele ser necesario agrupar varias carpetas
de nivel superior de sus volúmenes en un nuevo directorio raíz común. Luego se
sincroniza este nuevo directorio raíz y todas las carpetas agrupadas en él, en un
solo recurso compartido de archivos de Azure. Esta técnica permite permanecer
dentro del límite de 30 sincronizaciones de recursos compartidos de archivos de
Azure por servidor.
Esta agrupación bajo una raíz común no afecta al acceso a sus datos. Las ACL se
mantienen como están. Solo tiene que ajustar algunas rutas de acceso a los
recursos compartidos (como las de los recursos compartidos SMB o NFS) que
podría haber en las carpetas de servidor locales que ahora han cambiado a una raíz
común. No cambia nada más.
) Importante
El vector de escala más importante para Azure File Sync es el número de elementos
(archivos y carpetas) que tienen que sincronizarse. Para más información, revise los
objetivos de escala de Azure File Sync.
Mantenga el
número de
elementos por
grupo de
sincronización
por debajo de
100 millones de
elementos
(archivos y
carpetas) por
recurso
compartido.
Idealmente, es
mejor
permanecer por
debajo de 20 o
30 millones por
recurso
compartido.
# Escenario de Compatible Consideraciones Solución (o solución alternativa)
sincronización (o limitaciones)
Aunque un
grupo de
sincronización
puede tener
puntos de
conexión de
servidor en
distintos
servidores de
archivos, los
archivos no
pueden ser
distintos.
Cree una tabla para registrar sus ideas, de modo que pueda consultarla cuando sea
necesario. La organización es importante, ya que puede ser fácil perder detalles del plan
de asignación cuando se aprovisionan muchos recursos de Azure a la vez. Descargue el
siguiente archivo de Excel para usarlo como plantilla para ayudar a crear la asignación.
La cantidad de almacenamiento que aprovisione puede ser menor que la que usa
actualmente en el servidor Samba de Linux. Esta opción de configuración requiere que
use también la característica de nube por niveles de Azure File Sync. Sin embargo,
cuando en una fase posterior copie los archivos del espacio del servidor Samba de Linux
más grande al volumen más pequeño de Windows Server, tendrá que trabajar en lotes:
7 Nota
Elija una región de Azure para el servicio de sincronización de almacenamiento que esté
cerca de su ubicación. Todos los demás recursos de nube se deben implementar en la
misma región. Para simplificar el proceso de administración, cree un nuevo grupo de
recursos en la suscripción para hospedar los recursos de sincronización y
almacenamiento.
Si tiene recursos compartidos muy activos (recursos compartidos que usan muchos
usuarios o aplicaciones), dos recursos compartidos de archivos de Azure podrían
alcanzar el límite de rendimiento de una cuenta de almacenamiento.
Un procedimiento recomendado es implementar cuentas de almacenamiento con un
recurso compartido de archivos cada una. Puede agrupar varios recursos compartidos
de archivos de Azure en la misma cuenta de almacenamiento si tiene recursos
compartidos de archivo o que espera que tengan escasa actividad diaria.
Si ha creado una lista de recursos compartidos, tiene que asignar cada recurso
compartido a la cuenta de almacenamiento en la que se encontrará.
U Precaución
Si crea un recurso compartido de archivos de Azure con un límite de 100 TiB, ese
recurso compartido puede usar solo las opciones de redundancia de
almacenamiento con redundancia local o de zona. Tenga en cuenta sus
necesidades de redundancia de almacenamiento antes de usar recursos
compartidos de archivos de 100 TiB.
Los recursos compartidos de archivos de Azure todavía se crean con un límite de 5 TiB
de forma predeterminada. Para crear un recurso compartido de archivos grande, siga los
pasos de Creación de un recurso compartido de archivos de Azure.
Los nombres de los recursos también son importantes. Por ejemplo, si agrupa varios
recursos compartidos para el Departamento de Recursos Humanos en una cuenta de
almacenamiento de Azure, debe asignar el nombre adecuado a la cuenta de
almacenamiento. Del mismo modo, al asignar el nombre a los recursos compartidos de
archivos de Azure, tiene que usar nombres similares a los que se usan para sus
homólogos locales.
Abra PowerShell. Instale los módulos de PowerShell necesarios mediante los siguientes
comandos. Asegúrese de instalar el módulo completo y el proveedor de NuGet cuando
se le solicite hacerlo.
PowerShell
Si para configurar un proxy debe abrir los firewalls del servidor, es posible que ese
enfoque le resulte aceptable. Al final de la instalación del servidor, después de haber
completado el registro del servidor, un informe de conectividad de red le mostrará las
direcciones URL exactas de los puntos de conexión en Azure, con las que Azure File Sync
necesita comunicarse en la región que ha seleccionado. El informe también indica por
qué se necesita la comunicación. Puede usar el informe para bloquear los firewalls del
servidor en direcciones URL específicas.
También puede adoptar un enfoque más conservador y no abrir totalmente los firewalls.
En su lugar puede limitar el servidor para que se comunique con espacios de nombres
DNS de nivel superior. Para más información, consulte Configuración del proxy y el
firewall de Azure File Sync. Siga sus propios procedimientos recomendados de redes.
Al final del Asistente para la instalación del servidor, se abrirá un Asistente para el
registro del servidor. Registre el servidor en el recurso de Azure del servicio de
sincronización de almacenamiento anterior.
Estos pasos se describen con más detalle en la guía de implementación, que incluye los
módulos de PowerShell que se deben instalar primero: Instalación de agente de Azure
File Sync.
Use el agente más reciente. Puede descargarlo del Centro de descarga de Microsoft:
Agente de Azure File Sync .
Después de una instalación y un registro del servidor correctos, puede confirmar que ha
completado correctamente este paso. Vaya al recurso de Storage Sync Service en Azure
Portal. En el menú de la izquierda, vaya a Servidores registrados. Verá que el servidor
aparece en esa lista.
Este paso une todos los recursos y carpetas que ha configurado en la instancia de
Windows Server durante los pasos anteriores.
La nube por niveles es la característica de Azure File Sync que permite al servidor
local tener menos capacidad de almacenamiento de la que está almacenada en la
nube y, a pesar de ello, disponer de todo el espacio de nombres. Los datos de
interés local también se almacenan en caché para conseguir un rendimiento de
acceso rápido. La nube por niveles es una característica opcional de cada punto de
conexión de servidor de Azure File Sync.
2 Advertencia
En ambas ubicaciones, las carpetas del servidor y los recursos compartidos de archivos
de Azure están vacíos y a la espera de datos. En el paso siguiente, comenzará a copiar
archivos a la instancia de Windows Server para que Azure File Sync los transfiera a la
nube. Si habilitó la nube por niveles, el servidor comenzará a organizar los archivos en
niveles si se queda sin capacidad en los volúmenes locales.
Fase 7: Robocopy
El enfoque de migración básico es usar Robocopy para copiar archivos y usar Azure File
Sync para realizar la sincronización.
Ejecute la primera copia local en la carpeta de destino de Windows Server:
Es posible que Robocopy mueva los archivos más rápido de lo que se pueden
sincronizar con la nube y los organice por niveles de manera local, lo que hará que se
quede sin espacio en el disco local. Robocopy generará un error. Se recomienda trabajar
con los recursos compartidos en una secuencia que evite este problema. Por ejemplo,
considere la posibilidad de no iniciar trabajos de Robocopy en todos los recursos
compartidos al mismo tiempo. O bien considere la posibilidad de mover los recursos
compartidos que se ajustan a la cantidad actual de espacio libre en la instancia de
Windows Server. Si se produce un error en el trabajo de Robocopy, puede volver a
ejecutar el comando siempre que use la opción de reflejo/purga siguiente:
Consola
Conmutador Significado
Conmutador Significado
/W:n Especifica el tiempo que espera Robocopy antes de intentar copiar un archivo que
no se ha copiado correctamente en el último intento. n es el número de
segundos de espera entre reintentos. /W:n a menudo se usa junto con /R:n .
/MIR (Reflejar origen en destino). Permite que Robocopy solo tenga que copiar las
diferencias entre el origen y el destino. Se copiarán los subdirectorios vacíos. Se
copiarán los elementos (archivos o carpetas) que hayan cambiado o no existan en
el destino. Los elementos que existan en el destino, pero no en el origen, se
purgarán (se eliminarán) del destino. Cuando use este conmutador, haga coincidir
exactamente con las estructuras de carpetas de origen y de destino. Coincidencia
significa que se copia desde el nivel de carpeta y origen correctos en el nivel de
carpeta del destino coincidente. Solo entonces se puede realizar correctamente
una copia de "puesta al día". Cuando el origen y el destino no coinciden, el uso de
/MIR dará lugar a eliminaciones y nuevas copias a gran escala.
/XD Especifica los directorios que se excluirán. Cuando ejecute Robocopy en la raíz de
un volumen, considere la posibilidad de excluir la carpeta System Volume
Information oculta. Si se usa como está previsto, toda la información que
contiene es específica del volumen exacto en este sistema exacto y se puede
recompilar a petición. Copiar esta información no será útil en la nube ni cuando
los datos se vuelvan a copiar en otro volumen Windows. Dejar este contenido
atrás no debe considerarse una pérdida de datos.
/L Solo para una serie de pruebas Los archivos solo se muestran en la lista. No se
copiarán, no se eliminarán y no tendrán marca de tiempo. Por lo general, se usa
con /TEE para la salida de la consola. Es posible que las marcas del script de
ejemplo, como /NP , /NFL y /NDL , se tengan que quitar para lograr los resultados
de la prueba documentados correctamente.
/ZB Usar con precauciónUsa el modo de reinicio. Si se deniega el acceso, esta opción
utiliza el modo de copia de seguridad. Esta opción reduce significativamente el
rendimiento de la copia debido a los puntos de control.
) Importante
Se recomienda usar Windows Server 2022. Cuando use Windows Server 2019,
asegúrese de que está instalado con el nivel de revisión más reciente o, al menos,
la actualización KB5005103 del sistema operativo . Contiene correcciones
importantes para determinados escenarios de Robocopy.
La segunda vez se completará más rápido, ya que solo necesita transportar los cambios
posteriores a la última ejecución. Durante esta segunda ejecución, de todos modos se
pueden acumular cambios nuevos.
Repita este proceso hasta que considere que el tiempo que tarda en completarse una
operación de Robocopy para una ubicación concreta se encuentra dentro una ventana
de inactividad aceptable.
Cuando considere que el tiempo de inactividad es aceptable y esté preparado para dejar
sin conexión la ubicación de Linux, puede cambiar las ACL en la raíz del recurso
compartido para que los usuarios ya no puedan acceder a la ubicación. También puede
realizar cualquier otro paso adecuado que impida que el contenido cambie en esta
carpeta en el servidor Linux.
Ejecute una última ronda de Robocopy. Recuperará todos los cambios que puedan
haberse omitido. El tiempo necesario para hacer este último paso depende de la
velocidad del análisis de Robocopy. Para realizar un cálculo estimado del tiempo (que
equivale al tiempo de inactividad) averigüe cuánto tardó en realizarse la ejecución
anterior.
2 Advertencia
Una vez que haya migrado todos los datos del servidor Samba de Linux a la
instancia de Windows Server y se haya completado la migración, vuelva a todos los
grupos de sincronización de Azure Portal. Ajuste el porcentaje de espacio
disponible para el volumen de nube por niveles a un número más adecuado para el
uso de la memoria caché, como el 20 por ciento.
Solución de problemas
El problema más común es que el comando de Robocopy genere el error de Volumen
lleno en el lado de Windows Server. La nube por niveles actúa una vez cada hora para
evacuar el contenido del disco local de Windows Server, que se ha sincronizado. Su
objetivo es alcanzar un espacio libre del 99 por ciento en el volumen.
Pasos siguientes
Hay más información sobre los recursos compartidos de archivos de Azure y Azure File
Sync. Los artículos siguientes contienen opciones avanzadas, procedimientos
recomendados y ayuda para la solución de problemas. Estos artículos se vinculan a la
documentación de recursos compartidos de archivos de Azure según corresponda.
Este artículo de migración es uno de varios que implican las palabras clave NAS y Azure
File Sync. Compruebe si este artículo se aplica a su escenario:
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Objetivos de la migración
El objetivo es mover los recursos compartidos del dispositivo NAS a Windows Server y, a
continuación, usar Azure File Sync para una implementación en la nube híbrida. En
general, las migraciones se deben realizar de forma que garanticen la integridad de los
datos de producción, así como su disponibilidad durante la migración. Esta última
requiere que el tiempo de inactividad sea mínimo, para ajustarse o solo superar
ligeramente las ventanas de mantenimiento regulares.
Es posible que tenga más carpetas en los volúmenes que actualmente comparte
localmente como recursos compartidos de SMB en sus usuarios y aplicaciones. La
manera más sencilla de visualizar este escenario es imaginar un recurso compartido
local que asigne 1:1 a un recurso compartido de archivos de Azure. Si tiene un número
suficientemente pequeño de recursos compartidos, por debajo de 30 para una sola
instancia de Windows Server, se recomienda una asignación 1:1.
Sincronización de volúmenes
El examen inicial del contenido de la nube puede realizarse más rápido, lo que a su
vez reduce la espera de que aparezca el espacio de nombres en un servidor
habilitado para Azure File Sync.
La restauración en la nube a partir de una instantánea de recursos compartidos de
archivos de Azure se hará con mayor rapidez.
La recuperación ante desastres de un servidor local puede acelerarse de forma
considerable.
Los cambios hechos directamente en un recurso compartido de archivos de Azure
(sin sincronización) se pueden detectar y sincronizar más rápido.
Sugerencia
Si no está seguro de cuántos archivos y carpetas tiene, consulte la herramienta
TreeSize de JAM Software GmbH.
Para decidir cuántos recursos compartidos de archivos de Azure necesita, revise los
límites y procedimientos recomendados siguientes. Eso le va a ayudar a optimizar la
asignación.
Un servidor donde está instalado el agente de Azure File Sync puede sincronizarse
con hasta 30 recursos compartidos de archivos de Azure.
Si tiene previsto mover una aplicación a Azure que usará el recurso compartido de
archivos de Azure de forma nativa, es posible que necesite un mayor rendimiento
del recurso compartido de archivos de Azure. Si este tipo de uso es una
posibilidad, incluso en el futuro, lo mejor es crear un único recurso compartido de
archivos de Azure estándar en su propia cuenta de almacenamiento.
Hay un límite de 250 cuentas de almacenamiento por suscripción por cada región
de Azure.
Sugerencia
Teniendo en cuenta esta información, suele ser necesario agrupar varias carpetas
de nivel superior de sus volúmenes en un nuevo directorio raíz común. Luego se
sincroniza este nuevo directorio raíz y todas las carpetas agrupadas en él, en un
solo recurso compartido de archivos de Azure. Esta técnica permite permanecer
dentro del límite de 30 sincronizaciones de recursos compartidos de archivos de
Azure por servidor.
Esta agrupación bajo una raíz común no afecta al acceso a sus datos. Las ACL se
mantienen como están. Solo tiene que ajustar algunas rutas de acceso a los
recursos compartidos (como las de los recursos compartidos SMB o NFS) que
podría haber en las carpetas de servidor locales que ahora han cambiado a una raíz
común. No cambia nada más.
) Importante
El vector de escala más importante para Azure File Sync es el número de elementos
(archivos y carpetas) que tienen que sincronizarse. Para más información, revise los
objetivos de escala de Azure File Sync.
Mantenga el
número de
elementos por
grupo de
sincronización
por debajo de
100 millones de
elementos
(archivos y
carpetas) por
recurso
compartido.
Idealmente, es
mejor
permanecer por
debajo de 20 o
30 millones por
recurso
compartido.
# Escenario de Compatible Consideraciones Solución (o solución alternativa)
sincronización (o limitaciones)
Aunque un
grupo de
sincronización
puede tener
puntos de
conexión de
servidor en
distintos
servidores de
archivos, los
archivos no
pueden ser
distintos.
Cree una tabla para registrar sus ideas, de modo que pueda consultarla cuando sea
necesario. La organización es importante, ya que puede ser fácil perder detalles del plan
de asignación cuando se aprovisionan muchos recursos de Azure a la vez. Descargue el
siguiente archivo de Excel para usarlo como plantilla para ayudar a crear la asignación.
7 Nota
Elija una región de Azure para el servicio de sincronización de almacenamiento que esté
cerca de su ubicación. Todos los demás recursos de nube se deben implementar en la
misma región. Para simplificar el proceso de administración, cree un nuevo grupo de
recursos en la suscripción para hospedar los recursos de sincronización y
almacenamiento.
Si tiene recursos compartidos muy activos (recursos compartidos que usan muchos
usuarios o aplicaciones), dos recursos compartidos de archivos de Azure podrían
alcanzar el límite de rendimiento de una cuenta de almacenamiento.
Un procedimiento recomendado es implementar cuentas de almacenamiento con un
recurso compartido de archivos cada una. Puede agrupar varios recursos compartidos
de archivos de Azure en la misma cuenta de almacenamiento si tiene recursos
compartidos de archivo o que espera que tengan escasa actividad diaria.
Si ha creado una lista de recursos compartidos, tiene que asignar cada recurso
compartido a la cuenta de almacenamiento en la que se encontrará.
U Precaución
Si crea un recurso compartido de archivos de Azure con un límite de 100 TiB, ese
recurso compartido puede usar solo las opciones de redundancia de
almacenamiento con redundancia local o de zona. Tenga en cuenta sus
necesidades de redundancia de almacenamiento antes de usar recursos
compartidos de archivos de 100 TiB.
Los recursos compartidos de archivos de Azure todavía se crean con un límite de 5 TiB
de forma predeterminada. Para crear un recurso compartido de archivos grande, siga los
pasos de Creación de un recurso compartido de archivos de Azure.
Los nombres de los recursos también son importantes. Por ejemplo, si agrupa varios
recursos compartidos para el Departamento de Recursos Humanos en una cuenta de
almacenamiento de Azure, debe asignar el nombre adecuado a la cuenta de
almacenamiento. Del mismo modo, al asignar el nombre a los recursos compartidos de
archivos de Azure, tiene que usar nombres similares a los que se usan para sus
homólogos locales.
Abra PowerShell. Instale los módulos de PowerShell necesarios mediante los siguientes
comandos. Asegúrese de instalar el módulo completo y el proveedor de NuGet cuando
se le solicite hacerlo.
PowerShell
Si para configurar un proxy debe abrir los firewalls del servidor, es posible que ese
enfoque le resulte aceptable. Al final de la instalación del servidor, después de haber
completado el registro del servidor, un informe de conectividad de red le mostrará las
direcciones URL exactas de los puntos de conexión en Azure, con las que Azure File Sync
necesita comunicarse en la región que ha seleccionado. El informe también indica por
qué se necesita la comunicación. Puede usar el informe para bloquear los firewalls del
servidor en direcciones URL específicas.
También puede adoptar un enfoque más conservador y no abrir totalmente los firewalls.
En su lugar puede limitar el servidor para que se comunique con espacios de nombres
DNS de nivel superior. Para más información, consulte Configuración del proxy y el
firewall de Azure File Sync. Siga sus propios procedimientos recomendados de redes.
Al final del Asistente para la instalación del servidor, se abrirá un Asistente para el
registro del servidor. Registre el servidor en el recurso de Azure del servicio de
sincronización de almacenamiento anterior.
Estos pasos se describen con más detalle en la guía de implementación, que incluye los
módulos de PowerShell que se deben instalar primero: Instalación de agente de Azure
File Sync.
Use el agente más reciente. Puede descargarlo del Centro de descarga de Microsoft:
Agente de Azure File Sync .
Después de una instalación y un registro del servidor correctos, puede confirmar que ha
completado correctamente este paso. Vaya al recurso de Storage Sync Service en Azure
Portal. En el menú de la izquierda, vaya a Servidores registrados. Verá que el servidor
aparece en esa lista.
Este paso une todos los recursos y carpetas que ha configurado en la instancia de
Windows Server durante los pasos anteriores.
La nube por niveles es la característica de Azure File Sync que permite al servidor
local tener menos capacidad de almacenamiento de la que está almacenada en la
nube y, a pesar de ello, disponer de todo el espacio de nombres. Los datos de
interés local (nivel de acceso frecuente) también se almacenan en caché para
conseguir un rendimiento de acceso rápido. La nube por niveles es una
característica opcional de cada "punto de conexión de servidor" de Azure File Sync.
2 Advertencia
En las dos ubicaciones, las carpetas del servidor y los recursos compartidos de archivos
de Azure están vacíos y a la espera de datos. En el paso siguiente, comenzará a copiar
archivos a la instancia de Windows Server para que Azure File Sync los transfiera a la
nube. En caso de que haya habilitado la nube por niveles, el servidor comenzará a
organizar los archivos en niveles, si se queda sin capacidad en los volúmenes locales.
Fase 7: RoboCopy
El enfoque de migración básico es una ejecución de RoboCopy del dispositivo NAS a
Windows Server y de Azure File Sync a los recursos compartidos de archivos de Azure.
Ejecute la primera copia local en la carpeta de destino de Windows Server:
Consola
Conmutador Significado
Conmutador Significado
/W:n Especifica el tiempo que espera Robocopy antes de intentar copiar un archivo que
no se ha copiado correctamente en el último intento. n es el número de
segundos de espera entre reintentos. /W:n a menudo se usa junto con /R:n .
/MIR (Reflejar origen en destino). Permite que Robocopy solo tenga que copiar las
diferencias entre el origen y el destino. Se copiarán los subdirectorios vacíos. Se
copiarán los elementos (archivos o carpetas) que hayan cambiado o no existan en
el destino. Los elementos que existan en el destino, pero no en el origen, se
purgarán (se eliminarán) del destino. Cuando use este conmutador, haga coincidir
exactamente con las estructuras de carpetas de origen y de destino. Coincidencia
significa que se copia desde el nivel de carpeta y origen correctos en el nivel de
carpeta del destino coincidente. Solo entonces se puede realizar correctamente
una copia de "puesta al día". Cuando el origen y el destino no coinciden, el uso de
/MIR dará lugar a eliminaciones y nuevas copias a gran escala.
/XD Especifica los directorios que se excluirán. Cuando ejecute Robocopy en la raíz de
un volumen, considere la posibilidad de excluir la carpeta System Volume
Information oculta. Si se usa como está previsto, toda la información que
contiene es específica del volumen exacto en este sistema exacto y se puede
recompilar a petición. Copiar esta información no será útil en la nube ni cuando
los datos se vuelvan a copiar en otro volumen Windows. Dejar este contenido
atrás no debe considerarse una pérdida de datos.
/L Solo para una serie de pruebas Los archivos solo se muestran en la lista. No se
copiarán, no se eliminarán y no tendrán marca de tiempo. Por lo general, se usa
con /TEE para la salida de la consola. Es posible que las marcas del script de
ejemplo, como /NP , /NFL y /NDL , se tengan que quitar para lograr los resultados
de la prueba documentados correctamente.
/ZB Usar con precauciónUsa el modo de reinicio. Si se deniega el acceso, esta opción
utiliza el modo de copia de seguridad. Esta opción reduce significativamente el
rendimiento de la copia debido a los puntos de control.
) Importante
Se recomienda usar Windows Server 2022. Cuando use Windows Server 2019,
asegúrese de que está instalado con el nivel de revisión más reciente o, al menos,
la actualización KB5005103 del sistema operativo . Contiene correcciones
importantes para determinados escenarios de Robocopy.
La segunda vez se completará más rápido, ya que solo necesita transportar los cambios
posteriores a la última ejecución. Durante esta segunda ejecución, de todos modos se
pueden acumular cambios nuevos.
Repita este proceso hasta que considere que el tiempo que tarda en completarse una
operación de RoboCopy para una ubicación concreta se encuentra dentro una ventana
de inactividad aceptable.
Ejecute una última ronda de RoboCopy. Recuperará todos los cambios que puedan
haberse omitido. El tiempo necesario para hacer este último paso depende de la
velocidad del análisis de RoboCopy. Para realizar un cálculo estimado del tiempo (que
equivale al tiempo de inactividad) averigüe cuánto tardó en realizarse la ejecución
anterior.
2 Advertencia
Cuando haya movido todos los datos de su ubicación de NAS a Windows Server y
se haya completado la migración: vuelva a todos los grupos de sincronización de
Azure Portal y ajuste el valor porcentual de espacio libre en el volumen de la nube
por niveles a un valor más adecuado para el uso de la memoria caché, por ejemplo,
un 20 %.
Solución de problemas
El problema que puede experimentar más probablemente es que el comando de
RoboCopy produzca el error "Volumen lleno" en el lado de Windows Server. La nube por
niveles actúa una vez cada hora para evacuar el contenido del disco local de
Windows Server, que se ha sincronizado. Su objetivo es alcanzar el 99 % de espacio libre
en el volumen.
Consulte el vínculo de la sección siguiente para solucionar problemas de Azure File Sync.
Pasos siguientes
Los artículos siguientes le ayudarán a comprender las opciones de implementación, los
procedimientos recomendados y los pasos para solucionar problemas.
Este artículo de migración es uno de los que se aplican a las palabras clave NAS, Azure
File Sync y Azure Data Box. Compruebe si este artículo se aplica a su escenario:
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Objetivos de la migración
El objetivo es trasladar los recursos compartidos que tiene en el dispositivo NAS a
Windows Server. Después, usará Azure File Sync para una implementación de nube
híbrida. Esta migración se debe realizar de forma que garantice la integridad de los
datos de producción y la disponibilidad durante la migración. Esta última requiere que
el tiempo de inactividad sea mínimo, para cumplir o solo superar ligeramente las
ventanas de mantenimiento regulares.
Sugerencia
Si vuelve a este artículo, use la navegación del lado derecho de la pantalla para
saltar a la fase de migración en la que se quedó.
Es posible que tenga más carpetas en los volúmenes que actualmente comparte
localmente como recursos compartidos de SMB en sus usuarios y aplicaciones. La
manera más sencilla de visualizar este escenario es imaginar un recurso compartido
local que asigne 1:1 a un recurso compartido de archivos de Azure. Si tiene un número
suficientemente pequeño de recursos compartidos, por debajo de 30 para una sola
instancia de Windows Server, se recomienda una asignación 1:1.
Sincronización de volúmenes
El examen inicial del contenido de la nube puede realizarse más rápido, lo que a su
vez reduce la espera de que aparezca el espacio de nombres en un servidor
habilitado para Azure File Sync.
La restauración en la nube a partir de una instantánea de recursos compartidos de
archivos de Azure se hará con mayor rapidez.
La recuperación ante desastres de un servidor local puede acelerarse de forma
considerable.
Los cambios hechos directamente en un recurso compartido de archivos de Azure
(sin sincronización) se pueden detectar y sincronizar más rápido.
Sugerencia
Si no está seguro de cuántos archivos y carpetas tiene, consulte la herramienta
TreeSize de JAM Software GmbH.
Para decidir cuántos recursos compartidos de archivos de Azure necesita, revise los
límites y procedimientos recomendados siguientes. Eso le va a ayudar a optimizar la
asignación.
Un servidor donde está instalado el agente de Azure File Sync puede sincronizarse
con hasta 30 recursos compartidos de archivos de Azure.
Si tiene previsto mover una aplicación a Azure que usará el recurso compartido de
archivos de Azure de forma nativa, es posible que necesite un mayor rendimiento
del recurso compartido de archivos de Azure. Si este tipo de uso es una
posibilidad, incluso en el futuro, lo mejor es crear un único recurso compartido de
archivos de Azure estándar en su propia cuenta de almacenamiento.
Hay un límite de 250 cuentas de almacenamiento por suscripción por cada región
de Azure.
Sugerencia
Teniendo en cuenta esta información, suele ser necesario agrupar varias carpetas
de nivel superior de sus volúmenes en un nuevo directorio raíz común. Luego se
sincroniza este nuevo directorio raíz y todas las carpetas agrupadas en él, en un
solo recurso compartido de archivos de Azure. Esta técnica permite permanecer
dentro del límite de 30 sincronizaciones de recursos compartidos de archivos de
Azure por servidor.
Esta agrupación bajo una raíz común no afecta al acceso a sus datos. Las ACL se
mantienen como están. Solo tiene que ajustar algunas rutas de acceso a los
recursos compartidos (como las de los recursos compartidos SMB o NFS) que
podría haber en las carpetas de servidor locales que ahora han cambiado a una raíz
común. No cambia nada más.
) Importante
El vector de escala más importante para Azure File Sync es el número de elementos
(archivos y carpetas) que tienen que sincronizarse. Para más información, revise los
objetivos de escala de Azure File Sync.
Aunque un grupo de
sincronización puede
tener puntos de
conexión de servidor
en distintos servidores
de archivos, los
# Escenario de Compatible Consideraciones (o Solución (o solución
sincronización limitaciones) alternativa)
archivos no pueden
ser distintos.
Cree una tabla para registrar sus ideas, de modo que pueda consultarla cuando sea
necesario. La organización es importante, ya que puede ser fácil perder detalles del plan
de asignación cuando se aprovisionan muchos recursos de Azure a la vez. Descargue el
siguiente archivo de Excel para usarlo como plantilla para ayudar a crear la asignación.
Si tiene recursos compartidos muy activos (recursos compartidos que usan muchos
usuarios o aplicaciones), dos recursos compartidos de archivos de Azure podrían
alcanzar el límite de rendimiento de una cuenta de almacenamiento.
Si ha creado una lista de recursos compartidos, tiene que asignar cada recurso
compartido a la cuenta de almacenamiento en la que se encontrará.
U Precaución
Si crea un recurso compartido de archivos de Azure con un límite de 100 TiB, ese
recurso compartido puede usar solo las opciones de redundancia de
almacenamiento con redundancia local o de zona. Tenga en cuenta sus
necesidades de redundancia de almacenamiento antes de usar recursos
compartidos de archivos de 100 TiB.
Los recursos compartidos de archivos de Azure todavía se crean con un límite de 5 TiB
de forma predeterminada. Para crear un recurso compartido de archivos grande, siga los
pasos de Creación de un recurso compartido de archivos de Azure.
Los nombres de los recursos también son importantes. Por ejemplo, si agrupa varios
recursos compartidos para el Departamento de Recursos Humanos en una cuenta de
almacenamiento de Azure, debe asignar el nombre adecuado a la cuenta de
almacenamiento. Del mismo modo, al asignar el nombre a los recursos compartidos de
archivos de Azure, tiene que usar nombres similares a los que se usan para sus
homólogos locales.
En esta fase, debe asignar los resultados del plan de migración de la fase anterior a los
límites de las opciones de Data Box disponibles. Estas consideraciones le ayudarán a
crear un plan para las opciones de Data Box que se van a elegir, así como cuántas
necesitará para mover los recursos compartidos de NAS a recursos compartidos de
archivos de Azure.
Para determinar el número de dispositivos que necesita y sus tipos, tenga en cuenta
estos límites importantes:
Data Box Disk. Data Box Disks: Microsoft le enviará entre uno y cinco discos SSD
con una capacidad de 8 TiB cada uno, con un total de 40 TiB como máximo. La
capacidad utilizable es aproximadamente un 20 % menor debido al cifrado y la
sobrecarga del sistema de archivos. Para más información, consulte la
documentación de Data Box Disk.
Data Box. Esta opción es la más común. Microsoft le enviará un dispositivo de Data
Box resistente que funciona de forma similar a un NAS. Tiene una capacidad
utilizable de 80 TiB. Para más información, consulte la documentación de Data Box.
Data Box Heavy. Esta opción presenta un dispositivo Data Box resistente en
ruedas, que funciona de forma similar a un NAS. Tiene una capacidad de 1 PiB. La
capacidad utilizable es aproximadamente un 20 % menor debido al cifrado y la
sobrecarga del sistema de archivos. Para más información, consulte la
documentación de Data Box Heavy.
7 Nota
Dependiendo del tipo de Data Box, las herramientas de copia de Data Box podrían estar
disponibles. En este punto, no se recomiendan para las migraciones a recursos
compartidos de archivos de Azure porque no copian los archivos en el dispositivo Data
Box con total fidelidad. En su lugar, use RoboCopy.
Sugerencia
Consola
Conmutador Significado
/W:n Especifica el tiempo que espera Robocopy antes de intentar copiar un archivo
que no se ha copiado correctamente en el último intento. n es el número de
segundos de espera entre reintentos. /W:n a menudo se usa junto con /R:n .
/MIR (Reflejar origen en destino). Permite que Robocopy solo tenga que copiar las
diferencias entre el origen y el destino. Se copiarán los subdirectorios vacíos. Se
copiarán los elementos (archivos o carpetas) que hayan cambiado o no existan en
el destino. Los elementos que existan en el destino, pero no en el origen, se
purgarán (se eliminarán) del destino. Cuando use este conmutador, haga
coincidir exactamente con las estructuras de carpetas de origen y de destino.
Coincidencia significa que se copia desde el nivel de carpeta y origen correctos en
el nivel de carpeta del destino coincidente. Solo entonces se puede realizar
correctamente una copia de "puesta al día". Cuando el origen y el destino no
coinciden, el uso de /MIR dará lugar a eliminaciones y nuevas copias a gran
escala.
/XD Especifica los directorios que se excluirán. Cuando ejecute Robocopy en la raíz de
un volumen, considere la posibilidad de excluir la carpeta System Volume
Information oculta. Si se usa como está previsto, toda la información que
contiene es específica del volumen exacto en este sistema exacto y se puede
recompilar a petición. Copiar esta información no será útil en la nube ni cuando
los datos se vuelvan a copiar en otro volumen Windows. Dejar este contenido
atrás no debe considerarse una pérdida de datos.
) Importante
Se recomienda usar Windows Server 2022. Cuando use Windows Server 2019,
asegúrese de que está instalado con el nivel de revisión más reciente o, al menos,
la actualización KB5005103 del sistema operativo . Contiene correcciones
importantes para determinados escenarios de Robocopy.
Elija una región de Azure para el servicio de sincronización de almacenamiento que esté
cerca de su ubicación. Todos los demás recursos de nube se deben implementar en la
misma región. Para simplificar el proceso de administración, cree un nuevo grupo de
recursos en la suscripción para hospedar los recursos de sincronización y
almacenamiento.
Para más información, consulte la sección sobre la implementación del servicio de
sincronización de almacenamiento en el artículo sobre la implementación de Azure File
Sync. Siga solo esta sección del artículo. En pasos posteriores, tendrá vínculos a otras
secciones del artículo.
Abra PowerShell. Instale los módulos de PowerShell necesarios mediante los siguientes
comandos. Asegúrese de instalar el módulo completo y el proveedor de NuGet cuando
se le solicite hacerlo.
PowerShell
Si para configurar un proxy debe abrir los firewalls del servidor, es posible que ese
enfoque le resulte aceptable. Al final de la instalación del servidor, después de haber
completado el registro del servidor, un informe de conectividad de red le mostrará las
direcciones URL exactas de los puntos de conexión en Azure, con las que Azure File Sync
necesita comunicarse en la región que ha seleccionado. El informe también indica por
qué se necesita la comunicación. Puede usar el informe para bloquear los firewalls del
servidor en direcciones URL específicas.
También puede adoptar un enfoque más conservador y no abrir totalmente los firewalls.
En su lugar puede limitar el servidor para que se comunique con espacios de nombres
DNS de nivel superior. Para más información, consulte Configuración del proxy y el
firewall de Azure File Sync. Siga sus propios procedimientos recomendados de redes.
Al final del Asistente para la instalación del servidor, se abrirá un Asistente para el
registro del servidor. Registre el servidor en el recurso de Azure del servicio de
sincronización de almacenamiento anterior.
Estos pasos se describen con más detalle en la guía de implementación, que incluye los
módulos de PowerShell que se deben instalar primero: Instalación de agente de Azure
File Sync.
Use el agente más reciente. Puede descargarlo del Centro de descarga de Microsoft:
Agente de Azure File Sync .
Después de una instalación y un registro del servidor correctos, puede confirmar que ha
completado correctamente este paso. Vaya al recurso de Storage Sync Service en Azure
Portal. En el menú de la izquierda, vaya a Servidores registrados. Verá que el servidor
aparece en esa lista.
Este paso une todos los recursos y carpetas que ha configurado en la instancia de
Windows Server durante los pasos anteriores.
Active la característica de nube por niveles y seleccione Namespace only (Solo espacio
de nombres) en la sección de descarga inicial.
) Importante
La nube por niveles es la característica de Azure File Sync que permite al servidor
local tener menos capacidad de almacenamiento de la que está almacenada en la
nube pero disponer de todo el espacio de nombres. Los datos de interés local
también se almacenan en caché para conseguir un rendimiento de acceso rápido.
La nube por niveles es opcional. Puede establecerla individualmente para cada
punto de conexión de Azure File Sync servidor. Debe usar esta característica si no
tiene suficiente capacidad de disco local en una instancia de Windows Server para
contener todos los datos en la nube y si quiere evitar la descarga de todos los
datos de la nube.
Para todos los recursos compartidos de archivos de Azure o las ubicaciones de servidor
que necesita configurar para la sincronización, repita los pasos para crear grupos de
sincronización y agregar las carpetas de servidor correspondientes como puntos de
conexión de servidor. Espere hasta que se complete la sincronización del espacio de
nombres. En la sección siguiente se explica cómo puede asegurarse de que la
sincronización se haya completado.
7 Nota
Busque el evento 9102 más reciente. El identificador de evento 9102 se registra cuando
finaliza una sesión de sincronización. En el texto del evento, hay un campo para la
dirección de sincronización de la descarga. ( HResult debe ser cero y los archivos deben
descargarse).
Debería ver dos eventos consecutivos de este tipo y con este contenido para asegurarse
de que el servidor haya terminado de descargar el espacio de nombres. No hay ningún
problema si hay otros eventos entre los dos eventos 9102.
En este paso, ejecutará trabajos de Robocopy para sincronizar los recursos compartidos
en la nube con los cambios más recientes del NAS que se produjeron desde el
momento en que bifurcó los recursos compartidos en el dispositivo Data Box. Esta
ejecución de Robocopy puede finalizar rápidamente o tardar unos minutos, en función
de la cantidad de abandonos que se hayan producido en los recursos compartidos de
NAS.
2 Advertencia
Consola
Conmutador Significado
espera que causaron errores en el pasado. Esto puede ser más habitual a través
de vínculos WAN. Elija no reintentarlo o un valor de uno si cree que el archivo no
se pudo copiar porque estaba en uso de forma activa. Volver a intentarlo unos
segundos más tarde puede no ser suficiente tiempo para que cambie el estado
de “en uso” del archivo. Es posible que los usuarios o aplicaciones que tienen
abierto el archivo necesiten más tiempo. En este caso, puede que, si acepta que el
archivo no se ha copiado y lo incluye en una ejecución posterior planeada de
Robocopy, el archivo se copie finalmente. Esto ayuda a que la ejecución en curso
finalice más rápido al no prolongarla con muchos reintentos que, al final, dan
lugar a una mayoría de errores de copia porque los archivos siguen abiertos
después del tiempo de espera de reintento.
/W:n Especifica el tiempo que espera Robocopy antes de intentar copiar un archivo
que no se ha copiado correctamente en el último intento. n es el número de
segundos de espera entre reintentos. /W:n a menudo se usa junto con /R:n .
/MIR (Reflejar origen en destino). Permite que Robocopy solo tenga que copiar las
diferencias entre el origen y el destino. Se copiarán los subdirectorios vacíos. Se
copiarán los elementos (archivos o carpetas) que hayan cambiado o no existan en
el destino. Los elementos que existan en el destino, pero no en el origen, se
purgarán (se eliminarán) del destino. Cuando use este conmutador, haga
coincidir exactamente con las estructuras de carpetas de origen y de destino.
Coincidencia significa que se copia desde el nivel de carpeta y origen correctos en
el nivel de carpeta del destino coincidente. Solo entonces se puede realizar
correctamente una copia de "puesta al día". Cuando el origen y el destino no
coinciden, el uso de /MIR dará lugar a eliminaciones y nuevas copias a gran
escala.
/XD Especifica los directorios que se excluirán. Cuando ejecute Robocopy en la raíz de
un volumen, considere la posibilidad de excluir la carpeta System Volume
Information oculta. Si se usa como está previsto, toda la información que
contiene es específica del volumen exacto en este sistema exacto y se puede
recompilar a petición. Copiar esta información no será útil en la nube ni cuando
los datos se vuelvan a copiar en otro volumen Windows. Dejar este contenido
atrás no debe considerarse una pérdida de datos.
) Importante
Se recomienda usar Windows Server 2022. Cuando use Windows Server 2019,
asegúrese de que está instalado con el nivel de revisión más reciente o, al menos,
la actualización KB5005103 del sistema operativo . Contiene correcciones
importantes para determinados escenarios de Robocopy.
Robocopy podría tener que trasladar más archivos de los que se pueden almacenar
localmente en la instancia de Windows Server. Puede esperar que Robocopy realice el
traslado más rápido de lo que Azure File Sync puede cargar los archivos y cambiarlos de
nivel del volumen local. En esta situación, Robocopy producirá un error. Se recomienda
trabajar con los recursos compartidos en una secuencia que impida esta situación. Por
ejemplo, mueva solo los recursos compartidos que quepan en el espacio disponible en
la instancia de Windows Server. Otra opción es evitar iniciar trabajos de Robocopy en
todos los recursos compartidos al mismo tiempo. La buena noticia es que el
modificador /MIR garantizará que solo se muevan los valores delta. Una vez que se haya
movido un valor delta, un trabajo reiniciado no tendrá que volver a mover el archivo.
Realización de la transición
Al ejecutar por primera vez el comando Robocopy, los usuarios y las aplicaciones
seguirán accediendo a los archivos en la ubicación del NAS y podrán modificarlos.
Robocopy procesará un directorio y, luego, pasará al siguiente. A continuación, un
usuario del NAS podría agregar, cambiar o eliminar un archivo del primer directorio que
no se procesará durante la ejecución actual de Robocopy. Este comportamiento es
normal.
Robocopy finalizará más rápido la segunda vez que lo ejecute para un recurso
compartido, ya que solo necesita transportar los cambios posteriores a la última
ejecución. Puede ejecutar trabajos repetidos para el mismo recurso compartido.
Ejecute Robocopy una última vez. Recuperará todos los cambios que se hayan omitido.
El tiempo necesario para hacer este último paso depende de la velocidad del análisis de
Robocopy. Para realizar un cálculo estimado del tiempo (que equivale al tiempo de
inactividad), averigüe cuánto duró la ejecución anterior.
PowerShell
2 Advertencia
Solución de problemas
El problema más común es que el comando Robocopy genere un error de tipo
"Volumen lleno" en el lado de Windows Server. La nube por niveles actúa una vez cada
hora para evacuar el contenido del disco local de Windows Server, que se ha
sincronizado. Su objetivo es alcanzar el 99 % de espacio libre en el volumen.
Para solucionar problemas de Azure File Sync, consulte el artículo que se indica en la
sección siguiente.
Pasos siguientes
Hay más información sobre los recursos compartidos de archivos de Azure y Azure File
Sync. Los artículos siguientes lo ayudarán a comprender las opciones avanzadas y los
procedimientos recomendados. También proporcionan ayuda para solucionar
problemas. Estos artículos contienen vínculos a la documentación del recurso
compartido de archivos de Azure cuando corresponda.
La serie StorSimple 8000 está representada por los dispositivos físicos y locales 8100 o
8600 y sus componentes de servicios en la nube. Las aplicaciones virtuales StorSimple
8010 y 8020 también se tratan en esta guía de migración. Es posible migrar los datos de
cualquiera de estos dispositivos a recursos compartidos de archivos de Azure con la
aplicación Azure File Sync opcional. Azure File Sync es el servicio de Azure a largo plazo
predeterminado y estratégico que reemplaza la funcionalidad local de StorSimple. En
este artículo se proporcionan los conocimientos básicos y los pasos de migración
necesarios para realizar una migración correcta a Azure File Sync.
7 Nota
Tema de
Cuando empiece a planear la migración, identifique primero todos los dispositivos y
volúmenes de StorSimple que necesita migrar. Una vez hecho esto, puede decidir cuál
es la mejor ruta de migración.
Los dispositivos físicos de StorSimple (serie 8000) usan esta guía de migración.
Los dispositivos virtuales, serie StorSimple 1200, usan una guía de migración
diferente.
Una alternativa al acceso directo es Azure File Sync. Azure File Sync es un análogo
directo de la capacidad de StorSimple de almacenar en caché los archivos que se usan
con frecuencia de forma local.
Azure File Sync es un servicio en la nube de Microsoft, que se basa en dos componentes
principales:
Sincronización de archivos y nube por niveles para crear una caché de acceso de
rendimiento en cualquier servidor de Windows.
Recursos compartidos de archivos como almacenamiento nativo en Azure, a los
que se puede acceder a través de varios protocolos, como SMB y REST de archivos.
Este artículo se centra en los pasos de migración. Si desea obtener más información
sobre Azure File Sync antes de la migración, consulte los siguientes artículos:
Si no puede encontrar las claves en los registros, puede recuperar una nueva clave
desde el dispositivo. Cada dispositivo tiene una clave de cifrado única.
Este paso se realiza con el script basado en Azure Resource Manager. El administrador
de servicios puede seleccionar un dispositivo que sea apto para la autorización. A
continuación, se autoriza que el dispositivo inicie el proceso de cambio de las claves de
cifrado de datos del servicio.
Para poder autorizar que un dispositivo inicie los cambios de las claves de cifrado de
datos del servicio debe cumplir los siguientes criterios:
Para que sea válido para la autorización de cambio de claves de cifrado de datos
del servicio, el dispositivo debe estar en línea.
Si el cambio de claves no se ha iniciado, es posible autorizar el mismo dispositivo
30 minutos después.
Se puede autorizar otro dispositivo, siempre que el dispositivo autorizado
anteriormente no haya iniciado el cambio de claves. Una vez que se haya
autorizado el nuevo dispositivo, el anterior no puede iniciar el cambio.
No se puede autorizar un dispositivo mientras la sustitución de la clave de cifrado
de datos del servicio esté en curso.
Se puede autorizar un dispositivo cuando algunos de los dispositivos registrados
en el servicio hayan sustituido el cifrado, mientras que otros no lo hayan hecho.
7 Nota
Invoke-HcsmServiceDataEncryptionKeyChange
3. Una vez que se haya completado correctamente el cmdlet, obtendrá una nueva
clave de cifrado de datos del servicio. Copie y guarde esta clave para usarla en el
paso 3 de este proceso. Esta clave se utilizará para actualizar todos los dispositivos
restantes registrados en el servicio StorSimple Manager.
7 Nota
Realice los pasos siguientes para actualizar el cifrado de datos del servicio en el
dispositivo.
manager]
Este script asegurará de que esa clave de cifrado de datos del servicio se establece en
todas las aplicaciones en la nube 8010/8020 en el administrador de dispositivos.
U Precaución
Restricciones conocidas
Los recursos compartidos de StorSimple Data Manager y Azure tienen algunas
limitaciones que debe tener en cuenta antes de comenzar la migración, ya que pueden
impedir una migración:
Fidelidad de archivos
Si ninguna de las limitaciones de Known limitations (Limitaciones conocidas) impide una
migración. Hay limitaciones en cuanto a lo que se puede almacenar en los recursos
compartidos de archivos de Azure que debe tener en cuenta. La fidelidad de los archivos
hace referencia a la gran cantidad de atributos, marcas de tiempo y datos que
componen un archivo. En una migración, la fidelidad de los archivos es una medida de
lo bien que se puede trasladar (migrar) la información del origen (volumen StorSimple)
al destino (recurso compartido de archivos de Azure). Azure Files admite un
subconjunto de las propiedades del archivo NTFS. Se migrarán las ACL, los metadatos
comunes y algunas marcas de tiempo. Los siguientes elementos no impedirán una
migración, pero provocarán problemas por elementos durante la misma:
La sección de solución de problemas al final de este artículo tiene más detalles sobre el
nivel de elemento y los códigos de error de nivel de trabajo de migración y, siempre que
sea posible, sus opciones de mitigación.
Para identificar las copias de seguridad críticas que se deben migrar, realice una lista de
comprobación de las directivas de copia de seguridad. Por ejemplo:
Más adelante, al crear los trabajos de migración, puede usar esta lista para identificar las
copias de seguridad del volumen de StorSimple exactas que se deben migrar para
cumplir los requisitos de la lista.
U Precaución
No se admite la selección de más de 50 copias de seguridad de volumen de
StorSimple. Los trabajos de migración solo pueden migrar copias de seguridad,
nunca datos del volumen activo. Por lo tanto, la copia de seguridad más reciente es
más cercana a los datos activos y, por lo tanto, debe formar parte de la lista de
copias de seguridad que se trasladarán en una migración.
U Precaución
Es posible que tenga más carpetas en los volúmenes que actualmente comparte
localmente como recursos compartidos de SMB en sus usuarios y aplicaciones. La
manera más sencilla de visualizar este escenario es imaginar un recurso compartido
local que asigne 1:1 a un recurso compartido de archivos de Azure. Si tiene un número
suficientemente pequeño de recursos compartidos, por debajo de 30 para una sola
instancia de Windows Server, se recomienda una asignación 1:1.
Sincronización de volúmenes
Azure File Sync admite la sincronización de la raíz de un volumen con un recurso
compartido de archivos de Azure. Si sincroniza la raíz del volumen, todas las
subcarpetas y los archivos van al mismo recurso compartido de archivos de Azure.
El examen inicial del contenido de la nube puede realizarse más rápido, lo que a su
vez reduce la espera de que aparezca el espacio de nombres en un servidor
habilitado para Azure File Sync.
La restauración en la nube a partir de una instantánea de recursos compartidos de
archivos de Azure se hará con mayor rapidez.
La recuperación ante desastres de un servidor local puede acelerarse de forma
considerable.
Los cambios hechos directamente en un recurso compartido de archivos de Azure
(sin sincronización) se pueden detectar y sincronizar más rápido.
Sugerencia
Para decidir cuántos recursos compartidos de archivos de Azure necesita, revise los
límites y procedimientos recomendados siguientes. Eso le va a ayudar a optimizar la
asignación.
Un servidor donde está instalado el agente de Azure File Sync puede sincronizarse
con hasta 30 recursos compartidos de archivos de Azure.
Si tiene previsto mover una aplicación a Azure que usará el recurso compartido de
archivos de Azure de forma nativa, es posible que necesite un mayor rendimiento
del recurso compartido de archivos de Azure. Si este tipo de uso es una
posibilidad, incluso en el futuro, lo mejor es crear un único recurso compartido de
archivos de Azure estándar en su propia cuenta de almacenamiento.
Hay un límite de 250 cuentas de almacenamiento por suscripción por cada región
de Azure.
Sugerencia
Teniendo en cuenta esta información, suele ser necesario agrupar varias carpetas
de nivel superior de sus volúmenes en un nuevo directorio raíz común. Luego se
sincroniza este nuevo directorio raíz y todas las carpetas agrupadas en él, en un
solo recurso compartido de archivos de Azure. Esta técnica permite permanecer
dentro del límite de 30 sincronizaciones de recursos compartidos de archivos de
Azure por servidor.
Esta agrupación bajo una raíz común no afecta al acceso a sus datos. Las ACL se
mantienen como están. Solo tiene que ajustar algunas rutas de acceso a los
recursos compartidos (como las de los recursos compartidos SMB o NFS) que
podría haber en las carpetas de servidor locales que ahora han cambiado a una raíz
común. No cambia nada más.
) Importante
El vector de escala más importante para Azure File Sync es el número de elementos
(archivos y carpetas) que tienen que sincronizarse. Para más información, revise los
objetivos de escala de Azure File Sync.
Mantenga el
número de
elementos por
grupo de
sincronización
por debajo de
100 millones de
elementos
(archivos y
carpetas) por
recurso
compartido.
Idealmente, es
mejor
permanecer por
debajo de 20 o
30 millones por
recurso
compartido.
# Escenario de Compatible Consideraciones Solución (o solución alternativa)
sincronización (o limitaciones)
Aunque un
grupo de
sincronización
puede tener
puntos de
conexión de
servidor en
distintos
servidores de
archivos, los
archivos no
pueden ser
distintos.
Cree una tabla para registrar sus ideas, de modo que pueda consultarla cuando sea
necesario. La organización es importante, ya que puede ser fácil perder detalles del plan
de asignación cuando se aprovisionan muchos recursos de Azure a la vez. Descargue el
siguiente archivo de Excel para usarlo como plantilla para ayudar a crear la asignación.
) Importante
Resumen de la fase 1
Al final de la fase 1:
) Importante
No configure ahora las opciones de la red y del firewall para sus cuentas de
almacenamiento. Realizar esas configuraciones en este momento haría imposible la
migración. Configure estas opciones de Azure Storage una vez completada la
migración.
Subscription
Puede usar la misma suscripción que usó para la implementación de StorSimple o una
diferente. La única limitación es que la suscripción debe estar en el mismo inquilino de
Azure Active Directory que la suscripción de StorSimple. Considere la posibilidad de
mover la suscripción a StorSimple al inquilino adecuado antes de iniciar una migración.
Solo puede trasladar la suscripción en su conjunto; los recursos individuales de
StorSimple no se pueden trasladar a otro inquilino o suscripción.
Resource group
Los grupos de recursos ayudan con la organización de recursos y permisos de
administración de administradores. Obtenga más información sobre los grupos de
recursos de Azure.
Location
La ubicación o la región de Azure de una cuenta de almacenamiento son muy
importantes. Si usa Azure File Sync, todas las cuentas de almacenamiento deben estar
en la misma región que el recurso del servicio de sincronización de almacenamiento. La
región de Azure que elija debe ser cercana a los servidores y usuarios locales o ubicarse
en un punto céntrico. Una vez implementado el recurso, no se puede cambiar su región.
Puede elegir una región distinta de la ubicación en la que residen los datos de
StorSimple (cuenta de almacenamiento).
) Importante
Replicación
7 Nota
Solo los tipos de redundancia LRS y ZRS son compatibles con los recursos
compartidos de archivos de Azure de gran tamaño, de 100 TiB de capacidad.
Optar por los recursos compartidos de archivos de gran tamaño de 100 TiB tiene varias
ventajas:
) Importante
En este caso la cuota es comparable a una cuota fija de SMB en una instancia de
Windows Server. El procedimiento recomendado es no establecer una cuota en este
caso, ya que la migración y otros servicios producirán un error cuando se alcance.
Seleccione
para el nuevo recurso compartido de archivos. Durante la migración, se producirán
muchas transacciones. Es más rentable cambiar el nivel más adelante al nivel más
adecuado para la carga de trabajo.
Este recurso temporal se usa para la orquestación. Se desaprovisiona una vez finalizada
la migración. Debe implementarse en la misma suscripción, grupo de recursos y región
que la cuenta de almacenamiento de StorSimple.
Azure File Sync
Con Azure File Sync, puede agregar almacenamiento en caché local de los archivos a los
que se accede con más frecuencia. De forma similar a las funcionalidades de
almacenamiento en caché de StorSimple, la característica de nube por niveles de Azure
File Sync ofrece latencia de acceso local en combinación con el control mejorado de la
funcionalidad de caché disponible en la instancia de Windows Server y en la
sincronización de varios sitios. Si el objetivo es tener una caché local, prepare una
máquina virtual de Windows Server (también se admiten servidores físicos y clústeres de
conmutación por error) en su red local con capacidad de almacenamiento conectado
directamente suficiente.
) Importante
Resumen de la fase 2
Al final de la fase 2, habrá implementado sus cuentas de almacenamiento y todos los
recursos compartidos de archivos de Azure en ellas. También tendrá un recurso
StorSimple Data Manager. Usará este último en la fase 3, cuando configure los trabajos
de migración.
Source
Suscripción de origenSeleccione la suscripción en la que almacena el recurso de
StorSimple Device Manager.
Consulte
en caso de que no localice la clave en sus registros.
Seleccione el volumen de origen. Más adelante decidirá si desea migrar el volumen o los
subdirectorios completos al recurso compartido de archivos de Azure de destino.
Destino
Seleccione la suscripción, la cuenta de almacenamiento y el recurso compartido de
archivos de Azure como destino de este trabajo de migración.
Asignación de directorios
En una sección dedicada de este artículo, se describen todos los detalles pertinentes.
Cuando se abre la hoja de selección de copias de seguridad, está dividida en dos listas.
En la primera lista, se muestran todas las copias de seguridad disponibles. Puede
expandir y reducir el conjunto de resultados al usar un intervalo de tiempo específico
como filtro. (Véase la siguiente sección)
U Precaución
Debe seleccionar todas las copias de seguridad que quiera migrar. No se pueden
agregar copias de seguridad más antiguas después. No se puede modificar el
trabajo para cambiar la selección una vez que se ha creado el trabajo.
U Precaución
Asignación de directorios
La asignación de directorios es opcional para el trabajo de migración. Si deja la sección
vacía, todos los archivos y las carpetas de la raíz del volumen de StorSimple se moverán
a la raíz del recurso compartido de archivos de Azure de destino. En la mayoría de los
casos, almacenar el contenido de un volumen completo en un recurso compartido de
archivos de Azure no es el mejor enfoque. A menudo, es mejor dividir el contenido de
un volumen en varios recursos compartidos de archivos de Azure. Si aún no ha hecho
un plan, consulte antes Asignación del volumen de StorSimple a recursos compartidos
de archivos de Azure.
Como parte del plan de migración, es posible que haya decidido que las carpetas de un
volumen de StorSimple deben dividirse en varios recursos compartidos de archivos de
Azure. En ese caso, puede realizar esa división de la siguiente manera:
1. Definiendo varios trabajos para migrar las carpetas de un volumen, cada uno
tendrá el mismo origen de volumen de StorSimple, pero un recurso compartido de
archivos de Azure diferente como destino.
2. Especificando con precisión qué carpetas del volumen de StorSimple se deben
migrar al recurso compartido de archivos especificado, mediante la sección de
asignación de directorios del formulario de creación del trabajo y siguiendo la
semántica de asignación específica.
) Importante
Elementos semánticos
Una asignación se expresa de izquierda a derecha: [\ruta de acceso de origen] > [\ruta
de acceso de destino].
Ejemplos
Mueve el contenido de la carpeta Datos de usuario a la raíz del recurso compartido de
archivos de destino:
Consola
\User data > \
Mueve todo el contenido del volumen a una nueva ruta de acceso en el recurso
compartido de archivos de destino:
Consola
Consola
Consola
Reglas semánticas
Especifique siempre las rutas de acceso de la carpeta en relación con el nivel raíz.
Comience cada ruta de acceso de carpeta con un indicador de nivel de raíz "\".
No incluya letras de unidad.
Si especifica varias rutas de acceso, las rutas de origen o destino no se pueden
superponer:
Ejemplo de superposición de ruta de origen no válida:
7 Nota
En la hoja de trabajo que se abre, puede ver el estado actual del trabajo y una lista de
las copias de seguridad que ha seleccionado. La lista de copias de seguridad se ordena
de más antigua a más reciente y se migrará al recurso compartido de archivos de Azure
en este orden.
U Precaución
Las copias de seguridad deben procesarse de más antigua a más reciente. Una vez
creado un trabajo de migración, no se puede cambiar la lista de copias de
seguridad de volúmenes StorSimple seleccionados. No inicie el trabajo si la lista de
copias de seguridad es incorrecta o está incompleta. Elimine el trabajo y realice uno
nuevo con las copias de seguridad correctas seleccionadas. Para cada copia de
seguridad seleccionada, compruebe las programaciones de retención. ¡Es posible
que una o varias de las directivas de retención eliminen las copias de seguridad
antes de que puedan migrarse!
Errores de copia
En esta columna se enumeran los archivos o carpetas que no se han copiado pero
deberían haberlo hecho. Estos errores suelen ser recuperables. Cuando una copia
de seguridad muestra problemas de elementos en esta columna, revise los
registros de copia. Si necesita migrar estos archivos, seleccione Retry backup
(Reintentar copia de seguridad). Esta opción estará disponible una vez que finalice
el procesamiento de la copia de seguridad. En la sección Managing a migration job
(Administración de un trabajo de migración) se explican las opciones con más
detalle.
Archivos no admitidos
En esta columna se enumeran los archivos o carpetas que no se pueden migrar.
Azure Storage tiene limitaciones en los nombres de archivo, las longitudes de ruta
de acceso y los tipos de archivo que no se pueden almacenar actualmente o de
forma lógica en un recurso compartido de archivos de Azure. Un trabajo de
migración no se pausará ante este tipo de errores. Volver a intentar la migración
de la copia de seguridad no cambiará el resultado. Cuando una copia de seguridad
muestra problemas de elementos en esta columna, revise los registros de copia y
tome nota de ellos. Si estos problemas surgen en la última copia de seguridad y en
el registro de la copia observa que el error se debió a un nombre de archivo, una
longitud de ruta de acceso u otro problema sobre el que tiene influencia, es
posible que quiera solucionar el problema en el volumen StorSimple activo, hacer
una copia de seguridad del volumen StorSimple y crear un nuevo trabajo de
migración solo con esa copia de seguridad. A continuación, migrará este espacio
de nombres corregido y se convertirá en la versión activa/más reciente del recurso
compartido de archivos de Azure. Se trata de un proceso manual y lento. Revise
cuidadosamente los registros de copia y evalúe si merece la pena.
Estos registros son archivos *.csv en los que se muestran los elementos de espacio de
nombres correctos y los elementos que no se han podido copiar. Los errores se dividen
aún más en las categorías que se han analizado anteriormente. En la ubicación del
archivo de registro, puede buscar registros de archivos con errores buscando "error". El
resultado debería ser un conjunto de registros de los archivos que no se pudieron
copiar. Ordene estos registros por tamaño. Puede haber registros adicionales generados
con un tamaño de 17 bytes. Están vacíos y se pueden omitir. Mediante la ordenación,
puede concentrarse en los registros con contenido.
El mismo proceso se aplica a los archivos de registro que graban copias correctas.
En ejecución
Un trabajo en ejecución es aquel que está procesando una copia de seguridad. Consulte
la tabla de la mitad inferior de la hoja para ver qué copia de seguridad se está
procesando actualmente y cuáles pueden haber sido ya migradas.
Las copias de seguridad ya migradas tienen una columna con un vínculo a un registro
de copia. Si se notifican errores para una copia de seguridad, debe revisar su registro de
copia.
En pausa
Un trabajo de migración se pausa cuando se necesita tomar una decisión. Esta situación
habilita dos botones de comando en la parte superior de la hoja:
Elija
cuando la copia de seguridad muestre los archivos que deberían haberse movido pero
no lo hicieron (columna Errores de copia).
Elija
cuando no haya una copia de seguridad (la ha eliminado la directiva al crear el trabajo
de migración) o cuando la copia de seguridad esté dañada. Puede encontrar
información de error detallada en la hoja que se abre al hacer clic en la copia de
seguridad fallida.
Si
o
la copia de seguridad en curso, el servicio de migración creará una instantánea en el
recurso compartido de archivos de Azure de destino. Quizá quiera eliminar la anterior
más adelante, es probable que esté incompleta.
Es probable que tenga varios volúmenes de StorSimple, cada uno con sus propios
recursos compartidos que deben migrarse a un recurso compartido de archivos de
Azure. Es importante que comprenda cuánto puede hacer en paralelo. Hay limitaciones
que no se aplican en la experiencia del usuario y que degradarán o impedirán una
migración completa si los trabajos se ejecutan al mismo tiempo.
No hay límites en la definición de trabajos de migración. Puede definir el mismo
volumen de origen de StorSimple, el mismo recurso compartido de archivos de Azure,
en el mismo o en distintos dispositivos StorSimple. Sin embargo, su ejecución tiene
limitaciones:
Sugerencia
Resumen de la fase 3
Al final de la fase 3, habrá ejecutado al menos uno de los trabajos de migración desde
los volúmenes de StorSimple en recursos compartidos de archivos de Azure. Con la
ejecución, habrá migrado las copias de seguridad especificadas a las instantáneas del
recurso compartido de archivos de Azure. Ahora puede centrarse en la configuración de
Azure File Sync del recurso compartido (cuando se hayan completado los trabajos de
migración de un recurso compartido) o el direccionamiento del acceso compartido para
las aplicaciones y los trabajadores de la información al recurso compartido de archivos
de Azure.
Azure File Sync: implementar Azure File Sync en una instancia de Windows Server
local. Azure File Sync tiene todas las ventajas de una memoria caché local, al igual
que StorSimple.
Acceso directo a recursos compartidos: Implementación de acceso directo a
recursos compartidos. Use esta estrategia si su escenario de acceso para un
recurso compartido de archivos de Azure determinado no se beneficiará del
almacenamiento en caché local o ya no es posible hospedar una instancia de
Windows Server. Aquí, los usuarios y las aplicaciones seguirán teniendo acceso a
los recursos compartidos de SMB a través del protocolo SMB. Estos recursos
compartidos ya no están en un servidor local, sino directamente en la nube.
Ya debe haber decidido qué opción es la más adecuada en la fase 1 de esta guía.
Elija una región de Azure para el servicio de sincronización de almacenamiento que esté
cerca de su ubicación. Todos los demás recursos de nube se deben implementar en la
misma región. Para simplificar el proceso de administración, cree un nuevo grupo de
recursos en la suscripción para hospedar los recursos de sincronización y
almacenamiento.
Sugerencia
Si desea cambiar la región de Azure en la que residen los datos cuando se realiza la
migración, implemente el servicio de sincronización de almacenamiento en la
misma región que las cuentas de almacenamiento de destino para esta migración.
Abra PowerShell. Instale los módulos de PowerShell necesarios mediante los siguientes
comandos. Asegúrese de instalar el módulo completo y el proveedor de NuGet cuando
se le solicite hacerlo.
PowerShell
Si para configurar un proxy debe abrir los firewalls del servidor, es posible que ese
enfoque le resulte aceptable. Al final de la instalación del servidor, después de haber
completado el registro del servidor, un informe de conectividad de red le mostrará las
direcciones URL exactas de los puntos de conexión en Azure, con las que Azure File Sync
necesita comunicarse en la región que ha seleccionado. El informe también indica por
qué se necesita la comunicación. Puede usar el informe para bloquear los firewalls del
servidor en direcciones URL específicas.
También puede adoptar un enfoque más conservador y no abrir totalmente los firewalls.
En su lugar puede limitar el servidor para que se comunique con espacios de nombres
DNS de nivel superior. Para más información, consulte Configuración del proxy y el
firewall de Azure File Sync. Siga sus propios procedimientos recomendados de redes.
Al final del Asistente para la instalación del servidor, se abrirá un Asistente para el
registro del servidor. Registre el servidor en el recurso de Azure del servicio de
sincronización de almacenamiento anterior.
Estos pasos se describen con más detalle en la guía de implementación, que incluye los
módulos de PowerShell que se deben instalar primero: Instalación de agente de Azure
File Sync.
Use el agente más reciente. Puede descargarlo del Centro de descarga de Microsoft:
Agente de Azure File Sync .
Después de una instalación y un registro del servidor correctos, puede confirmar que ha
completado correctamente este paso. Vaya al recurso de Storage Sync Service en Azure
Portal. En el menú de la izquierda, vaya a Servidores registrados. Verá que el servidor
aparece en esa lista.
) Importante
Antes de continuar, debe completar la migración de archivos y carpetas de
StorSimple en el recurso compartido de archivos de Azure. Asegúrese de que no
haya más cambios en el recurso compartido de archivos.
Este paso une todos los recursos y carpetas que ha configurado en la instancia de
Windows Server durante los pasos anteriores.
) Importante
Este vídeo es una guía y demostración sobre cómo exponer de forma segura recursos
compartidos de archivos de Azure directamente para las aplicaciones y trabajadores de
la información en cinco sencillos pasos.
En el vídeo se hace referencia a documentación dedicada para algunos temas:
Introducción a las identidades
Unión a un dominio de una cuenta de almacenamiento
Información general sobre redes para recursos compartidos de archivos de Azure
Configuración de puntos de conexión públicos y privados
Configuración de una VPN S2S
Configuración de una VPN de Windows P2S
Configuración de una VPN P2S de Linux
Configuración del reenvío de DNS
Configuración de DFS-N
Resumen de la fase 4
Al final de esta fase ha creado y ejecutado varios trabajos de migración en StorSimple
Data Manager. Esos trabajos han migrado los archivos y carpetas y sus copias de
seguridad a recursos compartidos de archivos de Azure. También ha implementado
Azure File Sync o preparado las cuentas de red y almacenamiento para el acceso directo
a recursos compartidos.
Azure portal
Puede usar Azure Portal para ver cuándo ha llegado por completo el espacio de
nombres.
También puede usar el Visor de eventos en la instancia de Windows Server para saber
cuándo se ha trasladado por completo el espacio de nombres.
1. Debe ponerse al día con los cambios que los usuarios o las aplicaciones generan
en StorSimple mientras la migración estaba en curso.
2. En los casos en los que se usa Azure File Sync: La aplicación StorSimple tiene una
memoria caché llena en comparación con la instancia de Windows Server que, en
este momento, solo tiene un espacio de nombres sin ningún contenido de
archivos almacenado localmente. Por lo tanto, el comando RoboCopy final puede
ayudar a iniciar la memoria caché de Azure File Sync local al extraer tanto
contenido del archivo almacenado en memoria caché local como esté disponible y
puede ajustarse al servidor de Azure File Sync.
3. Es posible que el trabajo de migración haya omitido algunos archivos debido a
caracteres no válidos. Si es así, cópielos en la instancia de Windows Server
habilitada para Azure File Sync. Más adelante, puede ajustarlos para que se
sincronicen. Si no usa Azure File Sync para un recurso compartido determinado, es
mejor cambiar el nombre de los archivos por caracteres no válidos en el volumen
de StorSimple. Después, ejecute RoboCopy directamente en el recurso compartido
de archivos de Azure.
2 Advertencia
2 Advertencia
Solo desea copiar los archivos que se cambiaron después de la última vez que se
ejecutó el trabajo de migración y los archivos que no se trasladaron antes a través de
estos trabajos. Puede solucionar el problema por el que no se trasladaron al servidor,
una vez que haya finalizado la migración. Para más información, vea Solución de
problemas de Azure File Sync.
Consola
Modificador Significado
Modificador Significado
/W:n Especifica el tiempo que espera Robocopy antes de intentar copiar un archivo que
no se ha copiado correctamente en el último intento. n es el número de
segundos de espera entre reintentos. /W:n a menudo se usa junto con /R:n .
/MIR (Reflejar origen en destino). Permite que Robocopy solo tenga que copiar las
diferencias entre el origen y el destino. Se copiarán los subdirectorios vacíos. Se
copiarán los elementos (archivos o carpetas) que hayan cambiado o no existan en
el destino. Los elementos que existan en el destino, pero no en el origen, se
purgarán (se eliminarán) del destino. Cuando use este conmutador, haga coincidir
exactamente con las estructuras de carpetas de origen y de destino. Coincidencia
significa que se copia desde el nivel de carpeta y origen correctos en el nivel de
carpeta del destino coincidente. Solo entonces se puede realizar correctamente
una copia de "puesta al día". Cuando el origen y el destino no coinciden, el uso de
/MIR dará lugar a eliminaciones y nuevas copias a gran escala.
/XD Especifica los directorios que se excluirán. Cuando ejecute Robocopy en la raíz de
un volumen, considere la posibilidad de excluir la carpeta System Volume
Information oculta. Si se usa como está previsto, toda la información que contiene
es específica del volumen exacto en este sistema exacto y se puede recompilar a
petición. Copiar esta información no será útil en la nube ni cuando los datos se
vuelvan a copiar en otro volumen Windows. Dejar este contenido atrás no debe
considerarse una pérdida de datos.
/L Solo para una serie de pruebas Los archivos solo se muestran en la lista. No se
copiarán, no se eliminarán y no tendrán marca de tiempo. Por lo general, se usa
con /TEE para la salida de la consola. Es posible que las marcas del script de
ejemplo, como /NP , /NFL y /NDL , se tengan que quitar para lograr los resultados
de la prueba documentados correctamente.
/ZB Usar con precauciónUsa el modo de reinicio. Si se deniega el acceso, esta opción
utiliza el modo de copia de seguridad. Esta opción reduce significativamente el
rendimiento de la copia debido a los puntos de control.
) Importante
Se recomienda usar Windows Server 2022. Cuando use Windows Server 2019,
asegúrese de que está instalado con el nivel de revisión más reciente o, al menos,
la actualización KB5005103 del sistema operativo . Contiene correcciones
importantes para determinados escenarios de Robocopy.
Este comando RoboCopy usa /MIR, por lo que no moverá archivos que sean iguales
(archivos en capas, por ejemplo). Pero si obtiene incorrectamente la ruta de acceso de
origen y destino, /MIR también purga las estructuras de directorio en su instancia de
Windows Server o en el recurso compartido de archivos de Azure que no están
presentes en la ruta de acceso de origen de StorSimple. Deben coincidir exactamente
para que el trabajo de RoboCopy alcance su objetivo de actualizar el contenido migrado
con los últimos cambios realizados durante la migración.
Consulte los archivos de registro de RoboCopy para ver si se han omitido archivos. Si
existen problemas, corríjalos y vuelva a ejecutar el comando RoboCopy. No
desaprovisione los recursos de StorSimple antes de corregir los problemas pendientes
de los archivos o carpetas que le interesan.
Si no usa Azure File Sync para almacenar en caché el recurso compartido de archivos de
Azure en cuestión, sino que ha optado por el acceso directo a recursos compartidos:
U Precaución
Aunque es deseable copiar lo más rápido posible, tenga en cuenta el uso de la red
local y el dispositivo NAS en otras tareas que suelen ser críticas para la empresa.
Copiar lo más rápido posible podría no ser deseable si existe el riesgo de que la
migración acapare los recursos disponibles.
/IPG:n no se puede usar para limitar la red a un número exacto de megabits por
Velocidad de procesamiento
RoboCopy recorrerá el espacio de nombres al que se apunta y evaluará cada archivo y
carpeta con fines de copia. Los archivos se evaluarán durante una copia inicial y durante
las copias de puesta al día. Por ejemplo, ejecuciones repetidas de RoboCopy/MIR en las
mismas ubicaciones de almacenamiento de origen y de destino. Estas ejecuciones
repetidas son útiles para minimizar el tiempo de inactividad de los usuarios y las
aplicaciones, así como para mejorar la tasa de éxito general de los archivos migrados.
A menudo, el ancho de banda suele considerarse como el factor más restrictivo en una
migración, algo que puede ser cierto. Pero la posibilidad de enumerar un espacio de
nombres puede influir en el tiempo total de copia para espacios de nombres más largos
con archivos más pequeños. Tenga en cuenta que copiar 1 TiB de archivos pequeños
tardará mucho más que copiar 1 TiB de un número inferior de archivos de mayor
tamaño, si se supone que todas las demás variables permanecen iguales. Por lo tanto, es
posible que se experimente una transferencia lenta si va a migrar una gran cantidad de
archivos pequeños. Este es un comportamiento esperado.
Sugerencia
Regla general: la primera ejecución de RoboCopy, que moverá una gran cantidad
de datos de una red de mayor latencia, se beneficia del aprovisionamiento excesivo
del número de subprocesos ( /MT:n ). Las ejecuciones posteriores copiarán menos
diferencias y es más probable que se cambie de un rendimiento restringido de red
a otro restringido por proceso. En estas circunstancias, a menudo es mejor que el
número de subprocesos de robocopy coincida con los subprocesos disponibles
realmente en la máquina. El aprovisionamiento excesivo en ese escenario puede
generar más cambios de contexto en el procesador, lo que podría ralentizar la
copia.
Otro aspecto importante es usar la herramienta RoboCopy de forma eficaz. Con el script
de RoboCopy recomendado, se creará y guardará un archivo de registro de los errores.
Es normal que puedan producirse errores de copia. Estos errores suelen hacer que sea
necesario ejecutar varias rondas de una herramienta de copia como RoboCopy. Una
ejecución inicial, por ejemplo, de un dispositivo NAS a DataBox o de un servidor a un
recurso compartido de archivos de Azure. Y una o varias ejecuciones adicionales con el
modificador /MIR para identificar los archivos que no se han copiado y volver a
intentarlo.
/R:n n = la frecuencia con la que se vuelve a intentar copiar un archivo con errores
/W:n n = el número de segundos que hay que esperar entre reintentos
/R:5 /W:5 es un valor razonable que puede ajustar a su gusto. En este ejemplo, un
archivo con errores se intentará volver a copiar cinco veces, con un tiempo de espera de
cinco segundos entre un reintento y otro. Si el archivo sigue sin copiarse, el siguiente
trabajo de RoboCopy lo volverá a intentar. A menudo, los archivos que generan errores
por estar en uso o debido a problemas de tiempo de espera se pueden copiar
correctamente de esta manera.
Use RoboCopy con Windows Server 2022. Solo esta versión de RoboCopy contiene
correcciones de errores importantes y características que hacen que el conmutador sea
compatible con marcas adicionales necesarias en la mayoría de las migraciones. Por
ejemplo, compatibilidad con la marca /B .
seguridad. Este conmutador permite que Robocopy mueva los archivos para los que el
usuario actual no tiene permisos.
Si tiene previsto usar /LFSM , RoboCopy debe ejecutarse en el servidor de Azure File
Sync con Windows Server 2022 de destino.
Tenga en cuenta también que, con /LFSM , también debe usar una ruta de acceso local
para el destino, no una UNC. Por ejemplo, como ruta de acceso de destino, debe usar
E:\NombreDeLaCarpeta en lugar de una ruta de acceso UNC como
\\ServerName\NombreDeLaCarpeta.
U Precaución
Si tiene una implementación de DFS-N, puede apuntar los espacios de nombres de DFN
a las nuevas ubicaciones de carpetas del servidor. Si no tiene una implementación de
DFS-N y ha adelantado el dispositivo 8100/8600 localmente con una instancia de
Windows Server, puede desconectar el servidor del dominio. Después, únase al dominio
nuevo en la instancia de Windows Server habilitada para Azure File Sync. Durante ese
proceso, asigne al servidor el mismo nombre de servidor y los nombres de los recursos
compartidos que en el servidor anterior, de modo que el acceso directo sea
transparente para los usuarios, la directiva de grupo y los scripts.
Fase 6: Desaprovisionar
Cuando se desaprovisiona un recurso, se pierde el acceso a la configuración de ese
recurso, así como a sus datos. El aprovisionamiento no se puede deshacer. No continúe
hasta que haya confirmado que:
La migración se ha completado.
No hay ninguna dependencia en los archivos, carpetas o copias de seguridad del
volumen de StorSimple que está a punto de desaprovisionar.
La migración se ha completado.
7 Nota
Solución de problemas
Al usar el servicio de migración de StorSimple Data Manager, es posible que se
produzca un error en un trabajo de migración completo o en archivos individuales por
varios motivos. La sección de fidelidad de archivos tiene más detalles sobre los
escenarios admitidos o no admitidos. En las tablas siguientes se enumeran los códigos
de error, los detalles de error y, siempre que sea posible, las opciones de mitigación.
StorSimple Manager Este error genérico tiene varias causas, pero una de las
encontró un error posibilidades es que el administrador de dispositivos de
interno. Espere unos StorSimple alcanzó el límite de 50 dispositivos.
minutos y vuelva a Compruebe si los trabajos de ejecución más recientes en
intentar la el administrador de dispositivos se han iniciado
operación. Si el repentinamente para producir este error, lo que sugeriría
problema persiste, que este es el problema. La mitigación de este problema
póngase en en particular consiste en quitar los dispositivos sin
contacto con el conexión de StorSimple 8001 que el servicio de
Soporte técnico de Data Manager ha creado y usado. Puede presentar una
Microsoft. (Código incidencia de soporte técnico o eliminarlas manualmente
de error: en el portal. Asegúrese de eliminar solo los dispositivos
1074161829) sin conexión de la serie 8001.
Cálculo de Error en el trabajo Este error probablemente indica que especificó una copia
archivos de clonación de de seguridad que estaba dañada de alguna manera. El
volumen servicio de migración no puede montarlo ni leerlo. Puede
probar la copia de seguridad manualmente o abrir una
incidencia de soporte técnico.
Copiar -2146233088 Vuelva a ejecutar el trabajo si hay demasiados errores. Si solo hay
El servidor unos pocos errores, puede intentar volver a ejecutar el trabajo, pero
está a menudo una copia manual de los elementos con errores es más
ocupado. rápida. Después, reanude la migración omitiendo el procesamiento
de la siguiente copia de seguridad.
-2147024891 Se trata de un error para los archivos que se cifran de forma que no
Acceso se puede acceder a ellos en el disco. Los archivos que se pueden
denegado leer desde el disco, pero simplemente tienen contenido cifrado, no
se ven afectados y se pueden copiar. La única opción es copiarlos
de forma manual. Puede encontrar estos elementos mediante el
montaje del volumen afectado y la ejecución del siguiente
comando: get-childitem <path> [-Recurse] -Force -ErrorAction
SilentlyContinue | Where-Object {$_.Attributes -ge "Encrypted"}
| format-list fullname, attributes
Pasos siguientes
Familiarícese con Azure File Sync: aka.ms/AFS.
Obtenga información sobre la flexibilidad de las directivas de nube por niveles.
Habilite Azure Backup en los recursos compartidos de archivos de Azure para
programar instantáneas y definir programaciones de retención de copia de
seguridad.
Si ve en Azure Portal que algunos archivos no se sincronizan de forma
permanente, revise la guía de solución de problemas para conocer los pasos
necesarios para resolverlos.
Migración de StorSimple 1200 a Azure
File Sync
Artículo • 22/03/2023
7 Nota
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Este artículo se centra en los pasos de migración. Si antes de la migración desea obtener
más información sobre Azure File Sync, se recomienda consultar los siguientes artículos:
Objetivos de la migración
El objetivo es garantizar la integridad de los datos de producción, así como la
disponibilidad. Esta última requiere que el tiempo de inactividad sea mínimo, para
ajustarse o solo superar ligeramente las ventanas de mantenimiento regulares.
Elija una región de Azure para el servicio de sincronización de almacenamiento que esté
cerca de su ubicación. Todos los demás recursos de nube se deben implementar en la
misma región. Para simplificar el proceso de administración, cree un nuevo grupo de
recursos en la suscripción para hospedar los recursos de sincronización y
almacenamiento.
Es posible que tenga más carpetas en los volúmenes que actualmente comparte
localmente como recursos compartidos de SMB en sus usuarios y aplicaciones. La
manera más sencilla de visualizar este escenario es imaginar un recurso compartido
local que asigne 1:1 a un recurso compartido de archivos de Azure. Si tiene un número
suficientemente pequeño de recursos compartidos, por debajo de 30 para una sola
instancia de Windows Server, se recomienda una asignación 1:1.
Sincronización de volúmenes
Azure File Sync admite la sincronización de la raíz de un volumen con un recurso
compartido de archivos de Azure. Si sincroniza la raíz del volumen, todas las
subcarpetas y los archivos van al mismo recurso compartido de archivos de Azure.
El examen inicial del contenido de la nube puede realizarse más rápido, lo que a su
vez reduce la espera de que aparezca el espacio de nombres en un servidor
habilitado para Azure File Sync.
La restauración en la nube a partir de una instantánea de recursos compartidos de
archivos de Azure se hará con mayor rapidez.
La recuperación ante desastres de un servidor local puede acelerarse de forma
considerable.
Los cambios hechos directamente en un recurso compartido de archivos de Azure
(sin sincronización) se pueden detectar y sincronizar más rápido.
Sugerencia
Para decidir cuántos recursos compartidos de archivos de Azure necesita, revise los
límites y procedimientos recomendados siguientes. Eso le va a ayudar a optimizar la
asignación.
Un servidor donde está instalado el agente de Azure File Sync puede sincronizarse
con hasta 30 recursos compartidos de archivos de Azure.
Si tiene previsto mover una aplicación a Azure que usará el recurso compartido de
archivos de Azure de forma nativa, es posible que necesite un mayor rendimiento
del recurso compartido de archivos de Azure. Si este tipo de uso es una
posibilidad, incluso en el futuro, lo mejor es crear un único recurso compartido de
archivos de Azure estándar en su propia cuenta de almacenamiento.
Hay un límite de 250 cuentas de almacenamiento por suscripción por cada región
de Azure.
Sugerencia
Teniendo en cuenta esta información, suele ser necesario agrupar varias carpetas
de nivel superior de sus volúmenes en un nuevo directorio raíz común. Luego se
sincroniza este nuevo directorio raíz y todas las carpetas agrupadas en él, en un
solo recurso compartido de archivos de Azure. Esta técnica permite permanecer
dentro del límite de 30 sincronizaciones de recursos compartidos de archivos de
Azure por servidor.
Esta agrupación bajo una raíz común no afecta al acceso a sus datos. Las ACL se
mantienen como están. Solo tiene que ajustar algunas rutas de acceso a los
recursos compartidos (como las de los recursos compartidos SMB o NFS) que
podría haber en las carpetas de servidor locales que ahora han cambiado a una raíz
común. No cambia nada más.
) Importante
El vector de escala más importante para Azure File Sync es el número de elementos
(archivos y carpetas) que tienen que sincronizarse. Para más información, revise los
objetivos de escala de Azure File Sync.
Mantenga el
número de
elementos por
grupo de
sincronización
por debajo de
100 millones de
elementos
(archivos y
carpetas) por
recurso
compartido.
Idealmente, es
mejor
permanecer por
debajo de 20 o
30 millones por
recurso
compartido.
# Escenario de Compatible Consideraciones Solución (o solución alternativa)
sincronización (o limitaciones)
Aunque un
grupo de
sincronización
puede tener
puntos de
conexión de
servidor en
distintos
servidores de
archivos, los
archivos no
pueden ser
distintos.
Cree una tabla para registrar sus ideas, de modo que pueda consultarla cuando sea
necesario. La organización es importante, ya que puede ser fácil perder detalles del plan
de asignación cuando se aprovisionan muchos recursos de Azure a la vez. Descargue el
siguiente archivo de Excel para usarlo como plantilla para ayudar a crear la asignación.
Si tiene recursos compartidos muy activos (recursos compartidos que usan muchos
usuarios o aplicaciones), dos recursos compartidos de archivos de Azure podrían
alcanzar el límite de rendimiento de una cuenta de almacenamiento.
Un procedimiento recomendado es implementar cuentas de almacenamiento con un
recurso compartido de archivos cada una. Puede agrupar varios recursos compartidos
de archivos de Azure en la misma cuenta de almacenamiento si tiene recursos
compartidos de archivo o que espera que tengan escasa actividad diaria.
Si ha creado una lista de recursos compartidos, tiene que asignar cada recurso
compartido a la cuenta de almacenamiento en la que se encontrará.
U Precaución
Si crea un recurso compartido de archivos de Azure con un límite de 100 TiB, ese
recurso compartido puede usar solo las opciones de redundancia de
almacenamiento con redundancia local o de zona. Tenga en cuenta sus
necesidades de redundancia de almacenamiento antes de usar recursos
compartidos de archivos de 100 TiB.
Los recursos compartidos de archivos de Azure todavía se crean con un límite de 5 TiB
de forma predeterminada. Para crear un recurso compartido de archivos grande, siga los
pasos de Creación de un recurso compartido de archivos de Azure.
Los nombres de los recursos también son importantes. Por ejemplo, si agrupa varios
recursos compartidos para el Departamento de Recursos Humanos en una cuenta de
almacenamiento de Azure, debe asignar el nombre adecuado a la cuenta de
almacenamiento. Del mismo modo, al asignar el nombre a los recursos compartidos de
archivos de Azure, tiene que usar nombres similares a los que se usan para sus
homólogos locales.
Cree todas las carpetas, cada una de las cuales se sincronizará con su propio recurso
compartido de archivos de Azure. Es importante seguir la estructura de carpetas que ha
documentado anteriormente. Si, por ejemplo, ha decidido sincronizar varios recursos
compartidos de SMB locales en un único recurso compartido de archivos de Azure,
deberá colocarlos en una carpeta raíz común en el volumen. Cree esta carpeta raíz de
destino en el volumen ahora.
Abra PowerShell. Instale los módulos de PowerShell necesarios mediante los siguientes
comandos. Asegúrese de instalar el módulo completo y el proveedor de NuGet cuando
se le solicite hacerlo.
PowerShell
Si para configurar un proxy debe abrir los firewalls del servidor, es posible que ese
enfoque le resulte aceptable. Al final de la instalación del servidor, después de haber
completado el registro del servidor, un informe de conectividad de red le mostrará las
direcciones URL exactas de los puntos de conexión en Azure, con las que Azure File Sync
necesita comunicarse en la región que ha seleccionado. El informe también indica por
qué se necesita la comunicación. Puede usar el informe para bloquear los firewalls del
servidor en direcciones URL específicas.
También puede adoptar un enfoque más conservador y no abrir totalmente los firewalls.
En su lugar puede limitar el servidor para que se comunique con espacios de nombres
DNS de nivel superior. Para más información, consulte Configuración del proxy y el
firewall de Azure File Sync. Siga sus propios procedimientos recomendados de redes.
Al final del Asistente para la instalación del servidor, se abrirá un Asistente para el
registro del servidor. Registre el servidor en el recurso de Azure del servicio de
sincronización de almacenamiento anterior.
Estos pasos se describen con más detalle en la guía de implementación, que incluye los
módulos de PowerShell que se deben instalar primero: Instalación de agente de Azure
File Sync.
Use el agente más reciente. Puede descargarlo del Centro de descarga de Microsoft:
Agente de Azure File Sync .
Después de una instalación y un registro del servidor correctos, puede confirmar que ha
completado correctamente este paso. Vaya al recurso de Storage Sync Service en Azure
Portal. En el menú de la izquierda, vaya a Servidores registrados. Verá que el servidor
aparece en esa lista.
2 Advertencia
Consola
Modificador Significado
Modificador Significado
/W:n Especifica el tiempo que espera Robocopy antes de intentar copiar un archivo que
no se ha copiado correctamente en el último intento. n es el número de
segundos de espera entre reintentos. /W:n a menudo se usa junto con /R:n .
/MIR (Reflejar origen en destino). Permite que Robocopy solo tenga que copiar las
diferencias entre el origen y el destino. Se copiarán los subdirectorios vacíos. Se
copiarán los elementos (archivos o carpetas) que hayan cambiado o no existan en
el destino. Los elementos que existan en el destino, pero no en el origen, se
purgarán (se eliminarán) del destino. Cuando use este conmutador, haga coincidir
exactamente con las estructuras de carpetas de origen y de destino. Coincidencia
significa que se copia desde el nivel de carpeta y origen correctos en el nivel de
carpeta del destino coincidente. Solo entonces se puede realizar correctamente
una copia de "puesta al día". Cuando el origen y el destino no coinciden, el uso de
/MIR dará lugar a eliminaciones y nuevas copias a gran escala.
/XD Especifica los directorios que se excluirán. Cuando ejecute Robocopy en la raíz de
un volumen, considere la posibilidad de excluir la carpeta System Volume
Information oculta. Si se usa como está previsto, toda la información que contiene
es específica del volumen exacto en este sistema exacto y se puede recompilar a
petición. Copiar esta información no será útil en la nube ni cuando los datos se
vuelvan a copiar en otro volumen Windows. Dejar este contenido atrás no debe
considerarse una pérdida de datos.
/L Solo para una serie de pruebas Los archivos solo se muestran en la lista. No se
copiarán, no se eliminarán y no tendrán marca de tiempo. Por lo general, se usa
con /TEE para la salida de la consola. Es posible que las marcas del script de
ejemplo, como /NP , /NFL y /NDL , se tengan que quitar para lograr los resultados
de la prueba documentados correctamente.
/ZB Usar con precauciónUsa el modo de reinicio. Si se deniega el acceso, esta opción
utiliza el modo de copia de seguridad. Esta opción reduce significativamente el
rendimiento de la copia debido a los puntos de control.
) Importante
Se recomienda usar Windows Server 2022. Cuando use Windows Server 2019,
asegúrese de que está instalado con el nivel de revisión más reciente o, al menos,
la actualización KB5005103 del sistema operativo . Contiene correcciones
importantes para determinados escenarios de Robocopy.
Al ejecutar el comando de RoboCopy por primera vez, los usuarios y las aplicaciones
siguen accediendo a los archivos y las carpetas de StorSimple y pueden realizar
cambios. Es posible que RoboCopy haya procesado un directorio, pase al siguiente y, a
continuación, un usuario de la ubicación de origen (StorSimple) agregue, cambie o
elimine un archivo que no se procesará en la ejecución de RoboCopy actual. No hay
problema.
La primera ejecución consiste en mover la mayor parte de los datos de nuevo al entorno
local, a través de Windows Server, y realizar una copia de seguridad en la nube a través
de Azure File Sync. Esta operación puede tardar mucho tiempo, dependiendo de lo
siguiente:
La segunda vez se completará más rápido, ya que solo necesita transportar los cambios
posteriores a la última ejecución. Es probable que estos cambios ya sean locales para
StorSimple, porque son recientes. Esto reduce aún más el tiempo, ya que se reduce la
necesidad de la recuperación de la nube. Durante esta segunda ejecución, todavía se
pueden acumular nuevos cambios.
Repita este proceso hasta que considere que la cantidad de tiempo que tarda en
completarse es un tiempo de inactividad aceptable.
Cuando considere el tiempo de inactividad aceptable y esté preparado para dejar sin
conexión la ubicación de StorSimple, hágalo. Por ejemplo, quite el recurso compartido
de SMB para que ningún usuario pueda acceder a la carpeta o realice cualquier otro
paso adecuado que impida que el contenido cambie en esta carpeta en StorSimple.
Ejecute una última ronda de RoboCopy. Recuperará todos los cambios que puedan
haberse omitido. El tiempo necesario para realizar este último paso dependerá de la
velocidad del análisis de RoboCopy. Para realizar un cálculo estimado del tiempo (que
equivale al tiempo de inactividad) averigüe cuánto tardó en realizarse la ejecución
anterior.
2 Advertencia
Solución de problemas
El problema que puede experimentar más probablemente, es que el comando de
RoboCopy produzca el error "Volumen lleno" en el lado de Windows Server. En ese caso,
es probable que la velocidad de descarga sea mejor que la de carga. La nube por niveles
actúa una vez cada hora para evacuar el contenido del disco local de Windows Server,
que se ha sincronizado.
También puede experimentar otros problemas de Azure File Sync. Si esto sucede,
consulte Guía de solución de problemas de Azure File Sync.
U Precaución
Aunque es deseable copiar lo más rápido posible, tenga en cuenta el uso de la red
local y el dispositivo NAS en otras tareas que suelen ser críticas para la empresa.
Copiar lo más rápido posible podría no ser deseable si existe el riesgo de que la
migración acapare los recursos disponibles.
/IPG:n no se puede usar para limitar la red a un número exacto de megabits por
Velocidad de procesamiento
RoboCopy recorrerá el espacio de nombres al que se apunta y evaluará cada archivo y
carpeta con fines de copia. Los archivos se evaluarán durante una copia inicial y durante
las copias de puesta al día. Por ejemplo, ejecuciones repetidas de RoboCopy/MIR en las
mismas ubicaciones de almacenamiento de origen y de destino. Estas ejecuciones
repetidas son útiles para minimizar el tiempo de inactividad de los usuarios y las
aplicaciones, así como para mejorar la tasa de éxito general de los archivos migrados.
A menudo, el ancho de banda suele considerarse como el factor más restrictivo en una
migración, algo que puede ser cierto. Pero la posibilidad de enumerar un espacio de
nombres puede influir en el tiempo total de copia para espacios de nombres más largos
con archivos más pequeños. Tenga en cuenta que copiar 1 TiB de archivos pequeños
tardará mucho más que copiar 1 TiB de un número inferior de archivos de mayor
tamaño, si se supone que todas las demás variables permanecen iguales. Por lo tanto, es
posible que se experimente una transferencia lenta si va a migrar una gran cantidad de
archivos pequeños. Este es un comportamiento esperado.
Sugerencia
Regla general: la primera ejecución de RoboCopy, que moverá una gran cantidad
de datos de una red de mayor latencia, se beneficia del aprovisionamiento excesivo
del número de subprocesos ( /MT:n ). Las ejecuciones posteriores copiarán menos
diferencias y es más probable que se cambie de un rendimiento restringido de red
a otro restringido por proceso. En estas circunstancias, a menudo es mejor que el
número de subprocesos de robocopy coincida con los subprocesos disponibles
realmente en la máquina. El aprovisionamiento excesivo en ese escenario puede
generar más cambios de contexto en el procesador, lo que podría ralentizar la
copia.
Otro aspecto importante es usar la herramienta RoboCopy de forma eficaz. Con el script
de RoboCopy recomendado, se creará y guardará un archivo de registro de los errores.
Es normal que puedan producirse errores de copia. Estos errores suelen hacer que sea
necesario ejecutar varias rondas de una herramienta de copia como RoboCopy. Una
ejecución inicial, por ejemplo, de un dispositivo NAS a DataBox o de un servidor a un
recurso compartido de archivos de Azure. Y una o varias ejecuciones adicionales con el
modificador /MIR para identificar los archivos que no se han copiado y volver a
intentarlo.
/R:n n = la frecuencia con la que se vuelve a intentar copiar un archivo con errores
/W:n n = el número de segundos que hay que esperar entre reintentos
/R:5 /W:5 es un valor razonable que puede ajustar a su gusto. En este ejemplo, un
archivo con errores se intentará volver a copiar cinco veces, con un tiempo de espera de
cinco segundos entre un reintento y otro. Si el archivo sigue sin copiarse, el siguiente
trabajo de RoboCopy lo volverá a intentar. A menudo, los archivos que generan errores
por estar en uso o debido a problemas de tiempo de espera se pueden copiar
correctamente de esta manera.
seguridad. Este conmutador permite que Robocopy mueva los archivos para los que el
usuario actual no tiene permisos.
) Importante
Si tiene previsto usar /LFSM , RoboCopy debe ejecutarse en el servidor de Azure File
Sync con Windows Server 2022 de destino.
Tenga en cuenta también que, con /LFSM , también debe usar una ruta de acceso local
para el destino, no una UNC. Por ejemplo, como ruta de acceso de destino, debe usar
E:\NombreDeLaCarpeta en lugar de una ruta de acceso UNC como
\\ServerName\NombreDeLaCarpeta.
U Precaución
Vínculos pertinentes
Contenido de migración:
Para información sobre cómo ver las claves de acceso a la cuenta y copiar una cadena
de conexión, consulte Administración de las claves de acceso de la cuenta de
almacenamiento.
) Importante
Para evitar que los usuarios accedan a los datos de la cuenta de almacenamiento
con una clave compartida, puede impedir la autorización con clave compartida
para la cuenta de almacenamiento. Se recomienda un acceso granular a los datos
con privilegios mínimos necesarios como procedimiento recomendado de
seguridad. La autorización basada en Microsoft Entra ID se debe usar para
escenarios que admiten OAuth. Kerberos o SMTP se deben usar para Azure Files a
través de SMB. Para Azure Files a través de REST, se pueden usar tokens de SAS. El
acceso a la clave compartida debe deshabilitarse si no es necesario para evitar su
uso accidental. Para obtener más información, consulte Impedir la autorización
con clave compartida para una cuenta de Azure Storage.
Para proteger una cuenta de Azure Storage con las directivas de acceso condicional
de Microsoft Entra, no debe permitir la autorización de clave compartida para la
cuenta de almacenamiento.
Puede almacenar las claves de la cuenta de forma segura en Azure Key Vault. Para
obtener más información, consulte Acerca de las claves de cuentas de
almacenamiento administradas de Azure Key Vault.
Puede almacenar la cadena de conexión en una variable de entorno.
Una aplicación puede almacenar la cadena de conexión en un archivo app.config o
web.config. Agregue la cadena de conexión a la sección AppSettings en estos
archivos.
2 Advertencia
Almacenar las claves de acceso o la cadena de conexión de su cuenta en texto no
cifrado supone un riesgo de seguridad y no se recomienda. Almacene las claves de
la cuenta en un formato cifrado o migre las aplicaciones para usar la autorización
de Microsoft Entra para acceder a la cuenta de almacenamiento.
7 Nota
DefaultEndpointsProtocol=http;AccountName=devstoreaccount1;
AccountKey=Eby8vdM02xNOcqFlqUwJPLlmEtlCDXJ1OUzFT50uSRZ6IFsuFq2UVErCz4I6tq/K1
SZFPTOtr/KBHBeksoGMGw==;
BlobEndpoint=http://127.0.0.1:10000/devstoreaccount1;
QueueEndpoint=http://127.0.0.1:10001/devstoreaccount1;
TableEndpoint=http://127.0.0.1:10002/devstoreaccount1;
El siguiente fragmento de código de .NET muestra cómo se puede usar el acceso directo
desde un método que toma una cadena de conexión. Por ejemplo, el constructor
BlobContainerClient(String, String) toma una cadena de conexión.
C#
Para obtener más información sobre Azurite, consulte Uso del emulador de Azurite para
el desarrollo local de Azure Storage.
DefaultEndpointsProtocol=
[http|https];AccountName=myAccountName;AccountKey=myAccountKey
DefaultEndpointsProtocol=https;AccountName=storagesample;AccountKey=<account-key>
Aunque Azure Storage admite HTTP y HTTPS en una cadena de conexión, se recomienda
encarecidamente utilizar HTTPS.
Sugerencia
Para crear una cadena de conexión que incluya una firma de acceso compartido,
especifique la cadena con el siguiente formato:
BlobEndpoint=myBlobEndpoint;
QueueEndpoint=myQueueEndpoint;
TableEndpoint=myTableEndpoint;
FileEndpoint=myFileEndpoint;
SharedAccessSignature=sasToken
7 Nota
BlobEndpoint=https://storagesample.blob.core.windows.net;
SharedAccessSignature=sv=2015-04-05&sr=b&si=tutorial-policy-
635959936145100803&sig=9aCzs76n0E7y5BpEi2GvsSv433BZa22leDOZXX%2BXXIU%3D
BlobEndpoint=https://storagesample.blob.core.windows.net;
SharedAccessSignature=sv=2015-04-05&sr=b&si=tutorial-policy-
635959936145100803&sig=9aCzs76n0E7y5BpEi2GvsSv433BZa22leDOZXX%2BXXIU%3D
BlobEndpoint=https://storagesample.blob.core.windows.net;
FileEndpoint=https://storagesample.file.core.windows.net;
SharedAccessSignature=sv=2015-07-
08&sig=iCvQmdZngZNW%2F4vw43j6%2BVz6fndHF5LI639QJba4r8o%3D&spr=https&st=2016-
04-12T03%3A24%3A31Z&se=2016-04-13T03%3A29%3A31Z&srt=s&ss=bf&sp=rwl
BlobEndpoint=https://storagesample.blob.core.windows.net;
FileEndpoint=https://storagesample.file.core.windows.net;
SharedAccessSignature=sv=2015-07-
08&sig=iCvQmdZngZNW%2F4vw43j6%2BVz6fndHF5LI639QJba4r8o%3D&spr=https&
amp;st=2016-04-12T03%3A24%3A31Z&se=2016-04-
13T03%3A29%3A31Z&srt=s&ss=bf&sp=rwl
Creación de una cadena de conexión para un
punto de conexión de Storage explícito
En una cadena de conexión se pueden especificar puntos de conexión de servicio
explícitos, en lugar de usar los predeterminados. Para crear una cadena de conexión que
especifique un punto de conexión explícito, especifique el punto de conexión de servicio
completo para cada servicio, incluida la especificación de protocolo (HTTPS
(recomendado) o HTTP) con el formato siguiente:
DefaultEndpointsProtocol=[http|https];
BlobEndpoint=myBlobEndpoint;
FileEndpoint=myFileEndpoint;
QueueEndpoint=myQueueEndpoint;
TableEndpoint=myTableEndpoint;
AccountName=myAccountName;
AccountKey=myAccountKey
Este ejemplo especifica puntos de conexión explícitos para todos los servicios, lo que
incluye un dominio personalizado para Blob service:
Los valores del punto de conexión de una cadena de conexión se usan para construir los
identificadores URI de solicitud para los servicios de Storage e indicar el formato de los
identificadores URI que se devuelven al código.
Para más información sobre cómo configurar un dominio personalizado para Azure
Storage, consulte Asignación de un dominio personalizado a un punto de conexión de
Azure Blob Storage.
) Importante
Los valores del punto de conexión de servicio de las cadenas de conexión deben
ser identificadores URI con el formato correcto, entre los que se incluyen https://
(recomendado) o http:// .
DefaultEndpointsProtocol=[http|https];
AccountName=myAccountName;
AccountKey=myAccountKey;
EndpointSuffix=mySuffix;
He aquí un ejemplo de cadena de conexión para servicios de almacenamiento en Azure
operados por 21Vianet:
DefaultEndpointsProtocol=https;
AccountName=storagesample;
AccountKey=<account-key>;
EndpointSuffix=core.chinacloudapi.cn;
Pasos siguientes
Grant limited access to Azure Storage resources using shared access signatures
(SAS) (Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso
compartido [SAS])
Uso del emulador Azurite para el desarrollo local de Azure Storage
Desarrollo para Azure Files con .NET
Artículo • 06/05/2023
Aprenda los conceptos básicos de desarrollar aplicaciones .NET que usen Azure Files
para almacenar datos. En este artículo se muestra cómo crear una aplicación de consola
simple para hacer lo siguiente con .NET y Azure Files:
Para obtener más información acerca de Azure Files, consulte ¿Qué es Azure Files?.
Sugerencia
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
En Visual Studio, cree una nueva aplicación de consola de Windows. Los siguientes
pasos muestran cómo crear una aplicación de consola en Visual Studio 2019. Los pasos
son similares en otras versiones de Visual Studio.
Agregue todos los ejemplos de código en este artículo a la clase Program en el archivo
Program.cs.
Puede usar NuGet para obtener los paquetes. Siga estos pasos:
Azure.Storage.Blobs
Azure.Storage.Files.Shares
System.Configuration.ConfigurationManager
XML
value="DefaultEndpointsProtocol=https;AccountName=myaccount;AccountKey=mykey
;EndpointSuffix=core.windows.net" />
<add key="StorageAccountName" value="myaccount" />
<add key="StorageAccountKey" value="mykey" />
</appSettings>
</configuration>
7 Nota
C#
using System;
using System.Configuration;
using System.IO;
using System.Threading.Tasks;
using Azure;
using Azure.Storage;
using Azure.Storage.Blobs;
using Azure.Storage.Files.Shares;
using Azure.Storage.Files.Shares.Models;
using Azure.Storage.Sas;
C#
//-------------------------------------------------
// Create a file share
//-------------------------------------------------
public async Task CreateShareAsync(string shareName)
{
// Get the connection string from app settings
string connectionString =
ConfigurationManager.AppSettings["StorageConnectionString"];
C#
//-------------------------------------------------
// Set the maximum size of a share
//-------------------------------------------------
public async Task SetMaxShareSizeAsync(string shareName, int
increaseSizeInGiB)
{
const long ONE_GIBIBYTE = 10737420000; // Number of bytes in 1 gibibyte
El método de ejemplo siguiente devuelve una SAS en un archivo del recurso compartido
especificado.
C#
//-------------------------------------------------
// Create a SAS URI for a file
//-------------------------------------------------
public Uri GetFileSasUri(string shareName, string filePath, DateTime
expiration, ShareFileSasPermissions permissions)
{
// Get the account details from app settings
string accountName =
ConfigurationManager.AppSettings["StorageAccountName"];
string accountKey =
ConfigurationManager.AppSettings["StorageAccountKey"];
// Expires in 24 hours
ExpiresOn = expiration
};
Copiar archivos
A partir de la versión 5.x de la biblioteca cliente de Azure Files, puede copiar un archivo
en otro, un archivo en un blob o un blob en un archivo.
También puede usar AzCopy para copiar un archivo en otro o para copiar un blob en un
archivo o viceversa. Consulte Introducción a AzCopy.
7 Nota
C#
//-------------------------------------------------
// Copy file within a directory
//-------------------------------------------------
public async Task CopyFileAsync(string shareName, string sourceFilePath,
string destFilePath)
{
// Get the connection string from app settings
string connectionString =
ConfigurationManager.AppSettings["StorageConnectionString"];
if (await destFile.ExistsAsync())
{
Console.WriteLine($"{sourceFile.Uri} copied to {destFile.Uri}");
}
}
}
C#
//-------------------------------------------------
// Copy a file from a share to a blob
//-------------------------------------------------
public async Task CopyFileToBlobAsync(string shareName, string
sourceFilePath, string containerName, string blobName)
{
// Get a file SAS from the method created ealier
Uri fileSasUri = GetFileSasUri(shareName, sourceFilePath,
DateTime.UtcNow.AddHours(24), ShareFileSasPermissions.Read);
await destBlob.StartCopyFromUriAsync(sourceFile.Uri);
if (await destBlob.ExistsAsync())
{
Console.WriteLine($"File {sourceFile.Name} copied to blob
{destBlob.Name}");
}
}
}
C#
//-------------------------------------------------
// Create a share snapshot
//-------------------------------------------------
public async Task CreateShareSnapshotAsync(string shareName)
{
// Get the connection string from app settings
string connectionString =
ConfigurationManager.AppSettings["StorageConnectionString"];
// Instatiate a ShareServiceClient
ShareServiceClient shareServiceClient = new
ShareServiceClient(connectionString);
C#
//-------------------------------------------------
// List the snapshots on a share
//-------------------------------------------------
public void ListShareSnapshots()
{
// Get the connection string from app settings
string connectionString =
ConfigurationManager.AppSettings["StorageConnectionString"];
// Instatiate a ShareServiceClient
ShareServiceClient shareServiceClient = new
ShareServiceClient(connectionString);
C#
//-------------------------------------------------
// List the snapshots on a share
//-------------------------------------------------
public void ListSnapshotContents(string shareName, string snapshotTime)
{
// Get the connection string from app settings
string connectionString =
ConfigurationManager.AppSettings["StorageConnectionString"];
// Instatiate a ShareServiceClient
ShareServiceClient shareService = new
ShareServiceClient(connectionString);
// Get a ShareClient
ShareClient share = shareService.GetShareClient(shareName);
Console.WriteLine($"Share: {share.Name}");
//-------------------------------------------------
// Recursively list a directory tree
//-------------------------------------------------
public void ListDirTree(ShareDirectoryClient dir)
{
// List the files and directories in the snapshot
foreach (ShareFileItem item in dir.GetFilesAndDirectories())
{
if (item.IsDirectory)
{
Console.WriteLine($"Directory: {item.Name}");
ShareDirectoryClient subDir =
dir.GetSubdirectoryClient(item.Name);
ListDirTree(subDir);
}
else
{
Console.WriteLine($"File: {dir.Name}\\{item.Name}");
}
}
}
C#
//-------------------------------------------------
// Restore file from snapshot
//-------------------------------------------------
public async Task RestoreFileFromSnapshot(string shareName, string
directoryName, string fileName, string snapshotTime)
{
// Get the connection string from app settings
string connectionString =
ConfigurationManager.AppSettings["StorageConnectionString"];
// Instatiate a ShareServiceClient
ShareServiceClient shareService = new
ShareServiceClient(connectionString);
// Get a ShareClient
ShareClient share = shareService.GetShareClient(shareName);
C#
//-------------------------------------------------
// Delete a snapshot
//-------------------------------------------------
public async Task DeleteSnapshotAsync(string shareName, string snapshotTime)
{
// Get the connection string from app settings
string connectionString =
ConfigurationManager.AppSettings["StorageConnectionString"];
// Instatiate a ShareServiceClient
ShareServiceClient shareService = new
ShareServiceClient(connectionString);
// Get a ShareClient
ShareClient share = shareService.GetShareClient(shareName);
try
{
// Delete the snapshot
await snapshotShare.DeleteIfExistsAsync();
}
catch (RequestFailedException ex)
{
Console.WriteLine($"Exception: {ex.Message}");
Console.WriteLine($"Error code: {ex.Status}\t{ex.ErrorCode}");
}
}
Puede habilitar las métricas para Azure Files mediante Azure Portal . La métrica
también se puede habilitar mediante programación. Para ello, hay que llamar a la
operación Set File Service Properties con la API de REST o una de sus análogas de la
biblioteca cliente de Azure Files.
//-------------------------------------------------
// Use metrics
//-------------------------------------------------
public async Task UseMetricsAsync()
{
// Get the connection string from app settings
string connectionString =
ConfigurationManager.AppSettings["StorageConnectionString"];
// Instatiate a ShareServiceClient
ShareServiceClient shareService = new
ShareServiceClient(connectionString);
Pasos siguientes
Para más información acerca de Azure Files, consulte los siguientes recursos:
Referencia
API de Azure Storage para .NET
File Service REST API (API de REST de File Service)
Para obtener ejemplos de código relacionados con los SDK de .NET versión 11.x en
desuso, consulte Ejemplos de código con la versión 11.x de .NET.
Desarrollo con Java para Azure Files
Artículo • 06/05/2023
Aprenda los conceptos básicos de desarrollar aplicaciones de Java que usen Azure Files
para almacenar datos. Cree una aplicación de consola y aprenda las acciones básicas
sobre el uso de las API de Azure Files:
Sugerencia
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Java
Java
Java
Java
shareClient.create();
return true;
}
catch (Exception e)
{
System.out.println("createFileShare exception: " + e.getMessage());
return false;
}
}
Java
shareClient.delete();
return true;
}
catch (Exception e)
{
System.out.println("deleteFileShare exception: " + e.getMessage());
return false;
}
}
Creación de un directorio
Para organizar el almacenamiento, coloque los archivos en los subdirectorios, en lugar
de mantenerlos todos en el directorio raíz.
Java
dirClient.create();
return true;
}
catch (Exception e)
{
System.out.println("createDirectory exception: " + e.getMessage());
return false;
}
}
Eliminación de un directorio
Eliminar un directorio es una tarea sencilla. No se puede eliminar un directorio que
todavía contenga archivos o subdirectorios.
Java
public static Boolean deleteDirectory(String connectStr, String shareName,
String dirName)
{
try
{
ShareDirectoryClient dirClient = new ShareFileClientBuilder()
.connectionString(connectStr).shareName(shareName)
.resourcePath(dirName)
.buildDirectoryClient();
dirClient.delete();
return true;
}
catch (Exception e)
{
System.out.println("deleteDirectory exception: " + e.getMessage());
return false;
}
}
Java
dirClient.listFilesAndDirectories().forEach(
fileRef -> System.out.printf("Resource: %s\t Directory? %b\n",
fileRef.getName(), fileRef.isDirectory())
);
return true;
}
catch (Exception e)
{
System.out.println("enumerateFilesAndDirs exception: " +
e.getMessage());
return false;
}
}
Cargar un archivo
Obtenga información sobre cómo cargar un archivo desde el almacenamiento local.
El código siguiente carga un archivo local en Azure Files mediante una llamada al
método ShareFileClient.uploadFromFile. El método de ejemplo siguiente devuelve un
valor Boolean que indica si el archivo especificado se cargó correctamente.
Java
Descarga de un archivo
Una de las operaciones más frecuentes es descargar archivos de un recurso compartido
de archivos de Azure.
En el siguiente ejemplo se descarga el archivo especificado en el directorio local
especificado en el parámetro destDir. El método de ejemplo hace que el nombre de
archivo descargado sea único al anteponer la fecha y la hora.
Java
fileClient.downloadToFile(destPath);
return true;
}
catch (Exception e)
{
System.out.println("downloadFile exception: " + e.getMessage());
return false;
}
}
Eliminación de un archivo
Otra operación habitual en Azure Files es la eliminación de archivos.
Java
Pasos siguientes
Si desea obtener más información acerca de otras API de almacenamiento de Azure,
siga estos vínculos.
Para ver ejemplos de código relacionados que usan SDK de la versión 8 de Java en
desuso, consulte Ejemplos de código que usan la versión 8 de Java.
Desarrollo con C++ para Azure Files
Artículo • 30/03/2023
Sugerencia
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
7 Nota
Dado que se puede acceder a Azure Files a través de SMB, es posible escribir
aplicaciones sencillas que accedan al recurso compartido de archivos de Azure
mediante las clases y funciones estándar de E/S de C++. En este artículo se
describe cómo escribir aplicaciones que utilizan el SDK de C++ de Azure Storage,
que usa la API de REST de archivos para comunicarse con Azure Files.
Requisitos previos
Suscripción de Azure
Cuenta de Almacenamiento de Azure
Compilador de C++
CMake
Vcpkg: administrador de paquetes de C y C++
Instalación
En esta sección se explica cómo preparar un proyecto para que funcione con la
versión 12 de la biblioteca cliente de Azure Blob Storage para C++.
Consola
Para más información, visite GitHub para adquirir y crear el SDK de Azure para C++ .
Crear el proyecto
En Visual Studio, cree una aplicación de consola de C++ para Windows llamada
FilesShareQuickstartV12.
Copia de las credenciales desde Azure Portal
Cuando la aplicación de ejemplo realiza una solicitud a Azure Storage, debe estar
autorizada. Para autorizar una solicitud, agregue a la aplicación las credenciales de la
cuenta de almacenamiento en forma de cadena de conexión. Para ver las credenciales
de la cuenta de almacenamiento, siga estos pasos:
Windows
Después de agregar la variable de entorno en Windows, debe iniciar una nueva instancia
de la ventana de comandos.
Reiniciar programas
Después de agregar la variable de entorno, reinicie todos los programas en ejecución
que necesiten leer esta variable. Por ejemplo, reinicie el entorno de desarrollo o el editor
antes de continuar.
Ejemplos de código
Estos fragmentos de código de ejemplo muestran cómo realizar las siguientes tareas
con la biblioteca cliente de recursos compartidos de archivos de Azure para C++:
C++
#include <iostream>
#include <stdlib.h>
#include <vector>
#include <azure/storage/files/shares.hpp>
C++
// Retrieve the connection string for use with the application. The
storage
// connection string is stored in an environment variable on the
machine
// running the application called AZURE_STORAGE_CONNECTION_STRING.
// Note that _MSC_VER is set when using MSVC compiler.
static const char* AZURE_STORAGE_CONNECTION_STRING =
"AZURE_STORAGE_CONNECTION_STRING";
#if !defined(_MSC_VER)
const char* connectionString =
std::getenv(AZURE_STORAGE_CONNECTION_STRING);
#else
// Use getenv_s for MSVC
size_t requiredSize;
getenv_s(&requiredSize, NULL, NULL,
AZURE_STORAGE_CONNECTION_STRING);
if (requiredSize == 0) {
throw std::runtime_error("missing connection string from env.");
}
std::vector<char> value(requiredSize);
getenv_s(&requiredSize, value.data(), value.size(),
AZURE_STORAGE_CONNECTION_STRING);
std::string connectionStringStr = std::string(value.begin(),
value.end());
const char* connectionString = connectionStringStr.c_str();
#endif
C++
// Create the files share. This will do nothing if the files share already
exists.
std::cout << "Creating files share: " << shareName << std::endl;
shareClient.CreateIfNotExists();
C++
C++
C++
Descarga de archivos
Una vez recuperadas las propiedades del archivo en Enumeración de los metadatos de
un archivo, se crea un nuevo objeto std::vector<uint8_t> con las propiedades del
archivo cargado. Descargue el archivo que ha creado anteriormente en el nuevo objeto
std::vector<uint8_t> , para llo, llame a la función DownloadTo en la clase base
ShareFileClient . Por último, muestre los datos del archivo descargado.
C++
std::vector<uint8_t> fileDownloaded(properties.FileSize);
fileClient.DownloadTo(fileDownloaded.data(), fileDownloaded.size());
Eliminación de un archivo
El código siguiente elimina el archivo del recurso compartido de archivos de Azure
Storage, para lo que llama a la función ShareFileClient.Delete .
C++
C++
std::cout << "Deleting files share: " << shareName << std::endl;
shareClient.DeleteIfExists();
Ejecución del código
Esta aplicación crea un contenedor y carga un archivo de texto en Azure Blob Storage.
Luego, en el ejemplo se enumeran los blobs del contenedor, se descarga el archivo y se
muestra su contenido. Por último, la aplicación elimina tanto el blob como el
contenedor.
Resultados
Pasos siguientes
En este inicio rápido ha aprendido a cargar, descargar y enumerar archivos mediante
C++. También ha aprendido a crear y eliminar un recurso compartido de archivos de
Azure Storage.
Para ver un ejemplo de Blob Storage para C++, siga estos pasos:
Ejemplos de SDK del recurso compartido de archivos de Azure Storage v12 para
C++
Desarrollo para Azure Files con Python
Artículo • 13/10/2023
Conozca los aspectos básicos del uso de Python para desarrollar aplicaciones o servicios
que usan Azure Files para almacenar datos de archivos. Cree una aplicación de consola y
aprenda a realizar acciones básicas con Python y Azure Files:
7 Nota
Dado que se puede acceder a Azure Files a través de SMB, es posible escribir
aplicaciones simples que accedan al recurso compartido de archivos de Azure
mediante las clases y funciones estándar de E/S de Python. En este artículo se
describe cómo escribir aplicaciones que usen el SDK de Python de Azure Storage,
que emplea la API REST de Azure Files para comunicarse con Azure Files.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
7 Nota
Si va a actualizar desde el SDK de Azure Storage para Python 0.36 o una versión
anterior, desinstale el SDK anterior mediante pip uninstall azure-storage antes de
instalar el paquete más reciente.
Consola
Python
Python
Python
Creación de un directorio
Para organizar el almacenamiento, coloque los archivos en los subdirectorios, en lugar
de mantenerlos todos en el directorio raíz.
Python
Python
Python
Descarga de un archivo
Para descargar los datos de un archivo, use download_file.
Python
# Create a snapshot
snapshot = share_client.create_snapshot()
print("Created snapshot:", snapshot["snapshot"])
Python
Python
print("Snapshot:", snapshot_time)
Python
Python
Eliminación de un archivo
Para eliminar un archivo, llame a delete_file.
Python
Python
Pasos siguientes
Ahora que ha aprendido a manipular Azure Files con Python, siga estos vínculos para
obtener más información.
Para ver ejemplos de código relacionados que usan los SDK de la versión 2 en desuso
de Python, consulte Ejemplos de código que usan la versión 2 de Python.
Determinación del modelo de clave de
cifrado de Azure Storage que está en
uso para la cuenta de almacenamiento
Artículo • 01/06/2023
Además, puede proporcionar una clave de cifrado en el nivel de una solicitud individual
para algunas operaciones de Blob Storage. Si se especifica una clave de cifrado en la
solicitud, esta invalida la clave de cifrado que está activa en la cuenta de
almacenamiento. Para más información, consulte Especificación de una clave
proporcionada por el cliente en una solicitud a Blob Storage.
Para más información sobre claves de cifrado, consulte Cifrado de Azure Storage para
datos en reposo.
Azure Portal
Pasos siguientes
Cifrado de Azure Storage para datos en reposo
Claves administradas por el cliente para el cifrado de Azure Storage
Configuración de claves administradas
por el cliente en el mismo inquilino para
una nueva cuenta de almacenamiento
Artículo • 23/03/2023
Azure Storage cifra todos los datos de las cuentas de almacenamiento en reposo. De
manera predeterminada, los datos se cifran con claves administradas por Microsoft. Para
tener un mayor control sobre las claves de cifrado, puede administrar sus propias claves.
Las claves administradas por el cliente deben estar almacenadas en Azure Key Vault o en
el modelo de seguridad de hardware (HSM) administrado de Azure Key Vault.
En este artículo se muestra cómo configurar el cifrado con claves administradas por el
cliente en el momento en que se crea una nueva cuenta de almacenamiento. Las claves
administradas por el cliente se almacenan en un almacén de claves.
Para aprender a configurar claves administradas por el cliente para una cuenta de
almacenamiento existente, consulte Configuración de claves administradas por el cliente
en un almacén de claves de Azure para una cuenta de almacenamiento existente.
7 Nota
Azure Key Vault y HSM administrado por Azure Key Vault admiten las mismas API e
interfaces de administración para la configuración de claves administradas por el
cliente. Cualquier acción que se admita para Azure Key Vault también se admite
para HSM administrado por Azure Key Vault.
El uso de claves administradas del cliente con el cifrado de Azure Storage requiere la
eliminación temporal y la protección de purga estén habilitadas en el almacén de claves.
La eliminación temporal está habilitada de manera predeterminada al crear un almacén
de claves y no se puede deshabilitar. Puede habilitar la protección de purga cuando cree
el almacén de claves o después de crearlo.
Azure Key Vault admite la autorización con Azure RBAC mediante un modelo de
permisos de Azure RBAC. Microsoft recomienda usar el modelo de permisos de RBAC de
Azure sobre las directivas de acceso del almacén de claves. Para más información,
consulte Concesión de permisos a las aplicaciones para que accedan a una instancia de
Azure Key Vault mediante Azure RBAC.
Azure Portal
Para obtener información sobre cómo crear un almacén de claves con Azure Portal,
consulte Inicio rápido: Creación de un almacén de claves mediante Azure Portal. Al
crear el almacén de claves, seleccione Habilitar protección de purga, como se
muestra en la siguiente imagen.
Azure Portal
Para obtener información sobre cómo agregar una clave con Azure Portal, consulte
Inicio rápido: Establecimiento y recuperación de una clave de Azure Key Vault
mediante Azure Portal.
Se crea una identidad administrada asignada por el usuario como recurso de Azure
independiente. Para más información sobre las identidades administradas asignadas por
el usuario, consulte Tipos de identidad administrada. Para más información sobre cómo
crear y administrar una identidad administrada asignada por el usuario, consulte
Administración de identidades administradas asignadas por el usuario.
La identidad administrada asignada por el usuario debe tener los permisos para acceder
a la clave en el almacén. Asigne el rol Usuario de cifrado del servicio criptográfico de
Key Vault a la identidad administrada asignada por el usuario con el ámbito del almacén
de claves para conceder estos permisos.
Azure Portal
Para poder configurar claves administradas por el cliente con una identidad
administrada asignada por el usuario, debe asignar el rol de usuario de cifrado de
servicios criptográficos Key Vault a la identidad administrada asignada por el
usuario, con ámbito en el almacén de claves. Este rol concede los permisos de
identidad administrada asignada por el usuario para acceder a la clave del almacén
de claves. Para más información sobre cómo asignar roles de Azure RBAC con Azure
Portal, consulte Asignación de roles de Azure mediante Azure Portal.
Al configurar las claves administradas por el cliente con Azure Portal, puede
seleccionar una identidad asignada por el usuario existente mediante la interfaz de
usuario del portal.
Debe usar una identidad administrada asignada por el usuario existente para autorizar
el acceso al almacén de claves al configurar las claves administradas por el cliente
cuando crea la cuenta de almacenamiento. La identidad administrada asignada por el
usuario debe tener los permisos adecuados para acceder al almacén de claves. Para
obtener más información, consulte Autenticar en Azure Key Vault.
) Importante
Azure Storage comprueba solo una vez al día el almacén de claves para obtener
una nueva versión de la clave. Al girar una clave, asegúrese de esperar 24 horas
antes de deshabilitar la versión anterior.
Azure Portal
Para configurar las claves administradas por el cliente de una nueva cuenta de
almacenamiento con la actualización automática de la versión de clave, siga estos
pasos:
2. Siga los pasos descritos en Crear una cuenta de almacenamiento para rellenar
los campos de las pestañas Conceptos básicos, Opciones avanzadas, Redes y
Protección de datos.
Azure Portal
Para configurar las claves administradas por el cliente con la actualización manual
de la versión de clave en Azure Portal, especifique el URI de la clave, incluida la
versión, al momento de crear la cuenta de almacenamiento. Para especificar una
clave como URI, siga estos pasos:
2. Siga los pasos descritos en Crear una cuenta de almacenamiento para rellenar
los campos de las pestañas Conceptos básicos, Opciones avanzadas, Redes y
Protección de datos.
Cambio de la clave
Puede cambiar la clave que usa para el cifrado de Azure Storage en cualquier momento.
7 Nota
Después de deshabilitar la clave, los clientes no pueden llamar a las operaciones que
leen o escriben en un blob o en sus metadatos. Para obtener información sobre qué
operaciones producirán errores, consulte Revocación del acceso a una cuenta de
almacenamiento que usa claves administradas por el cliente.
U Precaución
Azure Portal
Para deshabilitar una clave administrada por el cliente con Azure Portal, siga estos
pasos:
Azure Portal
Azure Storage cifra todos los datos de las cuentas de almacenamiento en reposo. De
manera predeterminada, los datos se cifran con claves administradas por Microsoft. Para
tener un mayor control sobre las claves de cifrado, puede administrar sus propias claves.
Las claves administradas por el cliente deben estar almacenadas en Azure Key Vault o en
el modelo de seguridad de hardware (HSM) administrado de Azure Key Vault.
En este artículo se muestra cómo configurar el cifrado con claves administradas por el
cliente para una cuenta de almacenamiento existente cuando la cuenta de
almacenamiento y el almacén de claves están en el mismo inquilino. Las claves
administradas por el cliente se almacenan en un almacén de claves.
Para aprender a configurar claves administradas por el cliente para una nueva cuenta de
almacenamiento, consulte Configuración de claves administradas por el cliente en un
almacén de claves de Azure para una cuenta de almacenamiento nueva.
Para obtener información sobre cómo configurar el cifrado con las claves administradas
por el cliente almacenadas en un HSM administrado, consulte Configuración del cifrado
con claves administradas por el cliente almacenadas en HSM administrado de Azure Key
Vault.
7 Nota
Azure Key Vault y HSM administrado por Azure Key Vault admiten las mismas API e
interfaces de administración para la configuración de claves administradas por el
cliente. Cualquier acción que se admita para Azure Key Vault también se admite
para HSM administrado por Azure Key Vault.
El uso de claves administradas del cliente con el cifrado de Azure Storage requiere la
eliminación temporal y la protección de purga estén habilitadas en el almacén de claves.
La eliminación temporal está habilitada de manera predeterminada al crear un almacén
de claves y no se puede deshabilitar. Puede habilitar la protección de purga cuando cree
el almacén de claves o después de crearlo.
Azure Key Vault admite la autorización con Azure RBAC mediante un modelo de
permisos de Azure RBAC. Microsoft recomienda usar el modelo de permisos de RBAC de
Azure sobre las directivas de acceso del almacén de claves. Para más información,
consulte Concesión de permisos a las aplicaciones para que accedan a una instancia de
Azure Key Vault mediante Azure RBAC.
Azure Portal
Para obtener información sobre cómo crear un almacén de claves con Azure Portal,
consulte Inicio rápido: Creación de un almacén de claves mediante Azure Portal. Al
crear el almacén de claves, seleccione Habilitar protección de purga, como se
muestra en la siguiente imagen.
Para habilitar la protección de purga en un almacén de claves existente, siga estos
pasos:
Azure Portal
Para obtener información sobre cómo agregar una clave con Azure Portal, consulte
Inicio rápido: Establecimiento y recuperación de una clave de Azure Key Vault
mediante Azure Portal.
La identidad administrada que autoriza el acceso al almacén de claves puede ser una
identidad administrada asignada por el usuario o por el sistema. Para más información
sobre los tipos de identidad administrada asignada por el sistema y asignada por el
usuario, consulte Tipos de identidad administrada.
Se crea una identidad administrada asignada por el usuario como recurso de Azure
independiente. Para más información sobre las identidades administradas asignadas por
el usuario, consulte Tipos de identidad administrada. Para más información sobre cómo
crear y administrar una identidad administrada asignada por el usuario, consulte
Administración de identidades administradas asignadas por el usuario.
La identidad administrada asignada por el usuario debe tener los permisos para acceder
a la clave en el almacén. Asigne el rol Usuario de cifrado del servicio criptográfico de
Key Vault a la identidad administrada asignada por el usuario con el ámbito del almacén
de claves para conceder estos permisos.
Azure Portal
Para poder configurar claves administradas por el cliente con una identidad
administrada asignada por el usuario, debe asignar el rol de usuario de cifrado de
servicios criptográficos Key Vault a la identidad administrada asignada por el
usuario, con ámbito en el almacén de claves. Este rol concede los permisos de
identidad administrada asignada por el usuario para acceder a la clave del almacén
de claves. Para más información sobre cómo asignar roles de Azure RBAC con Azure
Portal, consulte Asignación de roles de Azure mediante Azure Portal.
Al configurar las claves administradas por el cliente con Azure Portal, puede
seleccionar una identidad asignada por el usuario existente mediante la interfaz de
usuario del portal.
Solo las cuentas de almacenamiento existentes pueden usar una identidad asignada por
el sistema para autorizar el acceso al almacén de claves. Las nuevas cuentas de
almacenamiento deben usar una identidad asignada por el usuario si las claves
administradas por el cliente se configuran durante la creación de las cuentas.
La identidad administrada asignada por el usuario debe tener los permisos para acceder
a la clave del almacén de claves. Asigne el rol Usuario de cifrado de servicios
criptográficos de Key Vault a la identidad administrada asignada por el sistema con el
ámbito del almacén de claves para conceder estos permisos.
Azure Portal
Para poder configurar las claves administradas por el cliente con una identidad
administrada asignada por el sistema, debe asignar el rol Usuario de cifrado de
servicios criptográficos de Key Vault a la identidad administrada asignada por el
sistema, con ámbito en el almacén de claves. Este rol concede los permisos de
identidad administrada asignada por el sistema para acceder a la clave del almacén
de claves. Para más información sobre cómo asignar roles de Azure RBAC con Azure
Portal, consulte Asignación de roles de Azure mediante Azure Portal.
Cuando configura claves administradas por el cliente con Azure Portal con una
identidad administrada asignada por el sistema, esta se asigna en segundo plano a
la cuenta de almacenamiento.
Puede usar una identidad administrada asignada por el sistema o por el usuario para
autorizar el acceso al almacén de claves al configurar las claves administradas por el
cliente para una cuenta de almacenamiento existente.
7 Nota
Para rotar una clave, cree una nueva versión de la misma en Azure Key Vault. Azure
Storage no controla la rotación de claves, por lo que deberá administrar la rotación
de la clave en el almacén de claves. Puede configurar la rotación automática de
claves en Azure Key Vault o rotar la clave de forma manual.
) Importante
Azure Storage comprueba solo una vez al día el almacén de claves para obtener
una nueva versión de la clave. Al girar una clave, asegúrese de esperar 24 horas
antes de deshabilitar la versión anterior.
Azure Portal
Para configurar las claves administradas por el cliente para una cuenta existente con
la actualización automática de la versión de clave en Azure Portal, siga estos pasos:
4. Elija la opción Select from Key Vault (Seleccionar desde almacén de claves).
6. Seleccione el almacén de claves que contiene la clave que desea usar. También
puede crear un almacén de claves.
Azure Portal
Para configurar las claves administradas por el cliente con la actualización manual
de la versión de clave en Azure Portal, especifique el URI de la clave, incluida la
versión. Para especificar una clave como URI, siga estos pasos:
Cambio de la clave
Puede cambiar la clave que usa para el cifrado de Azure Storage en cualquier momento.
7 Nota
Azure Portal
Para cambiar la clave con Azure Portal, haga lo siguiente:
Después de deshabilitar la clave, los clientes no pueden llamar a las operaciones que
leen o escriben en un blob o en sus metadatos. Para obtener información sobre qué
operaciones producirán errores, consulte Revocación del acceso a una cuenta de
almacenamiento que usa claves administradas por el cliente.
U Precaución
Azure Portal
Para deshabilitar una clave administrada por el cliente con Azure Portal, siga estos
pasos:
Azure Portal
Azure Storage cifra todos los datos de las cuentas de almacenamiento en reposo. De
manera predeterminada, los datos se cifran con claves administradas por Microsoft. Para
tener un mayor control sobre las claves de cifrado, puede administrar sus propias claves.
Las claves administradas por el cliente deben estar almacenadas en Azure Key Vault o en
el modelo de seguridad de hardware (HSM) administrado de Azure Key Vault.
En este artículo se muestra cómo configurar el cifrado con claves administradas por el
cliente en el momento en que se crea una nueva cuenta de almacenamiento. En el
escenario entre inquilinos, la cuenta de almacenamiento reside en un inquilino
administrado por un ISV, mientras que la clave usada para el cifrado de esa cuenta de
almacenamiento reside en un almacén de claves de un inquilino administrado por el
cliente.
Para aprender a configurar claves administradas por el cliente para una cuenta de
almacenamiento, consulte Configuración de claves administradas por el cliente entre
inquilinos para una cuenta de almacenamiento existente.
7 Nota
Azure Key Vault y HSM administrado por Azure Key Vault admiten las mismas API e
interfaces de administración para la configuración de claves administradas por el
cliente. Cualquier acción que se admita para Azure Key Vault también se admite
para HSM administrado por Azure Key Vault.
Un usuario con los permisos adecuados instala la aplicación del proveedor de servicios
en el inquilino del cliente Inquilino 2. A continuación, un usuario concede a la entidad de
servicio asociada a la aplicación instalada acceso al almacén de claves del cliente. El
cliente también almacena la clave de cifrado, o la clave administrada por el cliente, en el
almacén de claves. El cliente comparte la ubicación de la clave (la dirección URL de la
clave) con el proveedor de servicios.
Las operaciones de la fase 1 serán una configuración única para la mayoría de las
aplicaciones del proveedor de servicios. Las operaciones de las fases 2 y 3 se repetirán
para cada cliente.
7 Nota
Portal
5. Seleccione Registrar.
El proveedor de servicios crea una identidad administrada
asignada por el usuario.
Cree una identidad administrada asignada por el usuario que se usará como
credencial de identidad federada.
/subscriptions/tttttttt-0000-tttt-0000-
tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/
userAssignedIdentities/ConsotoCMKDemoUA
El usuario que ejecuta los pasos debe ser un administrador con un rol con privilegios,
como Administrador de aplicaciones, Administrador de aplicaciones en la nube o
Administrador global.
Portal
Para crear el almacén de claves, a la cuenta del usuario se le debe asignar el rol
Colaborador de Key Vault u otro rol que permita la creación de un almacén de
claves.
Anote el nombre y el identificador URI del almacén de claves. Las aplicaciones que
acceden al almacén de claves deben usar este identificador URI.
Para crear la clave de cifrado, a la cuenta del usuario se le debe asignar el rol
Agente criptográfico de Key Vault u otro rol que permita la creación de una clave.
Ahora puede configurar claves administradas por el cliente con el URI y la clave del
almacén de claves.
Creación de una nueva cuenta de
almacenamiento cifrada con una clave de otro
inquilino
Hasta este punto, ha configurado la aplicación multiinquilino en el inquilino del ISV,
también ha instalado la aplicación en el inquilino del cliente y configurado tanto el
almacén de claves como la clave en el inquilino del cliente. A continuación, puede crear
una nueva cuenta de almacenamiento en el inquilino del ISV y configurar las claves
administradas por el cliente con la clave del inquilino del cliente.
Debe usar una identidad administrada asignada por el usuario existente para autorizar
el acceso al almacén de claves al configurar las claves administradas por el cliente
cuando crea la cuenta de almacenamiento. La identidad administrada asignada por el
usuario debe tener los permisos adecuados para acceder al almacén de claves. Para
obtener más información, consulte Autenticar en Azure Key Vault.
Al configurar el cifrado con claves administradas por el cliente para una cuenta de
almacenamiento existente, puede optar por actualizar automáticamente la versión de la
clave que se usa para el cifrado de Azure Storage siempre que haya disponible una
versión nueva en el almacén de claves asociado. Para ello, omita la versión de la clave
del identificador URI de la clave. Como alternativa, puede especificar explícitamente la
versión de la clave que se usará para el cifrado hasta que la versión de la clave se
actualice manualmente. La inclusión de la versión de la clave en el URI de la clave
configura las claves administradas por el cliente para la actualización manual de la
versión de la clave.
) Importante
Para rotar una clave, cree una nueva versión de la misma en Azure Key Vault. Azure
Storage no controla la rotación de claves, por lo que deberá administrar la rotación
de la clave en el almacén de claves. Puede configurar la rotación automática de
claves en Azure Key Vault o rotar la clave de forma manual.
Azure Storage comprueba solo una vez al día el almacén de claves para obtener
una nueva versión de la clave. Al girar una clave en Azure Key Vault, asegúrese de
esperar 24 horas antes de deshabilitar la versión anterior.
Azure Portal
Para configurar las claves administradas por el cliente entre inquilinos para una
cuenta de almacenamiento nueva en Azure Portal:
2. Siga los pasos descritos en Crear una cuenta de almacenamiento para rellenar
los campos de las pestañas Conceptos básicos, Opciones avanzadas, Redes y
Protección de datos.
También puede configurar las claves administradas por el cliente con la actualización
manual de las versiones de la clave cuando crea una cuenta de almacenamiento. Para
ello, incluya la versión de la clave al especificar el URI de la clave.
Cambio de la clave
Puede cambiar la clave que usa para el cifrado de Azure Storage en cualquier momento.
7 Nota
Azure Portal
Después de deshabilitar la clave, los clientes no pueden llamar a las operaciones que
leen o escriben en un blob o en sus metadatos. Para obtener información sobre qué
operaciones producirán errores, consulte Revocación del acceso a una cuenta de
almacenamiento que usa claves administradas por el cliente.
U Precaución
Azure Portal
Para deshabilitar una clave administrada por el cliente con Azure Portal, siga estos
pasos:
Azure Portal
Azure Storage cifra todos los datos de las cuentas de almacenamiento en reposo. De
manera predeterminada, los datos se cifran con claves administradas por Microsoft. Para
tener un mayor control sobre las claves de cifrado, puede administrar sus propias claves.
Las claves administradas por el cliente deben estar almacenadas en Azure Key Vault o en
el modelo de seguridad de hardware (HSM) administrado de Azure Key Vault.
En este artículo se muestra cómo configurar el cifrado con claves administradas por el
cliente para una cuenta de almacenamiento existente. En el escenario entre inquilinos, la
cuenta de almacenamiento reside en un inquilino administrado por un ISV, mientras que
la clave usada para el cifrado de esa cuenta de almacenamiento reside en un almacén
de claves de un inquilino administrado por el cliente.
Para aprender a configurar claves administradas por el cliente para una nueva cuenta de
almacenamiento, consulte Configuración de claves administradas por el cliente entre
inquilinos para una nueva cuenta de almacenamiento.
7 Nota
Azure Key Vault y HSM administrado por Azure Key Vault admiten las mismas API e
interfaces de administración para la configuración de claves administradas por el
cliente. Cualquier acción que se admita para Azure Key Vault también se admite
para HSM administrado por Azure Key Vault.
Un usuario con los permisos adecuados instala la aplicación del proveedor de servicios
en el inquilino del cliente (Tenant2). A continuación, un usuario concede a la entidad de
servicio asociada a la aplicación instalada acceso al almacén de claves del cliente. El
cliente también almacena la clave de cifrado, o la clave administrada por el cliente, en el
almacén de claves. El cliente comparte la ubicación de la clave (la dirección URL de la
clave) con el proveedor de servicios.
Las operaciones de la fase 1 serán una configuración única para la mayoría de las
aplicaciones del proveedor de servicios. Las operaciones de las fases 2 y 3 se repetirán
para cada cliente.
2. Cree una instancia de Azure Key Vault y Se debe asignar a un usuario el Ninguno
una clave usada como clave rol Colaborador de Key Vault
administrada por el cliente. para crear el almacén de claves
Portal
5. Seleccione Registrar.
/subscriptions/tttttttt-0000-tttt-0000-
tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/
userAssignedIdentities/ConsotoCMKDemoUA
7. En Detalles de la credencial, proporcione un nombre y una descripción
opcional para la credencial y seleccione Agregar.
El usuario que ejecuta los pasos debe ser un administrador con un rol con privilegios,
como Administrador de aplicaciones, Administrador de aplicaciones en la nube o
Administrador global.
Portal
Para crear el almacén de claves, a la cuenta del usuario se le debe asignar el rol
Colaborador de Key Vault u otro rol que permita la creación de un almacén de
claves.
Anote el nombre y el identificador URI del almacén de claves. Las aplicaciones que
acceden al almacén de claves deben usar este identificador URI.
Ahora puede configurar claves administradas por el cliente con el URI y la clave del
almacén de claves.
Al configurar el cifrado con claves administradas por el cliente para una cuenta de
almacenamiento existente, puede optar por actualizar automáticamente la versión de la
clave que se usa para el cifrado de Azure Storage siempre que haya disponible una
versión nueva en el almacén de claves asociado. Para ello, omita la versión de la clave
del identificador URI de la clave. Como alternativa, puede especificar explícitamente la
versión de la clave que se usará para el cifrado hasta que la versión de la clave se
actualice manualmente. La inclusión de la versión de la clave en el URI de la clave
configura las claves administradas por el cliente para la actualización manual de la
versión de la clave.
) Importante
Para rotar una clave, cree una nueva versión de la misma en Azure Key Vault. Azure
Storage no controla la rotación de claves, por lo que deberá administrar la rotación
de la clave en el almacén de claves. Puede configurar la rotación automática de
claves en Azure Key Vault o rotar la clave de forma manual.
Azure Storage comprueba solo una vez al día el almacén de claves para obtener
una nueva versión de la clave. Al girar una clave en Azure Key Vault, asegúrese de
esperar 24 horas antes de deshabilitar la versión anterior.
Azure Portal
Para configurar las claves administradas por el cliente entre inquilinos para una
cuenta de almacenamiento existente en Azure Portal, siga estos pasos:
4. Elija la opción Select from Key Vault (Seleccionar desde almacén de claves).
7 Nota
Azure Portal
Después de deshabilitar la clave, los clientes no pueden llamar a las operaciones que
leen o escriben en un blob o en sus metadatos. Para obtener información sobre qué
operaciones producirán errores, consulte Revocación del acceso a una cuenta de
almacenamiento que usa claves administradas por el cliente.
U Precaución
Azure Portal
Para deshabilitar una clave administrada por el cliente con Azure Portal, siga estos
pasos:
Azure Portal
Consulte también
Claves administradas por el cliente para el cifrado de Azure Storage
Configuración de claves administradas por el cliente entre inquilinos para una
nueva cuenta de almacenamiento
Configuración del cifrado con claves
administradas por el cliente
almacenadas en HSM administrado de
Azure Key Vault.
Artículo • 01/06/2023
Azure Storage cifra todos los datos de las cuentas de almacenamiento en reposo. De
manera predeterminada, los datos se cifran con claves administradas por Microsoft. Para
tener un mayor control sobre las claves de cifrado, puede administrar sus propias claves.
Las claves administradas por el cliente deben estar almacenadas en Azure Key Vault o en
el modelo de seguridad de hardware (HSM) administrado de Azure Key Vault. Un HSM
administrado de Azure Key Vault es un HSM validado de FIPS 140-2 de nivel 3.
En este artículo se muestra cómo configurar el cifrado con claves administradas por el
cliente almacenadas en un HSM administrado mediante la CLI de Azure. Para obtener
información sobre cómo configurar el cifrado con las claves administradas por el cliente
almacenadas en un almacén de claves, consulte Configuración del cifrado con claves
administradas por el cliente almacenadas en Azure Key Vault.
7 Nota
Azure Key Vault y HSM administrado de Azure Key Vault admiten las mismas API e
interfaces de administración para la configuración.
Para asignar una identidad administrada mediante la CLI de Azure, llame al comando az
storage account update. No olvide reemplazar los valores del marcador de posición
entre corchetes con sus propios valores:
Azure CLI
Para crear la asignación de roles para la cuenta de almacenamiento, llame a az key vault
role assignment create. No olvide reemplazar los valores del marcador de posición entre
corchetes con sus propios valores.
Azure CLI
Instale la CLI de Azure 2.12.0 o posterior para configurar el cifrado con el fin de usar una
clave administrada por el cliente en un HSM administrado. Para más información,
consulte Instalación de la CLI de Azure.
las claves administradas por el cliente para la cuenta. No olvide reemplazar los valores
del marcador de posición entre corchetes con sus propios valores.
Azure CLI
Para actualizar manualmente la versión de una clave administrada por el cliente, incluya
la versión de la clave al configurar el cifrado para la cuenta de almacenamiento:
Azure CLI
Pasos siguientes
Cifrado de Azure Storage para datos en reposo
Claves administradas por el cliente para el cifrado de Azure Storage
Habilitación del cifrado de
infraestructura para el cifrado doble de
datos
Artículo • 06/11/2023
Azure Storage cifra de forma automática todos los datos de una cuenta de
almacenamiento en el nivel de servicio mediante el cifrado AES de 256 bits, uno de los
cifrados de bloques más sólidos que hay disponibles y compatible con FIPS 140-2. Los
clientes que necesiten más seguridad para que sus datos estén seguros también pueden
habilitar el cifrado AES de 256 bits en el nivel de infraestructura de Azure Storage para el
cifrado doble. El cifrado doble de los datos de Azure Storage sirve de protección en caso
de que uno de los algoritmos de cifrado o las claves puedan estar en peligro. En este
escenario, la capa adicional de cifrado también protege los datos.
El cifrado de nivel de servicio permite usar claves administradas por Microsoft o claves
administradas por el cliente con Azure Key Vault o el modelo de seguridad de hardware
(HSM) administrado de Key Vault. El cifrado en el nivel de infraestructura se basa en las
claves administradas por Microsoft y siempre usa una clave independiente. Para más
información sobre la administración de claves con el cifrado de Azure Storage, consulte
la sección Información sobre la administración de claves de cifrado.
Para cifrar dos veces los datos, primero debe crear una cuenta de almacenamiento o un
ámbito de cifrado que estén configurados para el cifrado de infraestructura. En este
artículo se describe cómo habilitar el cifrado de infraestructura.
) Importante
Azure Portal
Para usar Azure Portal con el fin de crear una cuenta de almacenamiento con el
cifrado de infraestructura habilitado, siga estos pasos:
Azure Policy proporciona una directiva integrada para requerir que el cifrado de
infraestructura esté habilitado para una cuenta de almacenamiento. Para obtener más
información, consulte la sección Almacenamiento de las definiciones de directivas
integradas de Azure Policy.
Pasos siguientes
Cifrado de Azure Storage para datos en reposo
Claves administradas por el cliente para el cifrado de Azure Storage
Ámbitos de cifrado para Blob Storage
Habilitación y configuración de
Microsoft Defender para Storage
Artículo • 25/05/2023
Microsoft Defender para Storage es una solución nativa de Azure que ofrece una capa
avanzada de inteligencia para la detección y mitigación de amenazas en cuentas de
almacenamiento, con tecnología de Inteligencia sobre amenazas de Microsoft,
tecnologías antimalware de Microsoft Defender y detección de datos confidenciales.
Con la protección de Azure Blob Storage, Azure Files y servicios de Azure Data
Lake Storage, proporciona un conjunto de alertas completo, detección de malware casi
en tiempo real (complemento) y detección de amenazas de datos confidenciales (sin
costo adicional), lo que permite la detección rápida, la evaluación de prioridades y la
respuesta a posibles amenazas de seguridad con información contextual.
Sugerencia
Disponibilidad
Aspecto Detalles
Los precios anteriores se aplican a las nubes comerciales. Para obtener más
información, visite la página de precios .
Permisos
Para habilitar y configurar la detección de malware, debe tener roles de propietario
(como propietario de la suscripción o propietario de la cuenta de almacenamiento) o
roles específicos con las acciones de datos necesarias. Obtenga más información sobre
los permisos necesarios.
Sugerencia
Puede habilitar y configurar Microsoft Defender para Storage desde Azure Portal,
directivas de Azure integradas, mediante programación mediante plantillas de IaC (Bicep
y ARM) o directamente con la API de REST.
7 Nota
Azure Portal
Directiva integrada de Azure
Plantillas de IaC, incluidas Bicep y ARM
REST API
Sugerencia
Puede invalidar o establecer opciones de configuración personalizadas para
cuentas de almacenamiento específicas dentro de suscripciones protegidas.
Azure Portal
Para habilitar Defender para Storage en el nivel de suscripción con Azure Portal:
Microsoft Defender para Storage ahora está habilitado para esta suscripción y está
totalmente protegido, incluida la detección de malware al cargar y la detección de
amenazas de datos confidenciales.
Plantilla de Bicep
Para habilitar y configurar Microsoft Defender para Storage en el nivel de
suscripción mediante Bicep, asegúrese de que el ámbito de destino esté
establecido en subscription y agregue lo siguiente a la plantilla de Bicep:
Bicep
Plantilla ARM
Para habilitar y configurar Microsoft Defender para Storage en el nivel de
suscripción mediante una plantilla de ARM, agregue este fragmento de código
JSON a la sección de recursos de la plantilla de ARM:
JSON
{
"type": "Microsoft.Security/pricings",
"apiVersion": "2023-01-01",
"name": "StorageAccounts",
"properties": {
"pricingTier": "Standard",
"subPlan": "DefenderForStorageV2",
"extensions": [
{
"name": "OnUploadMalwareScanning",
"isEnabled": "True",
"additionalExtensionProperties": {
"CapGBPerMonthPerStorageAccount": "5000"
}
},
{
"name": "SensitiveDataDiscovery",
"isEnabled": "True"
}
]
}
}
HTTP
PUT
https://management.azure.com/subscriptions/{subscriptionId}/providers/Mi
crosoft.Security/pricings/StorageAccounts?api-version=2023-01-01
JSON
{
"properties": {
"extensions": [
{
"name": "OnUploadMalwareScanning",
"isEnabled": "True",
"additionalExtensionProperties": {
"CapGBPerMonthPerStorageAccount": "5000"
}
},
{
"name": "SensitiveDataDiscovery",
"isEnabled": "True"
}
],
"subPlan": "DefenderForStorageV2",
"pricingTier": "Standard"
}
}
7 Nota
Azure Portal
Para invalidar la configuración de nivel de suscripción de Defender para Storage para
configurar las opciones que difieren de las opciones configuradas en el nivel de
suscripción mediante Azure Portal:
ii. A fin de ajustar el umbral mensual para examinar malware en las cuentas de
almacenamiento, se puede modificar el parámetro denominado «Establecer
el límite de GB examinados al mes» con el valor deseado. Este parámetro
determina la cantidad máxima de datos que se pueden examinar
mensualmente en la búsqueda de malware, específicamente para cada
cuenta de almacenamiento. Si desea permitir exámenes ilimitados, puede
desactivar este parámetro. De manera predeterminada el límite se establece
en 5,000 GB.
8. Seleccione Guardar.
API DE REST
Para invalidar la configuración de nivel de suscripción de Defender para Storage para
configurar las opciones que difieren de las opciones configuradas en el nivel de
suscripción mediante la API de REST:
1. Cree una solicitud PUT con este punto de conexión. Reemplace subscriptionId ,
resourceGroupName y accountName en la dirección URL del punto de conexión con
URL de la solicitud:
HTTP
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGro
ups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{ac
countName}/providers/Microsoft.Security/DefenderForStorageSettings/curr
ent?api-version=2022-12-01-preview
Cuerpo de la solicitud:
JSON
{
"properties": {
"isEnabled": true,
"malwareScanning": {
"onUpload": {
"isEnabled": true,
"capGBPerMonth": 5000
}
},
"sensitiveDataDiscovery": {
"isEnabled": true
},
"overrideSubscriptionLevelSettings": true
}
}
JSON
{
"properties": {
"isEnabled": false,
"overrideSubscriptionLevelSettings": true
}
}
Azure Storage proporciona un modelo de seguridad por capas. Este modelo le permite
controlar el nivel de acceso a las cuentas de almacenamiento que exigen sus
aplicaciones y entornos empresariales, en función del tipo y el subconjunto de redes o
recursos que usa.
Cuando configura las reglas de red, solo las aplicaciones que solicitan datos en el
conjunto especificado de redes o a través del conjunto especificado de recursos de
Azure pueden acceder a una cuenta de almacenamiento. Puede limitar el acceso a su
cuenta de almacenamiento a las solicitudes procedentes de direcciones IP especificadas,
intervalos IP, subredes en una red virtual de Azure o instancias de recursos de algunos
servicios de Azure.
Una aplicación que accede a una cuenta de almacenamiento cuando las reglas de red
están en vigor aún requiere la autorización adecuada para la solicitud. La autorización es
compatible con las credenciales de Microsoft Entra para blobs y colas, con una clave de
acceso de cuenta válida o un token de firma de acceso compartido (SAS). Cuando
configura un contenedor de blob para el acceso anónimo, no es necesario autorizar las
solicitudes para leer datos en ese contenedor. Las regla de firewall seguirán vigentes y
bloquearán el tráfico anónimo.
Puede conceder acceso a los servicios de Azure que funcionan desde una red virtual al
permitir el tráfico de la subred que hospeda la instancia de servicio. También puede
habilitar un número limitado de escenarios a través del mecanismo de excepciones que
describe este artículo. Para acceder a los datos de la cuenta de almacenamiento
mediante Azure Portal, deberá estar en una máquina situada dentro del límite de
confianza (IP o red virtual) que haya configurado.
7 Nota
Escenarios
Para proteger la cuenta de almacenamiento, primero debe configurar una regla para
denegar el acceso al tráfico desde todas las redes (incluido el tráfico de Internet) en el
punto de conexión público de forma predeterminada. A continuación, debe configurar
las reglas que conceden acceso al tráfico desde redes virtuales específicas. También
puede configurar reglas para conceder acceso al tráfico desde intervalos de direcciones
IP de Internet públicos seleccionados, lo que permite habilitar conexiones desde clientes
locales o específicos de Internet. Esta configuración le ayuda a crear un límite de red
seguro para las aplicaciones.
Puede combinar reglas de firewall que permitan el acceso desde redes virtuales
específicas y desde intervalos de direcciones IP públicas en la misma cuenta de
almacenamiento. Puede aplicar reglas de firewall de almacenamiento a cuentas de
almacenamiento existente o crear nuevas cuentas de almacenamiento.
Las reglas de firewall de Azure Storage solo se aplican a las operaciones del plano
de datos. Las operaciones del plano de control no están sujetas a las restricciones
especificadas en las reglas de firewall.
Para obtener una lista de las operaciones del plano de datos, consulte la Referencia
de la API de REST de Azure Storage. Para obtener una lista de las operaciones del
plano de control, consulte la Referencia de la API de REST del proveedor de
recursos de Azure Storage.
Los puntos de conexión de servicio de red virtual son públicos y accesibles a través de
Internet. El firewall de Azure Storage proporciona la capacidad de controlar el acceso a
la cuenta de almacenamiento a través de estos puntos de conexión públicos. Al habilitar
el acceso de red pública a la cuenta de almacenamiento, todas las solicitudes entrantes
de datos se bloquean de manera predeterminada. Solo las aplicaciones que solicitan
datos de orígenes permitidos que configure en la configuración del firewall de la cuenta
de almacenamiento podrán acceder a los datos. Los orígenes pueden incluir la dirección
IP de origen o la subred de red virtual de un cliente, o una instancia de servicio o
recurso de Azure a través de la cual los clientes o servicios acceden a los datos. Las
solicitudes bloqueadas incluyen las de otros servicios de Azure, de Azure Portal, y de los
servicios de registro y métricas, a menos que permita explícitamente el acceso en la
configuración del firewall.
Un punto de conexión privado usa una dirección IP privada de la red virtual para
acceder a una cuenta de almacenamiento a través de la red troncal de Microsoft. Con un
punto de conexión privado, el tráfico entre la red virtual y la cuenta de almacenamiento
se protegen a través de un vínculo privado. Las reglas de firewall de almacenamiento
solo se aplican a los puntos de conexión públicos de una cuenta de almacenamiento, no
a los puntos de conexión privados. El proceso de aprobación de la creación de un punto
de conexión privado concede acceso implícito al tráfico desde la subred que hospeda el
punto de conexión privado. Puede usar Directivas de red para controlar el tráfico a
través de puntos de conexión privados si desea refinar las reglas de acceso. Si quiere
usar puntos de conexión privados exclusivamente, puede usar el firewall para bloquear
todo el acceso a través del punto de conexión público.
Para ayudarle a decidir cuándo usar cada tipo de punto de conexión en su entorno,
consulte Comparación de puntos de conexión privados y puntos de conexión de
servicio.
Después de aplicar reglas de red, se aplican para todas las solicitudes. Los tokens de
SAS que conceden acceso a una dirección IP específica sirven para limitar el acceso del
titular del token, pero no conceden un acceso nuevo más allá de las reglas de red
configuradas.
Restricciones y consideraciones
Antes de implementar la seguridad de red para las cuentas de almacenamiento, revise
las restricciones y consideraciones importantes que se describen en esta sección.
" Las reglas de firewall de Azure Storage solo se aplican a las operaciones del plano
de datos. Las operaciones del plano de control no están sujetas a las restricciones
especificadas en las reglas de firewall.
" Revise las Restricciones de las reglas de red IP.
" Para acceder a los datos mediante herramientas como Azure Portal, Explorador de
Azure Storage y AzCopy, debe estar en un equipo dentro del límite de confianza
que estableció al configurar las reglas de seguridad de red.
" Se aplican reglas de red en todos los protocolos de red para Azure Storage,
incluidos REST y SMB.
" Las reglas de red no afectan al tráfico de disco de la máquina virtual (VM), incluidas
las operaciones de montaje y desmontaje y E/S de disco, pero ayudan a proteger el
acceso REST a los blobs en páginas.
" Puede usar discos no administrados en cuentas de almacenamiento con reglas de
red aplicadas para crear copias de seguridad y restaurar máquinas virtuales
mediante la creación de una excepción. Las excepciones de firewall no son
aplicables a discos administrados, ya que Azure ya los administra.
" Las cuentas de almacenamiento clásicas no admiten firewalls y redes virtuales.
" Si elimina una subred que se ha incluido en una regla de red virtual, se quitará de
las reglas de red de la cuenta de almacenamiento. Si crea una subred con el mismo
nombre, no tendrá acceso a la cuenta de almacenamiento. Para permitir el acceso,
deberá autorizar la nueva subred explícitamente en las reglas de red de la cuenta
de almacenamiento.
" Al hacer referencia a un punto de conexión de servicio en una aplicación cliente, se
recomienda evitar la dependencia de una dirección IP almacenada en caché. La
dirección IP de la cuenta de almacenamiento está sujeta a cambios y, por su parte,
confiar en una dirección IP almacenada en caché podría dar lugar a
comportamientos inesperados. Además, se recomienda respetar el período de vida
(TTL) del registro DNS y evitar reemplazarlo. La invalidación del TTL de DNS podría
dar lugar a comportamientos inesperados.
" Por diseño, el acceso a una cuenta de almacenamiento desde servicios de confianza
tiene la prioridad más alta, por encima de otras restricciones de acceso a la red. Si
establece Acceso de red pública en Deshabilitado después de haberlo establecido
en Habilitado desde redes virtuales y direcciones IP seleccionadas, las instancias
de recursos y excepciones que había configurado antes, incluida la opción Permitir
que los servicios de Azure de la lista de servicios de confianza accedan a esta
cuenta de almacenamiento, permanecerán en vigor. Como resultado, esos recursos
y servicios podrían seguir teniendo acceso a la cuenta de almacenamiento.
Autorización
Los clientes a los que se concedió acceso a través de reglas de red deben seguir
cumpliendo los requisitos de autorización de la cuenta de almacenamiento para acceder
a los datos. La autorización es compatible con las credenciales de Microsoft Entra para
blobs y colas, con una clave de acceso de cuenta válida o un token de firma de acceso
compartido (SAS).
7 Nota
Portal
U Precaución
Debe habilitar un punto de conexión de servicio para Azure Storage dentro de la red
virtual. El punto de conexión de servicio enruta el tráfico desde la red virtual hasta el
servicio Azure Storage mediante una ruta de acceso óptima. Las identidades de la red
virtual y la subred también se transmiten con cada solicitud. Después, los
administradores pueden configurar reglas de red para la cuenta de almacenamiento que
permitan recibir solicitudes desde subredes específicas en una red virtual. Los clientes a
los que se concedió acceso a través de estas reglas de red deben seguir cumpliendo los
requisitos de autorización de la cuenta de almacenamiento para acceder a los datos.
Cada cuenta de almacenamiento admite hasta 200 reglas de red virtual. Puede combinar
estas reglas con reglas de red IP.
) Importante
Además, se recomienda respetar el período de vida (TTL) del registro DNS y evitar
reemplazarlo. La invalidación del TTL de DNS podría dar lugar a comportamientos
inesperados.
Permisos necesarios
Para aplicar una regla de red virtual a una cuenta de almacenamiento, el usuario debe
tener permisos apropiados para las subredes que se van a agregar. Un Colaborador de
la cuenta de almacenamiento o un usuario al que se haya concedido permiso para la
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action operación
del proveedor de recursos de Azure puede aplicar una regla a través de un rol
personalizado de Azure.
La cuenta de almacenamiento y las redes virtuales a las que se concedió acceso pueden
estar en distintas suscripciones, incluidas suscripciones que formen parte de un inquilino
de Microsoft Entra diferente.
Al planear la recuperación ante desastres durante una interrupción regional, cree por
adelantado las redes virtuales en la región emparejada. Habilite puntos de conexión de
servicio para Azure Storage, con reglas de red que concedan acceso desde estas redes
virtuales alternativas. A continuación, aplique estas reglas a las cuentas de
almacenamiento con redundancia geográfica.
Los puntos de conexión de servicio locales y entre regiones no pueden coexistir en la
misma subred. Para reemplazar los puntos de conexión de servicio existentes por los de
varias regiones, elimine los puntos de conexión existentes Microsoft.Storage y vuelva a
crearlos como puntos de conexión entre regiones ( Microsoft.Storage.Global ).
Portal
2. Seleccionar Redes.
4. Para conceder acceso a una red virtual con una nueva regla de red, en Redes
virtuales, seleccione Agregar red virtual existente. Seleccione las opciones
Redes virtuales y Subredes y, a continuación, haga clic en Agregar.
Para crear una nueva red virtual y concederle acceso, seleccione Agregar
nueva red virtual. Proporcione la información necesaria para crear la nueva
red virtual y, luego, seleccione Crear.
5. Para quitar una regla de red virtual o subred, seleccione la elipsis (...) para abrir
el menú contextual de la red virtual o la subred y seleccione Quitar.
Si elimina una subred que se ha incluido en una regla de red, se quitará de las
reglas de red de la cuenta de almacenamiento. Si crea una subred con el
mismo nombre, no tendrá acceso a la cuenta de almacenamiento. Para
permitir el acceso, deberá autorizar la nueva subred explícitamente en las
reglas de red de la cuenta de almacenamiento.
Los intervalos de dirección pequeños con tamaños de prefijos /31 o /32 no son
compatibles. Configure estos rangos utilizando reglas de direcciones IP
individuales.
) Importante
Las reglas de red IP no se pueden usar en los siguientes casos:
Para permitir el acceso a los recursos de servicio, tiene que permitir estas direcciones IP
públicas en la configuración del firewall de IP de recursos. Para encontrar las direcciones
de IP de circuito de ExpressRoute de los pares públicos, abra una incidencia de soporte
técnico con ExpressRoute en Azure Portal. Obtenga más información sobre NAT para
ExpressRoute para emparejamiento público y de Microsoft.
2. Seleccionar Redes.
5. Para quitar una regla de red de IP, seleccione el icono ( ) junto al intervalo
de direcciones.
Portal
3. Seleccionar Redes.
Storage. Más
información.
almacenamiento.
Más información.
almacenamiento.
almacenamiento
detrás de un
firewall.
Puede usar la misma técnica para una cuenta que tenga la característica de espacio de
nombres jerárquico habilitada en ella. Sin embargo, no tiene que asignar un rol de
Azure si agrega la identidad administrada asignada por el sistema a la lista de control de
acceso (ACL) de cualquier directorio o blob que contiene la cuenta de almacenamiento.
En ese caso, el ámbito de acceso de la instancia corresponde al directorio o archivo al
que tiene acceso la identidad administrada.
También puede combinar roles y ACL de Azure para conceder acceso. Para más
información, consulte Modelo de control de acceso de Azure Data Lake Storage Gen2.
Administración de excepciones
En algunos casos, como los análisis de almacenamiento, se requiere acceso para leer
registros de recursos y métricas desde fuera del límite de red. Al configurar el acceso de
los servicios de confianza a la cuenta de almacenamiento, puede permitir el acceso de
lectura a los archivos de registro, las tablas de métricas o ambos mediante la creación
de una excepción de regla de red. Puede administrar las excepciones de reglas de red a
través de Azure Portal, PowerShell o la CLI de Azure v2.
Para más información sobre cómo trabajar con Storage Analytics, consulte Uso de Azure
Storage Analytics para recopilar datos de métricas y registros.
Portal
2. Seleccionar Redes.
Pasos siguientes
Más información sobre los puntos de conexión de servicio de red de Azure. Profundizar
más en la seguridad de Azure Storage.
Requisito de transferencia segura para
garantizar conexiones seguras
Artículo • 11/05/2023
Cuando se requiere una transferencia segura, se debe realizar una llamada a una
operación de API REST de Azure Storage a través de HTTPS. Se rechaza cualquier
solicitud realizada a través de HTTP. De forma predeterminada, la propiedad Se requiere
transferencia segura se habilita al crear una cuenta de almacenamiento.
Azure Policy proporciona una directiva integrada para garantizar que se requiere una
transferencia segura para las cuentas de almacenamiento. Para obtener más
información, consulte la sección Almacenamiento de las definiciones de directivas
integradas de Azure Policy.
7 Nota
Dado que Azure Storage no admite HTTPS para los nombres de dominio
personalizados, esta opción no se aplica cuando se utiliza un nombre de dominio
personalizado.
REST API
PowerShell
CLI
NodeJS
SDK de .NET
SDK de Python
SDK de Ruby
7 Nota
PowerShell
PowerShell
Los ejemplos de la CLI de Azure están escritos para el shell bash . Para ejecutar este
ejemplo en Windows PowerShell o en el símbolo del sistema, es posible que necesite
cambiar algunos elementos del script.
Si no tiene una suscripción a Azure, cree una cuenta gratuita de Azure antes de
empezar.
Azure CLI
Pasos siguientes
Recomendaciones de seguridad para Blob Storage
Detección, habilitación y deshabilitación
de SMBv1, SMBv2 y SMBv3 en Windows
Artículo • 18/05/2023
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2, Windows Server 2012, Windows 11, Windows 10,
Windows 8.1, Windows 8
En Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2 y Windows Server 2012, deshabilitar SMBv3 desactiva la
funcionalidad siguiente:
El protocolo SMBv2 se presentó en Windows Vista y Windows Server 2008, mientras que
el protocolo SMBv3 se presentó en Windows 8 y Windows Server 2012. Para obtener
más información sobre las funcionalidades de SMBv2 y SMBv3, consulte los artículos
siguientes:
7 Nota
Detección:
PowerShell
Deshabilite:
PowerShell
Habilite:
PowerShell
Sugerencia
7 Nota
Server
SMBv1
Detección:
PowerShell
Deshabilite:
PowerShell
Habilite:
PowerShell
SMB v2/v3
Detección:
PowerShell
Deshabilite:
PowerShell
Habilite:
PowerShell
Set-SmbServerConfiguration -EnableSMB2Protocol $true
7 Nota
Detección:
PowerShell
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
| ForEach-Object {Get-ItemProperty $_.pspath}
Deshabilite:
PowerShell
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -
Type DWORD -Value 0 -Force
Habilite:
PowerShell
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -
Type DWORD -Value 1 -Force
Nota Debe reiniciar el equipo después de realizar estos cambios. Para obtener más
información, consulte Almacenamiento de servidor en Microsoft .
Detección:
PowerShell
Get-ItemProperty
HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
ForEach-Object {Get-ItemProperty $_.pspath}
Deshabilite:
PowerShell
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -
Type DWORD -Value 0 -Force
Habilite:
PowerShell
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -
Type DWORD -Value 1 -Force
7 Nota
) Importante
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Para
meters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Para
meters
7 Nota
Server
SMBv1
Este procedimiento configura el siguiente nuevo elemento en el Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Para
meters
Para usar una directiva de grupo para configurar esto, siga estos pasos:
3. Haga clic con el botón derecho en el nodo Registro, elija Nuevo y seleccione
Elemento del Registro.
Acción: Crear
Subárbol: HKEY_LOCAL_MACHINE
Ruta de acceso de la clave:
SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Nombre del valor: SMB1
Tipo de valor: REG_DWORD
Datos del valor: 0
7 Nota
) Importante
Habilite:
PowerShell
Deshabilite:
PowerShell
Detección:
PowerShell
Resumen
Si toda la configuración está en el mismo GPO, la administración de la directiva de
grupo muestra la siguiente configuración.
Prueba y validación
Después de completar los pasos de configuración de este artículo, permita que la
directiva se replique y actualice. Según sea necesario para las pruebas, ejecute
gpupdate /force en un símbolo del sistema y revise los equipos de destino para
asegurarse de que la configuración del Registro se haya aplicado correctamente.
Asegúrese de que funcionen SMBv2 y SMBv3 en todos los demás sistemas del entorno.
7 Nota
Ubuntu 14.04-16.04 No
Ubuntu 18.04 Sí
Ubuntu 19.04+ Sí
Debian 8-9 No
Debian 10+ Sí
Fedora 29+ Sí
CentOS 7 No
CentOS 8+ Sí
openSUSE Tumbleweed Sí
Bash
Resultados
Eliminación de SMB 1
Antes de deshabilitar SMB 1, confirme que el módulo SMB no está cargado actualmente
en el sistema (esto sucede de manera automática si ha montado un recurso compartido
de SMB). Ejecute el siguiente comando, que no debe generar nada si SMB no está
cargado:
Bash
Para descargar el módulo, desmonte primero todos los recursos compartidos de SMB
con el comando umount . Puede identificar todos los recursos compartidos de SMB
montados en el sistema con el siguiente comando:
Bash
Una vez que haya desmontado todos los recursos compartidos de archivos SMB, es
seguro descargar el módulo. Ejecute el comando modprobe :
Bash
Bash
Por último, puede comprobar que el módulo SMB se ha cargado con el parámetro, para
ello, examine los parámetros cargados en /sys/module/cifs/parameters :
Bash
cat /sys/module/cifs/parameters/disable_legacy_dialects
Bash
Bash
La comunicación entre una aplicación cliente y una cuenta de Azure Storage se cifra
mediante la Seguridad de la capa de transporte (TLS). TLS es un protocolo criptográfico
estándar que garantiza la privacidad y la integridad de los datos entre los clientes y los
servicios a través de Internet. Para más información acerca de TLS, consulte Seguridad
de la capa de transporte .
Actualmente, Azure Storage admite tres versiones del protocolo TLS: 1.0, 1.1 y 1.2. Azure
Storage usa TLS 1.2 en puntos de conexión HTTP públicos. Sin embargo, TLS 1.0 y
TLS 1.1 se siguen admitiendo gracias a la compatibilidad con versiones anteriores.
Las cuentas de Azure Storage permiten a los clientes enviar y recibir datos con la versión
más antigua de TLS (TLS 1.0) y con las versiones posteriores. Para aplicar medidas de
seguridad más estrictas, puede configurar la cuenta de almacenamiento para que los
clientes deban enviar y recibir datos con una versión más reciente de TLS. Si una cuenta
de almacenamiento requiere una versión mínima de TLS, se producirá un error en todas
las solicitudes realizadas con una versión anterior.
Para obtener información acerca de cómo especificar una versión concreta de TLS al
enviar una solicitud desde una aplicación cliente, consulte Configuración de la
Seguridad de la capa de transporte (TLS) para una aplicación cliente.
7 Nota
El conjunto de cifrado que se usa tanto cuando los clientes envían datos a una
cuenta de almacenamiento como cuando los reciben de ella depende de la versión
de TLS usada. No es posible configurar una cuenta de almacenamiento para
bloquear el uso de cifrados específicos, más allá de requerir una versión mínima de
TLS. Si necesita la capacidad de permitir solo conjuntos de cifrado específicos al
conectarse a una cuenta de almacenamiento, considere la posibilidad de usar Azure
Application Gateway. Para más información sobre el uso de Application Gateway
para este fin, consulte Configuración de versiones de directivas TLS y conjuntos
de cifrado en Azure Application Gateway.
Para registrar las solicitudes a la cuenta de Azure Storage y determinar qué versión de
TLS usa el cliente, puede usar el registro de Azure Storage en Azure Monitor. Para más
información, consulte Supervisión de Azure Storage.
Para registrar datos de Azure Storage con Azure Monitor y analizarlos con Azure Log
Analytics, primero debe crear una configuración de diagnóstico que indique qué tipos
de solicitudes y para qué servicios de almacenamiento quiere registrar los datos. Para
crear una configuración de diagnóstico en Azure Portal, siga estos pasos:
Para determinar cuántas solicitudes se realizaron a Blob Storage con cada versión de TLS
durante los últimos siete días, abra su área de trabajo de Log Analytics. Luego, pegue la
siguiente consulta en una nueva consulta de registro y ejecútela. No olvide reemplazar
los valores del marcador de posición entre corchetes con sus propios valores:
Kusto
StorageBlobLogs
| where TimeGenerated > ago(7d) and AccountName == "<account-name>"
| summarize count() by TlsVersion
Los resultados muestran el número de solicitudes realizadas con cada versión de TLS:
Para determinar qué clientes realizaron solicitudes con una versión de TLS anterior a
TLS 1.2 en los últimos siete días, pegue la siguiente consulta en una nueva consulta de
registro y ejecútela. No olvide reemplazar los valores del marcador de posición entre
corchetes con sus propios valores:
Kusto
StorageBlobLogs
| where TimeGenerated > ago(7d) and AccountName == "<account-name>" and
TlsVersion != "TLS 1.2"
| project TlsVersion, CallerIpAddress, UserAgentHeader
) Importante
Si usa un servicio que se conecta a Azure Storage, asegúrese de que ese servicio
use la versión adecuada de TLS para enviar solicitudes a Azure Storage antes de
establecer la versión mínima necesaria para una cuenta de almacenamiento.
Portal
Al crear una cuenta de almacenamiento con Azure Portal, la versión mínima de TLS
se establece en 1.2 de forma predeterminada.
7 Nota
Si la siguiente consulta se ejecuta en Resource Graph Explorer, este devuelve una lista
de cuentas de almacenamiento y muestra la versión mínima de TLS de cada cuenta:
Kusto
resources
| where type =~ 'Microsoft.Storage/storageAccounts'
| extend minimumTlsVersion = parse_json(properties).minimumTlsVersion
| project subscriptionId, resourceGroup, name, minimumTlsVersion
7 Nota
Al configurar una versión mínima de TLS para una cuenta de almacenamiento, esa
versión mínima se aplica en la capa de aplicación. Las herramientas que intentan
determinar la compatibilidad de TLS en la capa de protocolo pueden devolver
versiones de TLS además de la versión mínima necesaria cuando se ejecutan
directamente en el punto de conexión de la cuenta de almacenamiento.
Para crear una directiva con un efecto de auditoría para la versión mínima de TLS con
Azure Portal, siga estos pasos:
{
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"anyOf": [
{
"field":
"Microsoft.Storage/storageAccounts/minimumTlsVersion",
"notEquals": "TLS1_2"
},
{
"field":
"Microsoft.Storage/storageAccounts/minimumTlsVersion",
"exists": "false"
}
]
}
]
},
"then": {
"effect": "audit"
}
}
}
7. Guarde la directiva.
Asignación de la directiva
A continuación, asigne la directiva a un recurso. El ámbito de la directiva corresponde a
ese recurso y a todos los recursos que hay debajo del mismo. Para más información
sobre la asignación de directivas, consulte Estructura de asignaciones de Azure Policy.
2. Seleccione Cumplimiento.
4. Puede explorar en profundidad el informe para obtener más detalles, incluida una
lista de cuentas de almacenamiento que no cumplen los requisitos.
Uso de Azure Policy para aplicar la versión
mínima de TLS
Azure Policy admite la gobernanza en la nube, asegurándose así de que los recursos de
Azure cumplen los requisitos y los estándares establecidos. Para aplicar un requisito
mínimo de versión de TLS para las cuentas de almacenamiento de la organización,
puede crear una directiva que impida la creación de una nueva cuenta de
almacenamiento que establezca un requisito mínimo de TLS en una versión anterior de
TLS que la que se indica en la directiva. Esta directiva también impedirá todos los
cambios de configuración en una cuenta existente si la configuración de la versión
mínima de TLS no es compatible con la directiva.
JSON
{
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"anyOf": [
{
"field":
"Microsoft.Storage/storageAccounts/minimumTlsVersion",
"notEquals": "TLS1_2"
},
{
"field":
"Microsoft.Storage/storageAccounts/minimumTlsVersion",
"exists": "false"
}
]
}
]
},
"then": {
"effect": "deny"
}
}
}
En la siguiente imagen se muestra el error que se produce si se intenta crear una cuenta
de almacenamiento con una versión mínima de TLS establecida en TLS 1.0 (la versión
predeterminada para una nueva cuenta) cuando una directiva con un efecto de
denegación requiere que la versión mínima de TLS se establezca en TLS 1.2.
Tenga cuidado de restringir la asignación de estos roles solo a aquellos usuarios que
requieran la capacidad de crear una cuenta de almacenamiento o actualizar sus
propiedades. Use el principio de privilegios mínimos para asegurarse de que los
usuarios tienen los permisos mínimos que necesitan para realizar sus tareas. Para más
información sobre la administración del acceso con RBAC de Azure, consulte
Procedimientos recomendados para RBAC de Azure.
7 Nota
Pasos siguientes
Configuración de Seguridad de la capa de transporte (TLS) para una aplicación
cliente
Recomendaciones de seguridad para Blob Storage
Configuración de Seguridad de la capa
de transporte (TLS) para una aplicación
cliente
Artículo • 07/04/2023
Por motivos de seguridad, las cuentas de Azure Storage pueden exigir a los clientes que
usen una versión mínima de Seguridad de la capa de transporte (TLS) para enviar
solicitudes. Si el cliente usa una versión de TLS inferior a la versión mínima necesaria, se
producirá un error en las llamadas a Azure Storage. Por ejemplo, si una cuenta de
almacenamiento requiere TLS 1.2, las solicitudes enviadas por un cliente que use TLS 1.1
generarán un error.
En este artículo se describe cómo configurar una aplicación cliente para usar una versión
determinada de TLS. Para información sobre cómo configurar una versión mínima
necesaria de TLS para una cuenta de Azure Storage, consulte Configuración de la
versión mínima necesaria de Seguridad de la capa de transporte (TLS) para una cuenta
de almacenamiento.
En los siguientes ejemplos se muestra cómo establecer la versión de TLS del cliente en la
1.2 desde PowerShell o .NET. La versión de .NET Framework que utiliza el cliente debe
admitir TLS 1.2. Para más información, consulte Compatibilidad con TLS 1.2.
PowerShell
PowerShell
# Set the TLS version used by the PowerShell client to TLS 1.2.
[System.Net.ServicePointManager]::SecurityProtocol =
[System.Net.SecurityProtocolType]::Tls12;
Pasos siguientes
Configuración de la versión mínima necesaria de Seguridad de la capa de
transporte (TLS) para una cuenta de almacenamiento
Recomendaciones de seguridad para Blob Storage
Introducción a AzCopy
Artículo • 18/12/2023
) Contenido asistido por IA. Este artículo se ha creado en parte con ayuda de inteligencia artificial.
Un autor ha revisado y modificado el contenido según ha sido necesario. Más información
AzCopy es una utilidad de línea de comandos que puede usar para copiar blobs o
archivos a una cuenta de almacenamiento o desde una cuenta de almacenamiento. En
este artículo sirve de ayuda para descargar AzCopy, conectarse a la cuenta de
almacenamiento y, a continuación, transferir datos.
7 Nota
Descargar AzCopy
En primer lugar, descargue el archivo ejecutable de AzCopy V10 en cualquier directorio
en el equipo. AzCopy V10 es solo un archivo ejecutable, de modo que no hay que
instalar nada.
Estos archivos se comprimen como un archivo ZIP (Windows y Mac) o un archivo TAR
(Linux). Para descargar y descomprimir el archivo tar en Linux, consulte la
documentación de su distribución de Linux.
Para obtener información detallada sobre las versiones de AzCopy, vea la página de la
versión de AzCopy .
7 Nota
Ejecución de AzCopy
Para mayor comodidad, considere la posibilidad de agregar la ubicación del directorio
del ejecutable de AzCopy a la ruta de acceso del sistema para facilitar su uso. De este
modo, puede escribir azcopy desde cualquier directorio del sistema.
Si decide no agregar el directorio de AzCopy a la ruta de acceso, tendrá que cambiar los
directorios a la ubicación de su archivo ejecutable de AzCopy y escribir azcopy o
.\azcopy en los símbolos del sistema de Windows PowerShell.
Autorización de AzCopy
Puede proporcionar las credenciales de autorización mediante Microsoft Entra ID o
mediante un token de firma de acceso compartido (SAS).
Con Microsoft Entra ID, puede proporcionar credenciales una vez en lugar de anexar un
token de SAS a cada comando.
El comando de este ejemplo copia recursivamente los datos desde un directorio local a
un contenedor de blobs. Un token de SAS ficticio se anexa al final de la dirección URL
del contenedor.
AzCopy
Para más información sobre los tokens de SAS y de cómo obtener uno, consulte Uso de
firmas de acceso compartido (SAS).
7 Nota
Transferencia de datos
Después de autorizar la identidad o de obtener un token de SAS, puede comenzar la
transferencia de datos.
ノ Expandir tabla
Servicio Artículo
Google Cloud Storage Copia de datos de Google Cloud Storage a Azure Storage (versión
preliminar)
Servicio Artículo
Para obtener información acerca de un comando específico, basta con que incluya el
nombre del comando (por ejemplo: azcopy list -h ).
Lista de comandos
En la tabla siguiente se enumeran todos los comandos de AzCopy v10. Cada comando
está vinculado a un artículo de referencia.
ノ Expandir tabla
Get-Help Descripción
azcopy bench Ejecuta una prueba comparativa de rendimiento al cargar o descargar datos de
prueba hacia o desde un destino especificado.
azcopy env Muestra las variables de entorno que pueden configurar el comportamiento de
AzCopy.
azcopy jobs Elimina todos los archivos de registro y de plan de todos los trabajos.
clean
azcopy jobs Quita todos los archivos asociados al identificador de trabajo especificado.
remove
azcopy login Inicie sesión en Microsoft Entra ID para acceder a los recursos de Azure
Storage.
azcopy logout Cierra la sesión del usuario y finaliza el acceso a los recursos de Azure Storage.
azcopy set- Cambie el nivel de acceso de uno o varios blobs y reemplace (sobrescriba) los
properties metadatos y las etiquetas de índice de uno o varios blobs.
7 Nota
Uso en un script
ノ Expandir tabla
Sistema Get-Help
operativo
7 Nota
Linux
Bash
Windows PowerShell
PowerShell
Invoke-WebRequest -Uri
'https://azcopyvnext.azureedge.net/release20220315/azcopy_windows_amd64_10.1
4.1.zip' -OutFile 'azcopyv10.zip'
Expand-archive -Path '.\azcopyv10.zip' -Destinationpath '.\'
$AzCopy = (Get-ChildItem -path '.\' -Recurse -File -Filter
'azcopy.exe').FullName
# Invoke AzCopy
& $AzCopy
PowerShell 6.1+
PowerShell
Invoke-WebRequest -Uri
'https://azcopyvnext.azureedge.net/release20220315/azcopy_windows_amd64_10.1
4.1.zip' -OutFile 'azcopyv10.zip'
$AzCopy = (Expand-archive -Path '.\azcopyv10.zip' -Destinationpath '.\' -
PassThru | where-object {$_.Name -eq 'azcopy.exe'}).FullName
# Invoke AzCopy
& $AzCopy
En los archivos por lotes con la extensión .cmd , tendrá que usar una secuencia de
escape en los caracteres % que aparezcan en los tokens de SAS. Para ello, agregue un
carácter % adicional junto a los caracteres % existentes en la cadena de token de SAS. La
secuencia de caracteres resultante aparece como %% . Asegúrese de agregar un ^
adicional antes de cada carácter de & para crear la secuencia de caracteres ^& .
/usr/bin/keyctl new_session
7 Nota
Pasos siguientes
Si tiene alguna pregunta, problemas o comentarios generales, envíelos en la página
GitHub .
Transferencia de datos con AzCopy y
File Storage
Artículo • 19/12/2023
AzCopy es una utilidad de línea de comandos que puede usar para copiar archivos en
una cuenta de almacenamiento o desde esta. Este artículo contiene comandos de
ejemplo que funcionan con Azure Files.
Introducción
Vea el artículo Introducción a AzCopy para descargar AzCopy y obtener información
sobre las formas de proporcionar credenciales de autorización para el servicio de
almacenamiento.
7 Nota
Los ejemplos de este artículo muestran el uso de un token de SAS para autorizar el
acceso. Sin embargo, para los comandos que tienen como destino archivos y
directorios, ahora puede proporcionar credenciales de autorización mediante
Microsoft Entra ID y omitir el token de SAS de esos comandos. Todavía tendrá que
usar un token de SAS en cualquier comando que tenga como destino solo el
recurso compartido de archivos o la cuenta (por ejemplo, 'azcopy make
https://mystorageaccount.file.core.windows.net/myfileshare' o 'azcopy copy
'https://mystorageaccount.file.core.windows.net' .
Sugerencia
Sintaxis
<SAS-token>'
Ejemplo
AzCopy
Carga de archivos
Puede usar el comando azcopy copy para cargar archivos y directorios desde el equipo
local.
Sugerencia
En los ejemplos de esta sección se delimitan los argumentos de ruta de acceso con
comillas simples (''). Use comillas simples en todos los shells de comandos excepto
en el shell de comandos de Windows (cmd.exe). Si usa un shell de comandos de
Windows (cmd.exe), incluya los argumentos de la ruta de acceso entre comillas
dobles ("") en lugar de comillas simples ('').
" Cargar un archivo
" Subir un directorio
" Subir el contenido de un directorio
" Cargar un archivo específico
Sugerencia
Puede modificar las operaciones de carga mediante marcas opcionales. Estos son
algunos ejemplos.
ノ Expandir tabla
Escenario Marca
7 Nota
AzCopy calcula un hash MD5 para los datos descargados y comprueba que el hash
MD5 almacenado en la propiedad Content-md5 del archivo coincide con el hash
calculado.
Cargar un archivo
Sintaxis
Ejemplo
AzCopy
Subir un directorio
En este ejemplo se copia un directorio (y todos sus archivos) en un recurso compartido
de archivos. El resultado es un directorio en el recurso compartido de archivos con el
mismo nombre.
Sintaxis
Ejemplo
AzCopy
Ejemplo
AzCopy
Sintaxis
name>.file.core.windows.net/<file-share-name>/<directory-path><SAS-token>'
Ejemplo
AzCopy
7 Nota
Sintaxis
path <semicolon-separated-file-list>
Ejemplo
AzCopy
azcopy copy 'C:\myDirectory'
'https://mystorageaccount.file.core.windows.net/myfileshare?sv=2018-03-
28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-07-04T05:30:08Z&st=2019-07-
03T21:30:08Z&spr=https&sig=CAfhgnc9gdGktvB=ska7bAiqIddM845yiyFwdMH481QA8%3D'
--include-path 'photos;documents\myFile.txt' --preserve-smb-permissions=true
--preserve-smb-info=true
Sintaxis
name>.file.core.windows.net/<file-share-or-directory-name><SAS-token>' --include-
pattern <semicolon-separated-file-list-with-wildcard-characters>
Ejemplo
AzCopy
Use el comando azcopy copy con la opción --include-after . Especifique una fecha y
hora en formato ISO 8601 (por ejemplo: 2020-08-19T15:04:00Z ).
Sintaxis
name>.file.core.windows.net/<file-share-or-directory-name><SAS-token>' --include-
after <Date-Time-in-ISO-8601-format>
Ejemplo
AzCopy
Descarga de archivos
Puede usar el comando azcopy copy para descargar archivos, directorios y recursos
compartidos de archivos en la máquina local.
Sugerencia
En los ejemplos de esta sección se delimitan los argumentos de ruta de acceso con
comillas simples (''). Use comillas simples en todos los shells de comandos excepto
en el shell de comandos de Windows (cmd.exe). Si usa un shell de comandos de
Windows (cmd.exe), incluya los argumentos de la ruta de acceso entre comillas
dobles ("") en lugar de comillas simples ('').
Sugerencia
ノ Expandir tabla
Escenario Marca
7 Nota
Descarga de un archivo
Sintaxis
Ejemplo
AzCopy
azcopy copy
'https://mystorageaccount.file.core.windows.net/myfileshare/myTextFile.txt?
sv=2018-03-28&ss=bjqt&srs=sco&sp=rjklhjup&se=2019-05-10T04:37:48Z&st=2019-
05-
09T20:37:48Z&spr=https&sig=/SOVEFfsKDqRry4bk3qz1vAQFwY5DDzp2%2B/3Eykf/JLs%3D
' 'C:\myDirectory\myTextFile.txt' --preserve-smb-permissions=true --
preserve-smb-info=true
Descargar un directorio
Sintaxis
Ejemplo
AzCopy
azcopy copy
'https://mystorageaccount.file.core.windows.net/myfileshare/myFileShareDirec
tory?sv=2018-03-28&ss=bjqt&srs=sco&sp=rjklhjup&se=2019-05-
10T04:37:48Z&st=2019-05-
09T20:37:48Z&spr=https&sig=/SOVEFfsKDqRry4bk3qz1vAQFwY5DDzp2%2B/3Eykf/JLs%3D
' 'C:\myDirectory' --recursive --preserve-smb-permissions=true --preserve-
smb-info=true
Sintaxis
Ejemplo
AzCopy
azcopy copy
'https://mystorageaccount.file.core.windows.net/myfileshare/myFileShareDirec
tory/*?sv=2018-03-28&ss=bjqt&srs=sco&sp=rjklhjup&se=2019-05-
10T04:37:48Z&st=2019-05-
09T20:37:48Z&spr=https&sig=/SOVEFfsKDqRry4bk3qz1vAQFwY5DDzp2%2B/3Eykf/JLs%3D
' 'C:\myDirectory' --preserve-smb-permissions=true --preserve-smb-info=true
7 Nota
Use el comando azcopy copy con la opción --include-path . Separe los nombres de
archivo individuales mediante punto y coma ( ; ).
Sintaxis
Ejemplo
AzCopy
azcopy copy
'https://mystorageaccount.file.core.windows.net/myFileShare/myDirectory?
sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-07-04T05:30:08Z&st=2019-
07-
03T21:30:08Z&spr=https&sig=CAfhgnc9gdGktvB=ska7bAiqIddM845yiyFwdMH481QA8%3D'
'C:\myDirectory' --include-path 'photos;documents\myFile.txt' --recursive -
-preserve-smb-permissions=true --preserve-smb-info=true
archivo
https://mystorageaccount.file.core.windows.net/myFileShare/myDirectory/documents/my
File.txt . Incluya la opción --recursive para transferir todos los archivos del directorio
https://mystorageaccount.file.core.windows.net/myFileShare/myDirectory/photos .
Sintaxis
separated-file-list-with-wildcard-characters>
Ejemplo
AzCopy
azcopy copy
'https://mystorageaccount.file.core.windows.net/myfileshare/myDirectory?
sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-07-04T05:30:08Z&st=2019-
07-
03T21:30:08Z&spr=https&sig=CAfhgnc9gdGktvB=ska7bAiqIddM845yiyFwdMH481QA8%3D'
'C:\myDirectory' --include-pattern 'myFile*.txt;*.pdf*' --preserve-smb-
permissions=true --preserve-smb-info=true
Sintaxis
in-ISO-8601-format>
Ejemplo
AzCopy
Sintaxis
name>/<file-path-or-directory-name><SAS-token>&sharesnapshot=<DateTime-of-
snapshot>' '<local-file-or-directory-path>'
AzCopy
azcopy copy
'https://mystorageaccount.file.core.windows.net/myfileshare/myTextFile.txt?
sv=2018-03-28&ss=bjqt&srs=sco&sp=rjklhjup&se=2019-05-10T04:37:48Z&st=2019-
05-
09T20:37:48Z&spr=https&sig=/SOVEFfsKDqRry4bk3qz1vAQFwY5DDzp2%2B/3Eykf/JLs%3D
&sharesnapshot=2020-09-23T08:21:07.0000000Z' 'C:\myDirectory\myTextFile.txt'
--preserve-smb-permissions=true --preserve-smb-info=true
AzCopy
azcopy copy
'https://mystorageaccount.file.core.windows.net/myfileshare/myFileShareDirec
tory?sv=2018-03-28&ss=bjqt&srs=sco&sp=rjklhjup&se=2019-05-
10T04:37:48Z&st=2019-05-
09T20:37:48Z&spr=https&sig=/SOVEFfsKDqRry4bk3qz1vAQFwY5DDzp2%2B/3Eykf/JLs%3D
&sharesnapshot=2020-09-23T08:21:07.0000000Z' 'C:\myDirectory' --recursive -
-preserve-smb-permissions=true --preserve-smb-info=true
AzCopy usa interfaces APIde servidor a servidor, por lo que los datos se copian
directamente entre servidores de almacenamiento. Para aumentar el rendimiento de
estas operaciones puede establecer el valor de la variable de entorno
AZCOPY_CONCURRENCY_VALUE . Para más información, consulte Aumento de la
simultaneidad.
Sugerencia
En los ejemplos de esta sección se delimitan los argumentos de ruta de acceso con
comillas simples (''). Use comillas simples en todos los shells de comandos excepto
en el shell de comandos de Windows (cmd.exe). Si usa un shell de comandos de
Windows (cmd.exe), incluya los argumentos de la ruta de acceso entre comillas
dobles ("") en lugar de comillas simples ('').
Sugerencia
Puede modificar las operaciones de copia mediante marcas opcionales. Estos son
algunos ejemplos.
ノ Expandir tabla
Escenario Marca
share-name>/<file-path><SAS-token>' 'https://<destination-storage-account-
name>.file.core.windows.net/<file-share-name>/<file-path><SAS-token>'
Ejemplo
AzCopy
azcopy copy
'https://mysourceaccount.file.core.windows.net/mycontainer/myTextFile.txt?
sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-07-04T05:30:08Z&st=2019-
07-
03T21:30:08Z&spr=https&sig=CAfhgnc9gdGktvB=ska7bAiqIddM845yiyFwdMH481QA8%3D'
'https://mydestinationaccount.file.core.windows.net/mycontainer/myTextFile.t
xt?sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-07-
04T05:30:08Z&st=2019-07-
03T21:30:08Z&spr=https&sig=CAfhgnc9gdGktvB=ska7bAiqIddM845yiyFwdMH481QA8%3D'
--preserve-smb-permissions=true --preserve-smb-info=true
AzCopy
azcopy copy
'https://mysourceaccount.file.core.windows.net/mycontainer/myTextFile.txt?
sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-07-04T05:30:08Z&st=2019-
07-
03T21:30:08Z&spr=https&sig=CAfhgnc9gdGktvB=ska7bAiqIddM845yiyFwdMH481QA8%3D&
sharesnapshot=2020-09-23T08:21:07.0000000Z'
'https://mydestinationaccount.file.core.windows.net/mycontainer/myTextFile.t
xt?sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-07-
04T05:30:08Z&st=2019-07-
03T21:30:08Z&spr=https&sig=CAfhgnc9gdGktvB=ska7bAiqIddM845yiyFwdMH481QA8%3D'
--preserve-smb-permissions=true --preserve-smb-info=true
name>.file.core.windows.net/<file-share-name><SAS-token>' --recursive
Ejemplo
AzCopy
azcopy copy
'https://mysourceaccount.file.core.windows.net/myFileShare/myFileDirectory?
sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-07-04T05:30:08Z&st=2019-
07-
03T21:30:08Z&spr=https&sig=CAfhgnc9gdGktvB=ska7bAiqIddM845yiyFwdMH481QA8%3D'
'https://mydestinationaccount.file.core.windows.net/mycontainer?sv=2018-03-
28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-07-04T05:30:08Z&st=2019-07-
03T21:30:08Z&spr=https&sig=CAfhgnc9gdGktvB=ska7bAiqIddM845yiyFwdMH481QA8%3D'
--recursive --preserve-smb-permissions=true --preserve-smb-info=true
AzCopy
azcopy copy
'https://mysourceaccount.file.core.windows.net/myFileShare/myFileDirectory?
sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-07-04T05:30:08Z&st=2019-
07-
03T21:30:08Z&spr=https&sig=CAfhgnc9gdGktvB=ska7bAiqIddM845yiyFwdMH481QA8%3D&
sharesnapshot=2020-09-23T08:21:07.0000000Z'
'https://mydestinationaccount.file.core.windows.net/mycontainer?sv=2018-03-
28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-07-04T05:30:08Z&st=2019-07-
03T21:30:08Z&spr=https&sig=CAfhgnc9gdGktvB=ska7bAiqIddM845yiyFwdMH481QA8%3D'
--recursive --preserve-smb-permissions=true --preserve-smb-info=true
name>.file.core.windows.net/<file-share-name><SAS-token>' --recursive
Ejemplo
AzCopy
AzCopy
token>' 'https://<destination-storage-account-name>.file.core.windows.net/<SAS-
token>' --recursive'
Ejemplo
AzCopy
AzCopy
Sincronización de archivos
Puede sincronizar el contenido de un sistema de archivos local con un recurso
compartido de archivos, o bien sincronizar el contenido de un recurso compartido de
archivos con otro. También puede sincronizar el contenido de un directorio de un
recurso compartido de archivos con el contenido de un directorio que se encuentra en
otro recurso compartido de archivos. La sincronización es unidireccional. En otras
palabras, tendrá que elegir cuál de estos dos puntos de conexión es el origen y cuál es
el destino. La sincronización también usa las API de servidor a servidor.
7 Nota
Actualmente, este escenario es compatible con las cuentas que han habilitado el
espacio de nombres jerárquico a través del punto de conexión de blob.
2 Advertencia
Directrices
De manera predeterminada, el comando sync compara nombres de archivo y las marcas
de tiempo de la última modificación. Puede invalidar ese comportamiento para usar
hashes MD5 en lugar de marcas de tiempo modificadas por última vez mediante la
marca --compare-hash . Establezca la marca opcional --delete-destination en un valor
de true o prompt para eliminar archivos en el directorio de destino si esos archivos ya
no existen en el directorio de origen.
Sugerencia
ノ Expandir tabla
Escenario Marca
Copiar las listas de control de acceso (ACL) junto con los --preserve-smb-
archivos. permissions=[true|false]
En los ejemplos de esta sección se delimitan los argumentos de ruta de acceso con
comillas simples (''). Use comillas simples en todos los shells de comandos excepto en el
shell de comandos de Windows (cmd.exe). Si usa un shell de comandos de Windows
(cmd.exe), incluya los argumentos de la ruta de acceso entre comillas dobles ("") en
lugar de comillas simples ('').
Sintaxis
Ejemplo
AzCopy
Sugerencia
Sintaxis
AzCopy
Sintaxis
name>.file.core.windows.net/<file-share-name><SAS-token>' --recursive
Ejemplo
AzCopy
Sintaxis
azcopy sync 'https://<source-storage-account-name>.file.core.windows.net/<file-
share-name>/<directory-name><SAS-token>' 'https://<destination-storage-account-
name>.file.core.windows.net/<file-share-name>/<directory-name><SAS-token>' --
recursive
Ejemplo
AzCopy
azcopy sync
'https://mysourceaccount.file.core.windows.net/myFileShare/myDirectory?
sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-07-04T05:30:08Z&st=2019-
07-
03T21:30:08Z&spr=https&sig=CAfhgnc9gdGktvB=ska7bAiqIddM845yiyFwdMH481QA8%3D'
'https://mydestinationaccount.file.core.windows.net/myFileShare/myDirectory?
sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-07-04T05:30:08Z&st=2019-
07-
03T21:30:08Z&spr=https&sig=CAfhgnc9gdGktvB=ska7bAiqIddM845yiyFwdMH481QA8%3D'
--recursive --preserve-smb-permissions=true --preserve-smb-info=true
Sintaxis
account-name>.file.core.windows.net/<file-share-name><SAS-token>' --recursive
Ejemplo
AzCopy
Pasos siguientes
Puede encontrar más ejemplos en cualquiera de estos artículos:
Introducción a AzCopy
Transferencia de datos
AzCopy es una utilidad de línea de comandos que puede usar para copiar blobs o
archivos a una cuenta de almacenamiento o desde una cuenta de almacenamiento. En
este artículo se describe cómo usar registros para diagnosticar errores y, a continuación,
usar archivos de plan para reanudar trabajos. En este artículo también se muestra cómo
configurar archivos de registro y de plan cambiando su nivel de detalle y la ubicación
predeterminada donde se almacenan.
7 Nota
Windows (PowerShell)
Linux
Sugerencia
Use el comando siguiente para reanudar un trabajo con error o cancelado. Este
comando usa su identificador, junto con el token de SAS, ya que no es persistente por
motivos de seguridad:
Sugerencia
Encierre los argumentos de ruta de acceso, como el token de SAS, entre comillas
simples ('). Use comillas simples en todos los shells de comandos excepto en el
shell de comandos de Windows (cmd.exe). Si usa un shell de comandos de
Windows (cmd.exe), incluya los argumentos de la ruta de acceso entre comillas
dobles ("") en lugar de comillas simples ('').
Use azcopy env para comprobar el valor actual de esta variable. Si el valor está en
blanco, los registros se escriben en la ubicación predeterminada.
Use azcopy env para comprobar el valor actual de esta variable. Si el valor está en
blanco, los registros se escriben en la ubicación predeterminada.
Los niveles de registro disponibles son: DEBUG , INFO , WARNING , ERROR , y NONE .
Para quitar los archivos de registro y de plan asociados a un solo trabajo, use azcopy
jobs rm <job-id> . Reemplace el marcador de posición <job-id> en este ejemplo por el
identificador del trabajo.
Consulte también
Introducción a AzCopy
Solución de problemas de Azure Files
Artículo • 11/10/2023
En este artículo se enumeran los problemas comunes relacionados con Azure Files.
También proporciona posibles causas y soluciones para estos problemas.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
En la tabla siguiente se proporcionan los requisitos de SMB, NFS y FileREST para cuál de
los puntos de conexión de red de una cuenta de almacenamiento pueden usar y a qué
puerto se puede acceder a ese punto de conexión. Para obtener más información sobre
los puntos de conexión de red, consulte Azure Files consideraciones sobre redes.
7 Nota
PowerShell
PowerShell
# If you have changed the DNS configuration in your environment, it may
be helpful to clear
# the DNS client cache to ensure you're getting the updated DNS name
resolution.
Clear-DnsClientCache
# Replace this value with the fully qualified domain name for your
storage account.
# Different storage accounts, especially in different Azure
environments,
# may have different suffixes than file.core.windows.net, so be sure to
use the correct
# suffix for your storage account.
$hostName = "mystorageaccount.file.core.windows.net"
La salida devuelta por Resolve-DnsName puede ser diferente en función del entorno
y de la configuración de red deseada. Por ejemplo, si está intentando acceder a un
punto de conexión público de una cuenta de almacenamiento que no tiene ningún
punto de conexión privado configurado, verá la siguiente salida. En esta salida,
x.x.x.x es la dirección IP del clúster file.phx10prdstf01a.store.core.windows.net
Resultados
Name : mystorageaccount.file.core.windows.net
Type : CNAME
TTL : 27
Section : Answer
NameHost : file.phx10prdstf01a.store.core.windows.net
Name : file.phx10prdstf01a.store.core.windows.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : x.x.x.x
Resultados
Name : mystorageaccount.file.core.windows.net
Type : CNAME
TTL : 60
Section : Answer
NameHost : mystorageaccount.privatelink.file.core.windows.net
Name : mystorageaccount.privatelink.file.core.windows.net
Type : CNAME
TTL : 60
Section : Answer
NameHost : file.phx10prdstf01a.store.core.windows.net
Name : file.phx10prdstf01a.store.core.windows.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : x.x.x.x
Resultados
Name : mystorageaccount.file.core.windows.net
Type : CNAME
TTL : 53
Section : Answer
NameHost :
mystorageaccount.privatelink.file.core.windows.net
Name :
mystorageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 10
Section : Answer
IP4Address : 10.0.0.5
PowerShell
PowerShell
# Replace this value with the fully qualified domain name for your
storage account.
# Different storage accounts, especially in different Azure
environments,
# may have different suffixes than file.core.windows.net, so be sure to
use the correct
# suffix for your storage account.
$hostName = "mystorageaccount.file.core.windows.net"
Output
ComputerName : mystorageAccount.file.core.windows.net
RemoteAddress : x.x.x.x
RemotePort : 445
InterfaceAlias : Ethernet
SourceAddress : y.y.y.y
TcpTestSucceeded : True
Ejecución de diagnósticos
Tanto los clientes Windows como los clientes Linux pueden usar AzFileDiagnostics
para asegurarse de que el entorno de cliente tiene los requisitos previos correctos.
AzFileDiagnostics automatiza la detección de síntomas y ayuda a configurar el entorno
Algunos problemas pueden estar relacionados con más de un área de asunto (por
ejemplo, conectividad y rendimiento).
¿Necesita ayuda?
Si aún necesita ayuda, póngase en contacto con el soporte técnico para resolver el
problema rápidamente.
Vea también
Supervisión de Azure Files
Comentarios
¿Le ha resultado útil esta página? Yes No
Solución de problemas de conectividad
y acceso Azure Files (SMB)
Artículo • 20/12/2023
En este artículo se enumeran los problemas comunes que pueden producirse al intentar
conectarse a recursos compartidos de archivos de Azure del Bloque de mensajes del
servidor (SMB) desde clientes Windows o Linux y acceder a él. También proporciona
posibles causas y soluciones para estos problemas.
7 Nota
¿Le resultó útil este artículo? Su entrada es importante para nosotros. Use el botón
Comentarios de esta página para indicarnos lo bien que ha funcionado este
artículo o cómo podemos mejorarlo.
) Importante
Este artículo solo se aplica a recursos compartidos SMB. Para obtener más
información sobre los recursos compartidos del sistema de archivos de red (NFS),
consulte Solución de problemas de recursos compartidos de archivos NFS de
Azure.
Se aplica a
ノ Expandir tabla
Windows
Azure PowerShell
$resourceGroupName = "<your-resource-group-name>"
$storageAccountName = "<your-storage-account-name>"
# This command requires you to be logged into your Azure account and set
the subscription your storage account is under, run:
# Connect-AzAccount -SubscriptionId 'xxxxxxxx-xxxx-xxxx-xxxx-
xxxxxxxxxxxx'
# if you haven't already logged in.
$storageAccount = Get-AzStorageAccount -ResourceGroupName
$resourceGroupName -Name $storageAccountName
ComputerName : <your-storage-account-name>
RemoteAddress : <storage-account-ip-address>
RemotePort : 445
InterfaceAlias : <your-network-interface>
SourceAddress : <your-ip-address>
TcpTestSucceeded : True
7 Nota
Solución 2: uso de VPN o ExpressRoute Al configurar una red privada virtual (VPN)
o ExpressRoute desde el entorno local a la cuenta de almacenamiento de Azure,
con Azure Files expuestas en la red interna mediante puntos de conexión privados,
el tráfico pasará por un túnel seguro en lugar de a través de Internet. Siga las
instrucciones para configurar una VPN para acceder a Azure Files desde Windows.
Para determinar si esta es la causa del error, compruebe que la siguiente subclave
del Registro no está establecida en un valor menor que 3:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Causa
Las unidades se montan por usuario. Si la aplicación o el servicio se ejecutan en una
cuenta de usuario diferente a la que montó la unidad, la aplicación no verá la
unidad.
Solución
Use una de las siguientes soluciones:
Consola
cmdkey /add:<storage-account-name>.file.core.windows.net
/user:AZURE\<storage-account-name> /pass:<storage-account-key>
Causa
Causa
El net use comando interpreta una barra diagonal (/) como una opción de línea de
comandos. Si el nombre de la cuenta de usuario comienza con una barra diagonal,
se produce un error en la asignación de unidades.
Solución
PowerShell
Compruebe que las reglas de red virtual y firewall están configuradas correctamente en
la cuenta de almacenamiento. Para probar si las reglas de firewall o red virtual están
causando el problema, cambie temporalmente la configuración de la cuenta de
almacenamiento a Permitir el acceso desde todas las redes. Para más información,
consulte Configuración de firewalls y redes virtuales de Azure Storage.
CLI de Azure Files en el share grupo de comandos (por ejemplo, az storage share
list ) usan API heredadas en la API de FileREST que omiten el Microsoft.Storage
Dado que los bloqueos y concesiones de recursos pueden interferir con las operaciones
de administrador previstas en la cuenta de almacenamiento o los recursos compartidos
de archivos de Azure, es posible que desee quitar los bloqueos o concesiones de
recursos que se hayan colocado en los recursos manualmente o automáticamente
mediante servicios de valor agregado, como Azure Backup. El siguiente script quita
todos los bloqueos y concesiones de recursos. No olvide reemplazar <resource-group> y
<storage-account> por los valores adecuados para su entorno.
Antes de ejecutar el siguiente script, debe instalar la versión más reciente del módulo
de PowerShell de Azure Storage.
) Importante
PowerShell
Windows
7 Nota
Las concesiones REST las usan las aplicaciones para evitar que los archivos se
eliminen o modifiquen. Antes de interrumpir las concesiones, debe identificar
qué aplicación las está adquiriendo. De lo contrario, podría interrumpir el
comportamiento de la aplicación.
Causa 1
Si todos los clientes SMB han cerrado sus identificadores abiertos en un archivo o
directorio y el problema continúa ocurriendo, puede forzar el cierre de un
identificador de archivo.
Solución 1
7 Nota
Los Get-AzStorageFileHandle cmdlets y Close-AzStorageFileHandle se incluyen
en el módulo Az PowerShell versión 2.4 o posterior. Para instalar el módulo Az
PowerShell más reciente, consulte Instalación del módulo Azure PowerShell.
Causa 2
Una concesión de archivos impide que se modifique o elimine un archivo. Puede
comprobar si un archivo tiene una concesión de archivos con los siguientes
comandos de PowerShell. Reemplace <resource-group> , <storage-account> , <file-
share> y <path-to-file> por los valores adecuados para el entorno.
PowerShell
# Set variables
$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"
$fileShareName = "<file-share>"
$fileForLease = "<path-to-file>"
$fileClient = $file.ShareFileClient
Si un archivo tiene una concesión, el objeto devuelto debe contener las siguientes
propiedades:
Resultados
LeaseDuration : Infinite
LeaseState : Leased
LeaseStatus : Locked
Solución 2
Para quitar una concesión de un archivo, puede liberarla o interrumpirla. Para
liberar la concesión, necesita el Valor LeaseId de la concesión, que se establece al
crear la concesión. No necesita el Valor LeaseId para interrumpir la concesión.
PowerShell
$leaseClient =
[Azure.Storage.Files.Shares.Specialized.ShareLeaseClient]::new($fileClie
nt)
$leaseClient.Break() | Out-Null
Causa
Si la snapshot opción del mount comando no se pasa en un formato reconocido, el
mount comando puede producir un error. Para confirmarlo, compruebe los mensajes de
registro del kernel (dmesg) y dmesg mostrará una entrada de registro como cifs: Bad
value for 'snapshot' .
Solución
Asegúrese de pasar la snapshot opción del mount comando en el formato correcto.
Consulte la página manual mount.cifs (por ejemplo, man mount.cifs ). Un error común es
pasar la marca de tiempo GMT en el formato incorrecto, como usar guiones o dos
puntos en lugar de puntos. Para obtener más información, consulte Montaje de una
instantánea de recurso compartido de archivos.
"Token de instantánea incorrecto" al intentar montar una
instantánea de recurso compartido de archivos de Azure
en Linux
Causa
Si se pasa la opción de instantánea mount a partir @GMT de , pero el formato sigue siendo
incorrecto (por ejemplo, con guiones y dos puntos en lugar de puntos), el mount
comando puede producir un error.
Solución
Asegúrese de pasar la marca de tiempo GMT en el formato correcto, que es @GMT-
year.month.day-hour.minutes.seconds . Para obtener más información, consulte Montaje
Causa
Si la instantánea que intenta montar no existe, el mount comando puede producir este
error. Para confirmarlo, compruebe los mensajes de registro del kernel (dmesg) y dmesg
mostrará una entrada de registro como:
Resultados
Solución
Asegúrese de que existe la instantánea que intenta montar. Para obtener más
información sobre cómo enumerar las instantáneas disponibles para un recurso
compartido de archivos de Azure determinado, consulte Montaje de una instantánea de
recurso compartido de archivos.
Cuota de disco o errores de red de demasiados
identificadores abiertos
Seleccione la pestaña Windows o Linux en función del sistema operativo cliente que use
para acceder a recursos compartidos de archivos de Azure.
Windows
Causa
El error 1816 se produce cuando se alcanza el límite superior de identificadores
abiertos simultáneos permitidos para un archivo o directorio en el recurso
compartido de archivos de Azure. Para obtener más información, consulte Azure
Files destinos de escala.
Solución
7 Nota
Causa
Si almacena en caché o mantiene un gran número de identificadores abiertos
durante mucho tiempo, es posible que vea este error en el lado servidor debido a
motivos de limitación. Cuando el cliente almacena en caché un gran número de
identificadores, muchos de ellos pueden entrar en una fase de reconexión al mismo
tiempo, creando una cola en el servidor que debe limitarse. La lógica de reintento y
la limitación en el back-end para volver a conectarse tardan más tiempo que el
tiempo de espera del cliente. Esta situación se manifiesta como un cliente que no
puede usar un identificador existente para ninguna operación, con todas las
operaciones con errores con ERROR_UNEXP_NET_ERR (59).
Solución
abiertos.
Causa
Este problema puede producirse si usa El sistema de cifrado de archivos (EFS). Los
archivos cifrados con BitLocker se pueden copiar en Azure Files. Sin embargo, Azure
Files no admite NTFS EFS.
Solución alternativa
Para copiar un archivo a través de la red, primero debe descifrarlo. Utilice uno de los
métodos siguientes:
Use el comando copy /d . Permite que los archivos cifrados se guarden como
archivos descifrados en el destino.
Establezca la siguiente clave del Registro:
Ruta de acceso = HKLM\Software\Policies\Microsoft\Windows\System
Tipo de valor = DWORD
Name = CopyFileAllowDecryptedRemoteDestination
Valor = 1
Tenga en cuenta que la configuración de la clave del Registro afecta a todas las
operaciones de copia realizadas en recursos compartidos de red.
Causa
Los encabezados condicionales aún no se admiten. Las aplicaciones que las
implementan tendrán que solicitar el archivo completo cada vez que se acceda al
archivo.
Solución alternativa
Cuando se carga un nuevo archivo, la propiedad CacheControl de forma
predeterminada es no-cache. Para forzar a la aplicación a solicitar el archivo cada vez, la
propiedad CacheControl del archivo debe actualizarse de no-cache a no-cache, no-
store, must-revalidate. Esto se puede lograr mediante Explorador de Azure Storage.
Consulte también
Solución de problemas de Azure Files
Solución de problemas de rendimiento de Azure Files
Solución de problemas de autenticación y autorización de Azure Files (SMB)
Solución de problemas Azure Files smb generales en Linux
Solución de problemas de Azure Files NFS generales en Linux
Solución de problemas de Azure File Sync
Comentarios
¿Le ha resultado útil esta página? Sí No
Solución de problemas de autenticación
y autorización basados en identidades
Azure Files (SMB)
Artículo • 15/12/2023
Se aplica a
ノ Expandir tabla
Solución
Valide que los permisos están configurados correctamente:
Causa
Error AadDsTenantNotFound al intentar habilitar la autenticación de Servicios de
dominio de Microsoft Entra para Azure Files en una cuenta de almacenamiento donde
no se crea Servicios de dominio de Microsoft Entra en el Microsoft Entra inquilino de la
suscripción asociada.
Solución
Habilite Servicios de dominio de Microsoft Entra en el inquilino Microsoft Entra de la
suscripción en la que se implementa la cuenta de almacenamiento. Necesita privilegios
de administrador del inquilino de Microsoft Entra para crear un dominio administrado.
Si no es el administrador del inquilino de Microsoft Entra, póngase en contacto con el
administrador y siga las instrucciones paso a paso para crear y configurar un dominio
administrado Servicios de dominio de Microsoft Entra.
Pasos de autodiagnóstico
En primer lugar, asegúrese de que ha seguido los pasos para habilitar Azure Files
autenticación de AD DS.
PowerShell
$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
Síntoma
Puede experimentar uno de los síntomas que se describen a continuación al intentar
configurar las ACL de Windows con Explorador de archivos en un recurso compartido de
archivos montado:
Solución
Se recomienda configurar los permisos de nivel de directorio o archivo mediante icacls
en lugar de usar Windows Explorador de archivos.
) Importante
PowerShell
$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
Como parte de la actualización, el cmdlet girará las claves kerberos, lo que es necesario
para cambiar a AES-256. No es necesario volver a girar a menos que quiera volver a
generar ambas contraseñas.
La identidad de usuario que anteriormente
tenía la asignación de roles Propietario o
Colaborador sigue teniendo acceso a la clave
de la cuenta de almacenamiento
Los roles propietario y colaborador de la cuenta de almacenamiento conceden la
capacidad de enumerar las claves de la cuenta de almacenamiento. La clave de cuenta
de almacenamiento permite el acceso total a los datos de la cuenta de almacenamiento,
incluidos los recursos compartidos de archivos, los contenedores de blobs, las tablas y
las colas, y el acceso limitado a las operaciones de administración de Azure Files a través
de las API de administración heredadas expuestas a través de la API FileREST. Si va a
cambiar las asignaciones de roles, debe tener en cuenta que los usuarios que se quitan
de los roles Propietario o Colaborador pueden seguir manteniendo el acceso a la cuenta
de almacenamiento a través de claves de cuenta de almacenamiento guardadas.
Solución 1
Puede solucionar este problema fácilmente girando las claves de la cuenta de
almacenamiento. Se recomienda girar las claves de una en una, cambiando el acceso de
una a otra a medida que se giran. Hay dos tipos de claves compartidas que proporciona
la cuenta de almacenamiento: las claves de cuenta de almacenamiento, que
proporcionan acceso de superadministrador a los datos de la cuenta de
almacenamiento, y las claves Kerberos, que funcionan como un secreto compartido
entre la cuenta de almacenamiento y el controlador de dominio Windows Server Active
Directory para Windows Server Active Directory Escenarios.
Para rotar las claves Kerberos de una cuenta de almacenamiento, consulte Actualización
de la contraseña de la identidad de la cuenta de almacenamiento en AD DS.
Portal
No tiene ninguna fecha de inicio o tiene una fecha de inicio antes del 1 de
enero de 2019.
Establece una restricción en las contraseñas de entidad de servicio, que no
permite contraseñas personalizadas o establece una duración máxima de
contraseña de menos de 365,5 días.
PowerShell
$storageAccount = "exampleStorageAccountName"
$tenantId = "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee"
Install-Module Microsoft.Graph
Import-Module Microsoft.Graph
Connect-MgGraph -TenantId $tenantId -Scopes
"User.Read","Application.Read.All"
Para mitigar esto, tiene dos opciones: rotar la contraseña de la entidad de servicio en
Microsoft Entra cada seis meses o seguir estos pasos para deshabilitar Microsoft Entra
Kerberos, eliminar la aplicación existente y volver a configurar Microsoft Entra Kerberos.
Una vez que haya vuelto a configurar Microsoft Entra Kerberos, la nueva experiencia
creará y administrará automáticamente la aplicación recién creada.
Causa
Esto se debe a que el cliente SMB ha intentado usar Kerberos pero ha producido un
error, por lo que vuelve a usar la autenticación NTLM y Azure Files no admite el uso de
la autenticación NTLM para las credenciales de dominio. El cliente no puede obtener un
vale de Kerberos para la cuenta de almacenamiento porque el FQDN del vínculo privado
no está registrado en ninguna aplicación Microsoft Entra existente.
Solución
6. Copie y pegue el contenido existente para que tenga una copia duplicada.
7. Edite el manifiesto JSON. Para cada <storageAccount>.file.core.windows.net
entrada, agregue una entrada correspondiente
<storageAccount>.privatelink.file.core.windows.net . Por ejemplo, si el
JSON
"identifierUris": [
"api://<tenantId>/HOST/<storageaccount>.file.core.windows.net",
"api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net",
"api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net",
"HOST/<storageaccount>.file.core.windows.net",
"CIFS/<storageaccount>.file.core.windows.net",
"HTTP/<storageaccount>.file.core.windows.net"
],
JSON
"identifierUris": [
"api://<tenantId>/HOST/<storageaccount>.file.core.windows.net",
"api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net",
"api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net",
"HOST/<storageaccount>.file.core.windows.net",
"CIFS/<storageaccount>.file.core.windows.net",
"HTTP/<storageaccount>.file.core.windows.net",
"api://<tenantId>/HOST/<storageaccount>.privatelink.file.core.windows.n
et",
"api://<tenantId>/CIFS/<storageaccount>.privatelink.file.core.windows.n
et",
"api://<tenantId>/HTTP/<storageaccount>.privatelink.file.core.windows.n
et",
"HOST/<storageaccount>.privatelink.file.core.windows.net",
"CIFS/<storageaccount>.privatelink.file.core.windows.net",
"HTTP/<storageaccount>.privatelink.file.core.windows.net"
],
9. Actualice las referencias DNS internas para que apunten al vínculo privado.
Causa
Solución
No seleccione Asignación necesaria para Microsoft Entra aplicación para la cuenta de
almacenamiento porque no rellenamos los derechos en el vale kerberos que se
devuelve al solicitante. Para obtener más información, vea Error AADSTS50105: el
usuario que ha iniciado sesión no está asignado a un rol para la aplicación.
Consulte también
Solución de problemas de Azure Files
Solución de problemas de rendimiento de Azure Files
Solución de problemas de conectividad Azure Files (SMB)
Solución de problemas Azure Files smb generales en Linux
Solución de problemas de Azure Files NFS generales en Linux
Solución de problemas de Azure File Sync
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Windows
reg query
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\Policies
HKEY_Local_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Paramet
7 Nota
) Importante
SuccessWithThrottling
SuccessWithShareIopsThrottling
ClientShareIopsThrottlingError
ClientAccountRequestThrottlingError
ClientAccountBandwidthThrottlingError
En el caso de los recursos compartidos de archivos premium, se registran los
siguientes tipos de respuesta si una solicitud está limitada en el nivel de recurso
compartido:
SuccessWithShareEgressThrottling
SuccessWithShareIngressThrottling
SuccessWithShareIopsThrottling
ClientShareEgressThrottlingError
ClientShareIngressThrottlingError
ClientShareIopsThrottlingError
KerberosSuccessWithShareEgressThrottling
KerberosSuccessWithShareIngressThrottling
Para obtener más información sobre cada tipo de respuesta, consulte Dimensiones
de métricas.
Solución
Soluciones alternativas
Solución
Aumente el paralelismo de la aplicación aumentando el número de subprocesos.
Cambie a aplicaciones donde sea posible el paralelismo. Por ejemplo, para las
operaciones de copia, puede usar AzCopy o RoboCopy de clientes Windows o el
comando paralelo de clientes Linux.
Solución
Establezca la configuración de Windows por NIC para SMB para que el total de canales
no supere los cuatro. Por ejemplo, si tiene dos NIC, puede establecer el máximo por NIC
en dos mediante el siguiente cmdlet de PowerShell: Set-SmbClientConfiguration -
ConnectionCountPerRssNetworkInterface 2 .
Solución
Se recomienda aumentar el valor del parámetro kernel read_ahead_kb a 15 mebibytes
(MiB). Para cambiar este valor, establezca el tamaño de lectura anticipada de forma
persistente agregando una regla en udev, un administrador de dispositivos de kernel de
Linux. Siga estos pasos:
Resultados
SUBSYSTEM=="bdi" \
, ACTION=="add" \
, PROGRAM="/usr/bin/awk -v bdi=$kernel 'BEGIN{ret=1} {if ($4 == bdi)
{ret=0}} END{exit ret}' /proc/fs/nfsfs/volumes" \
, ATTR{read_ahead_kb}="15360"
Bash
sudo udevadm control --reload
Causa
La máquina virtual cliente podría encontrarse en una región diferente al recurso
compartido de archivos. Otra razón para una latencia alta podría deberse a la latencia
causada por el cliente o la red.
Solución
Ejecute la aplicación desde una máquina virtual que se encuentre en la misma
región que el recurso compartido de archivos.
Para la cuenta de almacenamiento, revise las métricas de transacción
SuccessE2ELatency y SuccessServerLatency mediante Azure Monitor en Azure
Portal. Una diferencia alta entre los valores de métricas SuccessE2ELatency y
SuccessServerLatency es una indicación de latencia que probablemente se debe a
la red o al cliente. Consulte Métricas de transacciones en Azure Files Referencia de
datos de supervisión.
Causa
Una posible causa es la falta de compatibilidad multicanal smb para recursos
compartidos de archivos estándar. Actualmente, Azure Files solo admite un solo canal
para recursos compartidos de archivos estándar, por lo que solo hay una conexión
desde la máquina virtual cliente al servidor. Esta única conexión se fija a un único núcleo
en la máquina virtual cliente, por lo que el rendimiento máximo posible de una máquina
virtual está enlazado por un único núcleo.
Solución alternativa
En el caso de los recursos compartidos de archivos premium, habilite SMB
multicanal.
La obtención de una máquina virtual con un núcleo más grande podría ayudar a
mejorar el rendimiento.
La ejecución de la aplicación cliente desde varias máquinas virtuales aumentará el
rendimiento.
Use las API REST siempre que sea posible.
Para los recursos compartidos de archivos de Azure NFS, nconnect está disponible.
Consulte Mejora del rendimiento del recurso compartido de archivos de Azure NFS
con nconnect.
ejemplo:
Resultados
Causa 2: Limitación
Es posible que esté experimentando una limitación y que las solicitudes se envíen a una
cola. Para comprobarlo, aproveche las métricas de Azure Storage en Azure Monitor.
También puede crear alertas que le notifiquen si un recurso compartido se está
limitando o está a punto de limitarse. Consulte Solución de problemas de Azure Files
mediante la creación de alertas.
Causa
Se trata de un problema conocido con la implementación del cliente SMB en Linux.
Solución alternativa
Distribuya la carga entre varias máquinas virtuales.
En la misma máquina virtual, use varios puntos de montaje con una nosharesock
opción y distribuya la carga entre estos puntos de montaje.
En Linux, intente montar con una nostrictsync opción para evitar forzar un
vaciado smb en cada fsync llamada. Para Azure Files, esta opción no interfiere con
la coherencia de los datos, pero podría dar lugar a metadatos de archivo obsoletos
en listas de directorios ( ls -l comando). Consultar directamente los metadatos de
archivo mediante el stat comando devolverá los metadatos de archivo más
actualizados.
Causa
Falta de compatibilidad con las concesiones de directorio.
Solución alternativa
Si es posible, evite usar un identificador de apertura y cierre excesivo en el mismo
directorio en un breve período de tiempo.
En el caso de las máquinas virtuales Linux, aumente el tiempo de espera de caché
de entrada de directorio especificando actimeo=<sec> como una opción de
montaje. De forma predeterminada, el tiempo de espera es de 1 segundo, por lo
que un valor mayor, como 30 segundos, podría ayudar.
En el caso de las máquinas virtuales CentOS Linux o Red Hat Enterprise Linux
(RHEL), actualice el sistema a CentOS Linux 8.2 o RHEL 8.2. Para otras
distribuciones de Linux, actualice el kernel a la versión 5.0 o posterior.
Causa
Este problema puede producirse si no hay suficiente memoria caché en el equipo cliente
para directorios grandes.
Solución
Para resolver este problema, ajuste el valor del Registro para permitir el
DirectoryCacheEntrySizeMax almacenamiento en caché de listas de directorios más
Ubicación: HKEY_LOCAL_MACHINE\System\CCS\Services\Lanmanworkstation\Parameters
Nombre del valor: DirectoryCacheEntrySizeMax
Tipo de valor: DWORD
Windows
Excesivas llamadas
DirectoryOpen/DirectoryClose
Causa
Si el número de llamadas DirectoryOpen/DirectoryClose se encuentra entre las
principales llamadas API y no espera que el cliente realice tantas llamadas, el problema
podría deberse al software antivirus instalado en la máquina virtual cliente de Azure.
Solución alternativa
Hay una corrección para este problema disponible en la actualización de la plataforma
de abril para Windows .
Causa
Cambios recientes en la configuración multicanal de SMB sin volver a montar.
Solución
Después de realizar cambios en la configuración multicanal del cliente SMB de
Windows o de la cuenta SMB, debe desmontar el recurso compartido, esperar 60
segundos y volver a montar el recurso compartido para desencadenar el
multicanal.
En el caso del sistema operativo cliente Windows, genere carga de E/S con una
profundidad de cola elevada, por ejemplo, QD=8, por ejemplo, copiando un
archivo para desencadenar SMB multicanal. Para el sistema operativo del servidor,
SMB multicanal se desencadena con QD=1, lo que significa que en cuanto se inicia
cualquier E/S en el recurso compartido.
Causa
La notificación de cambio de archivo de número alto en los recursos compartidos de
archivos puede dar lugar a latencias altas. Esto suele ocurrir con sitios web hospedados
en recursos compartidos de archivos con una estructura de directorios anidada
profunda. Un escenario típico es la aplicación web hospedada en IIS, donde la
notificación de cambio de archivo está configurada para cada directorio en la
configuración predeterminada. Cada cambio (ReadDirectoryChangesW) en el recurso
compartido para el que está registrado el cliente inserta una notificación de cambio del
servicio de archivos al cliente, que toma los recursos del sistema, y el problema empeora
con el número de cambios. Esto puede provocar una limitación de recursos compartidos
y, por tanto, provocar una mayor latencia del lado cliente.
Solución
Si no se usa la notificación de cambio de archivo, deshabilite la notificación de
cambio de archivo (preferida).
Deshabilite la notificación de cambio de archivo actualizando FCNMode.
Actualice el intervalo de sondeo del proceso de trabajo de IIS (W3WP) a 0
estableciendo
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\Confi
gPollMilliSeconds en el Registro y reiniciando el proceso W3WP. Para obtener
información sobre esta configuración, consulte Claves comunes del Registro
que usan muchas partes de IIS.
Si el directorio físico asignado del sitio web tiene una estructura de directorios
anidada, puede intentar limitar el ámbito de las notificaciones de cambio de
archivo para reducir el volumen de notificaciones. De forma predeterminada, IIS
usa la configuración de Web.config archivos en el directorio físico al que está
asignado el directorio virtual, así como en cualquier directorio secundario de ese
directorio físico. Si no desea usar Web.config archivos en directorios secundarios,
especifique false para el allowSubDirConfig atributo en el directorio virtual.
Puede encontrar más detalles aquí.
Vea también
Solución de problemas de Azure Files
Solución de problemas de Azure Files mediante la creación de alertas
Descripción del rendimiento Azure Files
Introducción a las alertas en Microsoft Azure
Preguntas más frecuentes sobre Azure Files
En este artículo se enumeran los problemas comunes que pueden producirse al usar
recursos compartidos de archivos de Azure SMB con clientes Linux. También
proporciona posibles causas y soluciones para estos problemas.
) Importante
Este artículo solo se aplica a los recursos compartidos SMB. Para obtener más
información sobre los recursos compartidos de NFS, consulte Solución de
problemas de recursos compartidos de archivos de Azure de NFS.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Causa
La marca f de fuerza en COPYFILE da como resultado la ejecución cp -p -f en Unix.
Este comando también no puede conservar la marca de tiempo del archivo que no
posee.
Solución alternativa
Use el usuario de la cuenta de almacenamiento para copiar los archivos:
su $str_acc_name
cp -p filename.txt /share
Solución
Actualice el kernel de Linux a las siguientes versiones que tengan una corrección para
este problema:
4.4.87+
4.9.48+
4.12.11+
Todas las versiones que son mayores o iguales que 4.13
Causa
De forma predeterminada, el montaje de recursos compartidos de archivos de Azure en
Linux mediante SMB no habilita la compatibilidad con vínculos simbólicos (vínculos
simbólicos). Es posible que vea un error como este:
Bash
sudo ln -s linked -n t
Resultados
Solución
El cliente SMB de Linux no admite la creación de vínculos simbólicos de estilo Windows
a través del protocolo SMB 2 o 3. Actualmente, el cliente Linux admite otro estilo de
vínculos simbólicos denominados vínculos simbólicos minshall+francés para las
operaciones de creación y seguimiento. Los clientes que necesiten vínculos simbólicos
pueden usar la opción de montaje "mfsymlinks". Se recomienda "mfsymlinks" porque
también es el formato que usan los Mac.
Para usar vínculos simbólicos, agregue lo siguiente al final del comando de montaje
smb:
Bash
,mfsymlinks
Bash
Causa
Las carpetas o archivos se cargaron desde un sistema que codifica los caracteres al final
del nombre en un carácter diferente. Los archivos cargados desde un equipo Macintosh
pueden tener un carácter "0xF028" o "0xF029" en lugar de 0x20 (espacio) o 0X2E
(punto).
Solución
Use la opción mapchars en el recurso compartido al montar el recurso compartido en
Linux:
En lugar de:
Bash
Use lo siguiente:
Bash
También verá que el FQDN del servidor ahora se resuelve en una dirección IP diferente a
la que está conectado actualmente.
Causa
Con fines de equilibrio de carga de capacidad, las cuentas de almacenamiento a veces
se migran en vivo de un clúster de almacenamiento a otro. La migración de cuentas
desencadena Azure Files tráfico que se redirigirá desde el clúster de origen al clúster de
destino mediante la actualización de las asignaciones DNS para que apunten al clúster
de destino. Esto bloquea todo el tráfico al clúster de origen desde esa cuenta. Se espera
que el cliente SMB tome las actualizaciones de DNS y redirija más tráfico al clúster de
destino. Sin embargo, debido a un error en el cliente de kernel SMB de Linux, esta
redirección no surte efecto. Como resultado, el tráfico de datos sigue yendo al clúster
de origen, que ha dejado de atender esta cuenta después de la migración.
Solución alternativa
Puede mitigar este problema reiniciando el sistema operativo cliente, pero podría volver
a encontrarse con el problema si no actualiza el sistema operativo cliente a una versión
de distribución de Linux con compatibilidad con la migración de cuentas. Tenga en
cuenta que es posible que umount y remount del recurso compartido parezcan corregir
el problema temporalmente.
Solución
Para una corrección permanente, actualice el sistema operativo cliente a una versión de
distribución de Linux con compatibilidad con la migración de cuentas. Se han enviado
varias correcciones para el cliente de kernel SMB de Linux al kernel principal de Linux. La
versión del kernel 5.15+ y Keyutils-1.6.2+ tienen las correcciones. Algunas distribuciones
han devuelto estas correcciones y puede comprobar si existen las siguientes
correcciones en la versión de distribución que usa:
cifs: para que coincida con los servidores de archivos, asegúrese de que el nombre
de host del servidor coincida
Resultados
) Importante
FIPS es un conjunto de estándares que el gobierno de Ee. UU. usa para garantizar la
seguridad y la integridad de los sistemas informáticos. Cuando un sistema está en
modo FIPS, cumple los requisitos criptográficos específicos descritos por estos
estándares.
Causa
El cliente del recurso compartido de archivos SMB usa la autenticación NTLMSSP, que
requiere el algoritmo hash MD5. Sin embargo, en el modo FIPS, el algoritmo MD5 está
restringido porque no es compatible con FIPS. MD5 es una función hash ampliamente
utilizada que genera un valor hash de 128 bits. Sin embargo, MD5 se considera inseguro
para fines criptográficos.
Bash
Solución
Para resolver este problema, habilite la autenticación Kerberos para el recurso
compartido de archivos SMB. Si FIPS está habilitado involuntariamente, consulte option2
para deshabilitarlo.
Para montar un recurso compartido de archivos SMB en la máquina virtual Linux donde
FIPS está habilitado, use la autenticación Kerberos/Azure AD. Para obtener más
información, consulte Habilitación de la autenticación de Active Directory a través de
SMB para clientes Linux que acceden a Azure Files.
Bash
¿Necesita ayuda?
Si aún necesita ayuda, póngase en contacto con el soporte técnico para resolver el
problema rápidamente.
Vea también
Solución de problemas de Azure Files
Solución de problemas de rendimiento de Azure Files
Solución de problemas de conectividad Azure Files (SMB)
Solución de problemas de autenticación y autorización de Azure Files (SMB)
Solución de problemas de Azure Files NFS generales en Linux
Solución de problemas de Azure File Sync
Comentarios
¿Le ha resultado útil esta página? Sí No
Solución de problemas de recursos
compartidos de archivos de Azure NFS
Artículo • 26/06/2023
En este artículo se enumeran los problemas comunes relacionados con los recursos
compartidos de archivos de Azure NFS y se proporcionan posibles causas y soluciones
alternativas.
) Importante
El contenido de este artículo solo se aplica a los recursos compartidos de NFS. Para
solucionar problemas de SMB en Linux, consulte Solución de problemas de Azure
Files en Linux (SMB). Los recursos compartidos de archivos de Azure NFS no se
admiten para Windows.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Solución alternativa
Asegúrese de que ha deshabilitado el idmapping y de que no hay nada que lo vuelva a
habilitar. A continuación, realice los pasos siguientes:
Bash
Nivel: Premium
Tipo de cuenta: FileStorage
Regiones: lista de regiones admitidas
Solución
Siga las instrucciones de Creación de un recurso compartido NFS.
No se puede conectar a un recurso compartido
de archivos de Azure NFS ni montarlo
Causa 2: La transferencia segura necesaria está habilitada
Los recursos compartidos de archivos de Azure NFS no admiten actualmente el cifrado
doble. Azure proporciona una capa de cifrado para todos los datos en tránsito entre
centros de datos de Azure mediante MACSec. Solo puede acceder a recursos
compartidos de NFS desde redes virtuales de confianza y a través de túneles VPN. No
hay cifrado de capa de transporte adicional disponible en recursos compartidos NFS.
Solución
Deshabilite la transferencia segura necesaria en la hoja de configuración de la cuenta
de almacenamiento.
RHEL
Bash
sudo rpm -qa | grep nfs-utils
Solución
Si el paquete no está instalado, instale el paquete mediante el comando específico de la
distribución.
RHEL
Bash
Bash
Solución
Compruebe que el puerto 2049 está abierto en el cliente ejecutando el siguiente
comando. Si el puerto no está abierto, ábralo.
Bash
¿Necesita ayuda?
Si aún necesita ayuda, póngase en contacto con el soporte técnico para resolver el
problema rápidamente.
Vea también
Solución de problemas de Azure Files
Solución de problemas de rendimiento de Azure Files
Solución de problemas de conectividad Azure Files (SMB)
Solución de problemas de autenticación y autorización de Azure Files (SMB)
Solución de problemas Azure Files smb generales en Linux
) Importante
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
SuccessWithThrottling
SuccessWithShareIopsThrottling
ClientShareIopsThrottlingError
ClientAccountRequestThrottlingError
ClientAccountBandwidthThrottlingError
SuccessWithShareEgressThrottling
SuccessWithShareIngressThrottling
SuccessWithShareIopsThrottling
ClientShareEgressThrottlingError
ClientShareIngressThrottlingError
ClientShareIopsThrottlingError
7 Nota
7 Nota
Sugerencia
7 Nota
Debe crear tres alertas independientes para recibir alertas cuando los valores
de entrada, salida o transacción superen los umbrales establecidos. Esto se
debe a que una alerta se desencadena solo cuando se cumplen todas las
condiciones. Por ejemplo, si coloca todas las condiciones en una alerta, solo
se le avisará si la entrada, la salida y las transacciones superan sus cantidades
de umbral.
En función del ruido que desee que sea la alerta, también puede seleccionar
valores para Granularidad de agregación y Frecuencia de evaluación. Por ejemplo,
si desea que la alerta examine la entrada media durante el período de tiempo de 1
hora y desea que la regla de alertas se ejecute cada hora, seleccione lo siguiente:
7 Nota
Vea también
Solución de problemas de Azure Files
Solución de problemas de rendimiento de Azure Files
Descripción del rendimiento Azure Files
Introducción a las alertas en Microsoft Azure
Comentarios
¿Le ha resultado útil esta página? ツ Yes ト No
7 Nota
7 Nota
7 Nota
UserErrorFileShareEndpointUnreachable: la cuenta de
almacenamiento no se encuentra o no se admite
Código de error: UserErrorFileShareEndpointUnreachable
Este error puede producirse al crear varias copias de seguridad a petición para un
recurso compartido de archivos.
Hay un límite de 200 instantáneas por recurso compartido de archivos, incluidas
las realizadas por Azure Backup. Las copias de seguridad programadas antiguas (o
instantáneas) se borran automáticamente. Las copias de seguridad a petición (o
instantáneas) deben eliminarse si se alcanza el límite máximo.
7 Nota
Si elimina las instantáneas creadas por Azure Backup, perderá los puntos de
recuperación.
UserErrorStorageAccountInternetRoutingNotSupported:
Azure Backup no admite las cuentas de almacenamiento
con configuración de enrutamiento de Internet
Código de error: UserErrorStorageAccountInternetRoutingNotSupported
FileshareBackupFailedWithAzureRpRequestThrottling/
FileshareRestoreFailedWithAzureRpRequestThrottling:
error de operación de restauración o copia de seguridad
de archivos compartidos debido a la limitación del
servicio de almacenamiento. Esto puede ser debido a que
el servicio de almacenamiento está ocupado procesando
otras solicitudes para la cuenta de almacenamiento dada.
Código de error: FileshareBackupFailedWithAzureRpRequestThrottling/
FileshareRestoreFailedWithAzureRpRequestThrottling
Mensaje de error: Error en la restauración porque uno de los archivos del origen no
existe.
UserErrorTargetFileShareQuotaNotSufficient: no se puede
realizar la restauración del recurso compartido de
archivos de destino porque la cuota de tamaño de
almacenamiento no es suficiente
Código de error: UserErrorTargetFileShareQuotaNotSufficient
AzureFileSyncChangeDetectionInProgress: la detección de
cambios en el servicio Azure File Sync está en curso para
el recurso compartido de archivos de destino. La
detección de cambios se desencadenó mediante una
restauración anterior en el recurso compartido de
archivos de destino
Código de error: AzureFileSyncChangeDetectionInProgress
Mensaje de error: La detección de cambios en el servicio Azure File Sync está en curso
para el recurso compartido de archivos de destino. La detección de cambios se
desencadenó mediante una restauración anterior en el recurso compartido de archivos
de destino.
Use otro recurso compartido de archivos de destino. Como alternativa, puede esperar a
que se complete la detección de cambios en el servicio Azure File Sync para el recurso
compartido de archivos de destino antes de volver a intentar la restauración.
UserErrorAFSRecoverySomeFilesNotRestored: uno o
varios archivos no se pudieron recuperar correctamente.
Para más información, consulte la lista de archivos que
han dado error en la ruta de acceso anterior
Código de error: UserErrorAFSRecoverySomeFilesNotRestored
7 Nota
UserErrorAnotherRestoreInProgressOnSameTarget: hay
otro trabajo de restauración en curso en el mismo recurso
compartido de archivos de destino
Código de error: UserErrorAnotherRestoreInProgressOnSameTarget
Use otro recurso compartido de archivos de destino. Como alternativa, puede cancelar o
esperar a que la otra restauración se complete.
UserErrorSourceOrTargetAccountNotAccessible
Código de error: UserErrorSourceOrTargetAccountNotAccessible
Mensaje de error: Hay otra operación de protección de configuración en curso para este
elemento.
Espere a que la otra operación en curso termine y vuelva a intentarlo en otro momento.
Errores comunes relacionados con la
eliminación temporal
7 Nota
Se recomienda no eliminar el recurso compartido de archivos del que se ha
realizado una copia de seguridad, o bien, si se encuentra en estado de eliminación
temporal, recuperarlo antes de que finalice el período de retención de eliminación
temporal, con el fin de evitar que se pierdan todos los puntos de restauración.
UserErrorBackupAFSInSoftDeleteState: no se pudo
realizar la copia de seguridad porque el recurso
compartido de archivos de Azure está en estado de
eliminación temporal
Código de error: UserErrorBackupAFSInSoftDeleteState
Pasos siguientes
Para más información sobre la copia de seguridad de recursos compartidos de archivos
de Azure, consulte:
En este artículo se enumeran los clientOtherErrors que puede encontrar al usar recursos
compartidos de archivos de Azure SMB. En general, clientOtherErrors son principalmente
inofensivos y se esperan errores. Se produce un error en las solicitudes, pero el sistema sigue
comportándose según lo esperado. Es normal ver una cantidad significativa de estos errores
registrados.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Por ejemplo, el cliente SMB de Windows que interactúa con sistemas de archivos remotos no
siempre conoce las funcionalidades del sistema de archivos remoto. Podría ser Windows Server,
Azure Files o alguna otra implementación de servidor SMB. Por lo tanto, el cliente SMB realizará
llamadas al servidor de archivos remoto con determinadas API. Si se produce un error en estas
API, se revertirá al uso de una API diferente o incluso simplemente omitirá estos errores. En
función del protocolo de solicitud y respuesta de SMB, se espera que se produzca un error en un
gran número de solicitudes aunque el sistema se haya comportado correctamente. Esto puede
deberse a errores de autorización, intentos de crear un archivo con un nombre que ya existe o
intentos de abrir un archivo que no existe.
Registro e informes
Para solucionar problemas de ClientOtherErrors, puede crear una configuración de diagnóstico y
usar Azure Monitor para la generación de informes. También puede analizar los registros para ver
las solicitudes con errores, incluido ClientOtherErrors, o usar consultas kusto.
También puede recopilar un seguimiento de ProcMon de un cliente que coincida con la dirección
IP que se muestra en los registros. Agregue un filtro para ver solo el tráfico a Azure Files.
Common ClientOtherErrors
En la tabla siguiente se enumeran los clientOtherErrors comunes, junto con una explicación de
cada error.
su lugar. Si el autor de la
llamada no tiene permiso para
eliminar el archivo existente, se
producirá un error en la
llamada.
Vea también
Solución de problemas de Azure Files
Supervisión de Azure Files
Comentarios
¿Le ha resultado útil esta página? Yes No
API REST de Azure Files
Artículo • 06/07/2023
Azure Files también proporciona una API REST, que a menudo se denomina API
FileREST. Para usar la API FileREST, cree solicitudes HTTPS en los puntos de conexión
HTTPS de FileREST. Puede escribir código para crear solicitudes HTTPS usted mismo,
pero proporcionamos SDK de Azure que usan la API FileREST para usted,
proporcionando un contenedor de lenguaje idiomático a través de la API FileREST en
lenguajes populares como C#, Java, Python, JavaScript y Go.
Dado que la API FileREST se diseñó específicamente para Azure Files, le permite acceder
a características de Azure Files a las que no se puede acceder a través de SMB o NFS.
También le permite realizar ciertas operaciones, como copiar, de forma más eficaz de lo
que se puede a través de SMB o NFS.
La naturaleza sin estado de HTTPS hace que la API FileREST sea útil para los servicios en
la nube o las aplicaciones que necesitan acceder a muchos recursos compartidos de
archivos de Azure. Por ejemplo, puede adjuntar servicios o aplicaciones de valor
agregado a un recurso compartido de archivos de Azure para agregar una
funcionalidad. Estos servicios o aplicaciones pueden incluir antivirus, copia de seguridad,
administración de datos o productos de replicación. Azure File Sync y Azure Backup son
servicios importantes de Microsoft que usan ampliamente la API FileREST para agregar
valor sobre un recurso compartido de archivos de Azure propiedad del cliente.
Para obtener más información sobre Azure Files, incluida la implementación, las redes y
la configuración de identidad, consulte:
Plano de control
En Azure, el plano de control se proporciona a través de Azure Resource Manager, que
proporciona una manera común de exponer los recursos de Azure que administrará el
cliente. La unidad de administración de nivel superior es la cuenta de almacenamiento.
La cuenta de almacenamiento es un recurso con seguimiento en Azure Files y otros
servicios de almacenamiento, como Azure Blob Storage.
Para obtener información sobre cómo llamar a las API del plano de control, consulte:
Cuenta de almacenamiento
FileService
FileShare
Las operaciones expuestas a través de Azure Resource Manager usar Azure Active
Directory (Azure AD) para la autenticación y autorización, por lo que puede
administrar Azure Files mediante el control de acceso basado en rol (RBAC). Puede
autorizar la aplicación o el servicio para llamar mediante programación a estas API
con una entidad de servicio de Azure AD.
Puede llamar a las API de Azure Resource Manager de forma imperativa, ya sea a
través de la API REST directamente o a través de un SDK. O bien, puede llamarlos
declarativamente declarando qué recursos deben implementarse a través de
plantillas de Azure. Para los recursos que deben crearse repetidamente juntos (por
ejemplo, en las implementaciones de servicio), el uso de plantillas puede
simplificar considerablemente el trabajo necesario.
del plano de datos. Establecer roles de nivel de recurso compartido, como lector
de recursos compartidos de SMB de datos de almacenamiento, debe ser una
operación de plano de datos y debe usar este recurso.
Plano de datos
Azure Files proporciona un sistema de archivos jerárquico para datos no estructurados.
La API FileREST modela los dos objetos importantes en el espacio del sistema de
archivos: archivos y directorios. Para obtener información sobre cómo llamar a las API de
FileREST, consulte:
Operaciones en Azure Files (se prefieren las API del plano de control)
Operaciones en recursos compartidos de archivos (prefieren las API del plano de
control)
Operaciones en directorios
Operaciones en archivos
Vea también
Referencia de API REST de Azure Storage
Características no admitidas en Azure Files
conceptos de Azure Files
Bibliotecas cliente de Azure Storage
para .NET
Artículo • 09/01/2024
Las bibliotecas cliente de Azure Storage para .NET ofrecen una interfaz práctica para
realizar llamadas a Azure Storage. Para más información sobre Azure Storage, consulte
Introducción a Azure Storage.
Versión 12.x.x
Las bibliotecas cliente de la versión 12.x.x para .NET forman parte del SDK de Azure para
.NET. El código fuente de las bibliotecas cliente de Azure Storage para .NET está
disponible en GitHub .
Use las bibliotecas 12.x.x.x siguientes para trabajar con blobs, archivos y colas:
ノ Expandir tabla
Versión 11.x.x.x
El código fuente de las bibliotecas cliente de Azure Storage para .NET está disponible en
GitHub .
Use las siguientes bibliotecas de la versión 11.x.x para trabajar con blobs, archivos y
colas:
ノ Expandir tabla
Versión 1.x.x
Use la biblioteca 1.x.x.x siguiente para trabajar con el proveedor de recursos de Azure
Storage:
ノ Expandir tabla
Versión 25.x.x
Use la biblioteca 25.x.x.x siguiente para trabajar con el proveedor de recursos de Azure
Storage:
ノ Expandir tabla
Problemas conocidos
En esta sección se detallan los problemas conocidos de las bibliotecas cliente de Azure
Storage para .NET.
Consola
HTTP/1.1 400 The value for one of the HTTP headers is not in the correct
format.
Content-Length: 328
Content-Type: application/xml
Server: Microsoft-HTTPAPI/2.0
x-ms-request-id: <REMOVED>
Date: Fri, 19 May 2023 17:10:33 GMT
Si ha actualizado a la versión beta más reciente o disponible con carácter general del
SDK y experimenta este error, se recomienda cambiar a la versión anterior disponible
con carácter general del SDK para ver si el problema se resuelve. Si el problema persiste
o si la recomendación no es factible, abra una incidencia de soporte técnico para
explorar más opciones.
6 Colaborar con nosotros en Comentarios de Azure SDK
GitHub for .NET
El origen de este contenido se Azure SDK for .NET es un proyecto
puede encontrar en GitHub, de código abierto. Seleccione un
donde también puede crear y vínculo para proporcionar
revisar problemas y solicitudes comentarios:
de incorporación de cambios.
Para más información, consulte Abrir incidencia con la
nuestra guía para documentación
colaboradores.
Proporcionar comentarios sobre
el producto
Bibliotecas de Azure Storage para Java
Artículo • 09/01/2024
Las bibliotecas de Azure Storage para Java proporcionan clases para trabajar con datos
en su cuenta de Almacenamiento de Azure y con la propia cuenta de almacenamiento.
Para más información sobre Azure Storage, consulte Introducción a Azure Storage.
XML
<dependency>
<groupId>com.azure</groupId>
<artifactId>azure-storage-blob</artifactId>
<version>12.4.0</version>
</dependency>
<dependency>
<groupId>com.azure</groupId>
<artifactId>azure-storage-queue</artifactId>
<version>12.3.0</version>
</dependency>
<dependency>
<groupId>com.azure</groupId>
<artifactId>azure-storage-file-share</artifactId>
<version>12.2.0</version>
</dependency>
<dependency>
<groupId>com.azure</groupId>
<artifactId>azure-storage-file-datalake</artifactId>
<version>12.0.0-preview.6</version>
</dependency>
Para obtener más información sobre cómo agregar una dependencia en Java, consulte
Adición de una dependencia .
Ejemplo de uso
En el ejemplo siguiente se crea un contenedor de almacenamiento y se carga un archivo
local en el contenedor de almacenamiento.
Java
Paquetes disponibles
En la tabla siguiente se describen las versiones recomendadas de la biblioteca cliente de
almacenamiento para Java.
ノ Expandir tabla
Para obtener más información sobre la biblioteca del proveedor de recursos, consulte la
referencia de administración . El código fuente de la biblioteca del proveedor de
recursos está disponible en el repositorio del SDK de Java de Azure .
Java
StorageAccount storageAccount =
azureResourceManager.storageAccounts().define(storageAccountName)
.withRegion(Region.US_EAST)
.withNewResourceGroup(rgName)
.create();
Problemas conocidos
Las versiones anteriores del SDK de Azure Storage para Java (v12) tienen uno o varios
problemas críticos conocidos, que se detallan a continuación. Estos problemas pueden
afectar a la escritura o lectura de datos de la cuenta de Azure Storage. Si usa una versión
anterior de una biblioteca cliente, se recomienda actualizar a la versión más reciente.
ノ Expandir tabla
Si tiene alguna pregunta o necesita ayuda adicional, cree una incidencia de soporte
técnico con las siguientes opciones:
BlockBlobClient.getBlobOutputStream() .
Una vez que el tamaño de los datos de entrada cruza MaxSingleUploadSize , el write()
método de BlobOutputStream vuelve antes de realizar una copia profunda de los datos
de entrada. Si la aplicación que invoca sobrescribe la matriz de bytes de datos de
entrada con otros datos antes de que se produzca la copia en profundidad, los datos no
válidos se pueden escribir en el blob.
ノ Expandir tabla
Pasos recomendados
1. Actualice las versiones de la biblioteca cliente según la tabla anterior.
2. Compruebe si el código de la aplicación llama a
BlockBlobClient.getBlobOutputStream() . Si lo encuentra, la aplicación se ve
afectada.
Además, puede identificar los blobs potencialmente afectados debido a este problema
en la cuenta de Azure Storage. Siga estos pasos para identificar los blobs
potencialmente afectados:
Siguiendo estos pasos indicará blobs que podrían verse afectados por el problema
crítico y que pueden no ser válidos. Inspeccione estos blobs para determinar cuáles
pueden ser no válidos.
Las bibliotecas cliente que se enumeran a continuación tienen un error que puede
cargar datos incorrectos durante los reintentos después de una solicitud de servicio con
errores (por ejemplo, un reintento causado por una respuesta HTTP 500).
ノ Expandir tabla
Biblioteca de cliente Versiones Versión mínima con Acción recomendada
afectadas seguridad demostrada
Pasos recomendados
1. Actualice las versiones de la biblioteca cliente según la tabla anterior.
ノ Expandir tabla
Biblioteca de Versiones Versión mínima con Acción recomendada
cliente afectadas seguridad demostrada
Pasos recomendados
Actualice las versiones de la biblioteca cliente según la tabla anterior.
ノ Expandir tabla
Pasos recomendados
ノ Expandir tabla
Pasos recomendados
ノ Expandir tabla
Biblioteca de Versiones Versión mínima con Acción recomendada
cliente afectadas seguridad demostrada
Pasos recomendados
Actualice las versiones de la biblioteca cliente según la tabla anterior.
El contenido del mensaje de cola se borra en error cuando solo se estableció o actualizó
el tiempo de espera de visibilidad.
ノ Expandir tabla
Pasos recomendados
Actualice las versiones de la biblioteca cliente según la tabla anterior.
ノ Expandir tabla
Pasos recomendados
Actualice las versiones de la biblioteca cliente según la tabla anterior. Lea Actualización
del cifrado del lado cliente en el SDK para solucionar la vulnerabilidad de seguridad
para la acción recomendada.
ノ Expandir tabla
Pasos recomendados
Actualice las versiones de la biblioteca cliente según la tabla anterior.
Consola
HTTP/1.1 400 The value for one of the HTTP headers is not in the correct
format.
Content-Length: 328
Content-Type: application/xml
Server: Microsoft-HTTPAPI/2.0
x-ms-request-id: <REMOVED>
Date: Fri, 19 May 2023 17:10:33 GMT
Si ha actualizado a la versión beta más reciente o disponible con carácter general del
SDK y experimenta este error, se recomienda cambiar a la versión anterior disponible
con carácter general del SDK para ver si el problema se resuelve. Si el problema persiste
o si la recomendación no es factible, abra una incidencia de soporte técnico para
explorar más opciones.
Administración
ノ Expandir tabla
Nombre del paquete Referencia Administrador de paquetes Source
Cliente
Las bibliotecas cliente de Azure Storage constan de 3 paquetes: Blob, File Share y
Queue. Para instalar el paquete Blob, ejecute:
Bash
Administración
Bash
Ejemplos
ノ Expandir tabla
Artículo Descripción
Introducción a Azure Blob Cree, lea, actualice, restrinja el acceso y elimine archivos y objetos
Storage en Python Azure Storage.
Vea más código de Python ejemplo que puede usar en sus aplicaciones.
Problemas conocidos
En esta sección se detallan los problemas conocidos de las bibliotecas cliente de Azure
Storage para Python.
Mensaje de error InvalidHeaderValue al usar la versión
beta del SDK
En escenarios poco frecuentes, las aplicaciones que se han actualizado a la versión beta
más reciente o disponible con carácter general del SDK pueden recibir un
InvalidHeaderValue mensaje de error. Este problema puede producirse al usar
Consola
HTTP/1.1 400 The value for one of the HTTP headers is not in the correct
format.
Content-Length: 328
Content-Type: application/xml
Server: Microsoft-HTTPAPI/2.0
x-ms-request-id: <REMOVED>
Date: Fri, 19 May 2023 17:10:33 GMT
Si ha actualizado a la versión beta más reciente o disponible con carácter general del
SDK y experimenta este error, se recomienda cambiar a la versión anterior disponible
con carácter general del SDK para ver si el problema se resuelve. Si el problema persiste
o si la recomendación no es factible, abra una incidencia de soporte técnico para
explorar más opciones.
JavaScript-
examples
Instale el módulo npm con npm install seguido de package-name . Por ejemplo,
Bash
Obtenga más información sobre los paquetes de cliente aquí: Bibliotecas de cliente de
Azure Storage para JavaScript .
Paquete de administración
Bash
Ejemplo
Encontrará ejemplos de uso de este módulo en Node.js, así como aplicaciones de
explorador en el archivo Léame del módulo .
Problemas conocidos
En esta sección se detallan los problemas conocidos de las bibliotecas cliente de Azure
Storage para JavaScript.
Consola
HTTP/1.1 400 The value for one of the HTTP headers is not in the correct
format.
Content-Length: 328
Content-Type: application/xml
Server: Microsoft-HTTPAPI/2.0
x-ms-request-id: <REMOVED>
Date: Fri, 19 May 2023 17:10:33 GMT
Si ha actualizado a la versión beta más reciente o disponible con carácter general del
SDK y experimenta este error, se recomienda cambiar a la versión anterior disponible
con carácter general del SDK para ver si el problema se resuelve. Si el problema persiste
o si la recomendación no es factible, abra una incidencia de soporte técnico para
explorar más opciones.
2023-01-01
2022-09-01
2022-05-01
01-09-2021
2021-08-01
01-06-2021
2021-04-01
2021-02-01
01-01-2021
2020-08-01-preview
2019-06-01
01-04-2019
2018-11-01
2018-07-01
2018-03-01-preview
2018-02-01
2017-10-01
2017-06-01
2016-12-01
2016-05-01
2016-01-01
2015-06-15
2015-05-01-preview
biblioteca cliente de administración de
Microsoft Azure Storage para .NET
Artículo • 18/04/2023
Esta biblioteca sigue las nuevas directrices del SDK de Azure y proporciona muchas
funcionalidades principales:
Introducción
Instalar el paquete
Instale la biblioteca de administración de Microsoft Azure Storage para .NET con
NuGet :
CLI de .NET
Requisitos previos
En primer lugar, para instalar el paquete microsoft Azure Identity :
CLI de .NET
dotnet add package Azure.Identity
punto de conexión, para interactuar con los recursos, solo se tiene que crear un
ArmClient de nivel superior.
C#
using Azure.Identity;
using Azure.ResourceManager;
Conceptos clave
Los conceptos clave del Microsoft Azure SDK para .NET se pueden encontrar aquí
Ejemplos
Administración de cuentas de almacenamiento .
Solución de problemas
Si encuentra un error o tiene una sugerencia, abra un problema a través de
problemas de GitHub y asegúrese de agregar la etiqueta "Versión preliminar" al
problema.
Si necesita ayuda, compruebe las preguntas anteriores o realice otras nuevas en
StackOverflow mediante etiquetas de Azure y .NET.
Si tiene problemas con la autenticación, vaya a la documentación de
DefaultAzureCredential.
Pasos siguientes
Para obtener más información sobre el SDK de Microsoft Azure, consulte este sitio
web .
Contribuir
Para más información sobre cómo contribuir a este repositorio, consulte la guía de
contribución .
Packages
ノ Expand table
com.microsoft.azure.management.storage
Bibliotecas cliente de Azure Storage
para Python
Artículo • 09/01/2024
Administración
ノ Expandir tabla
Nombre del paquete Referencia Administrador de paquetes Source
Cliente
Las bibliotecas cliente de Azure Storage constan de 3 paquetes: Blob, File Share y
Queue. Para instalar el paquete Blob, ejecute:
Bash
Administración
Bash
Ejemplos
ノ Expandir tabla
Artículo Descripción
Introducción a Azure Blob Cree, lea, actualice, restrinja el acceso y elimine archivos y objetos
Storage en Python Azure Storage.
Vea más código de Python ejemplo que puede usar en sus aplicaciones.
Problemas conocidos
En esta sección se detallan los problemas conocidos de las bibliotecas cliente de Azure
Storage para Python.
Mensaje de error InvalidHeaderValue al usar la versión
beta del SDK
En escenarios poco frecuentes, las aplicaciones que se han actualizado a la versión beta
más reciente o disponible con carácter general del SDK pueden recibir un
InvalidHeaderValue mensaje de error. Este problema puede producirse al usar
Consola
HTTP/1.1 400 The value for one of the HTTP headers is not in the correct
format.
Content-Length: 328
Content-Type: application/xml
Server: Microsoft-HTTPAPI/2.0
x-ms-request-id: <REMOVED>
Date: Fri, 19 May 2023 17:10:33 GMT
Si ha actualizado a la versión beta más reciente o disponible con carácter general del
SDK y experimenta este error, se recomienda cambiar a la versión anterior disponible
con carácter general del SDK para ver si el problema se resuelve. Si el problema persiste
o si la recomendación no es factible, abra una incidencia de soporte técnico para
explorar más opciones.
JavaScript-
examples
Instale el módulo npm con npm install seguido de package-name . Por ejemplo,
Bash
Obtenga más información sobre los paquetes de cliente aquí: Bibliotecas de cliente de
Azure Storage para JavaScript .
Paquete de administración
Bash
Ejemplo
Encontrará ejemplos de uso de este módulo en Node.js, así como aplicaciones de
explorador en el archivo Léame del módulo .
Problemas conocidos
En esta sección se detallan los problemas conocidos de las bibliotecas cliente de Azure
Storage para JavaScript.
Consola
HTTP/1.1 400 The value for one of the HTTP headers is not in the correct
format.
Content-Length: 328
Content-Type: application/xml
Server: Microsoft-HTTPAPI/2.0
x-ms-request-id: <REMOVED>
Date: Fri, 19 May 2023 17:10:33 GMT
Si ha actualizado a la versión beta más reciente o disponible con carácter general del
SDK y experimenta este error, se recomienda cambiar a la versión anterior disponible
con carácter general del SDK para ver si el problema se resuelve. Si el problema persiste
o si la recomendación no es factible, abra una incidencia de soporte técnico para
explorar más opciones.
Para obtener más información sobre las versiones admitidas, vea Asignación de
versiones de Spring.
Obtener ayuda
Si tiene alguna pregunta sobre esta documentación, cree un problema de GitHub en
uno de los siguientes repositorios de GitHub. También se admiten las solicitudes de
incorporación de cambios.
ノ Expandir tabla
Sugerencia
Para obtener más información sobre la migración a la versión 4.0, consulte Guía de
migración para la versión 4.0.
En la lista siguiente se resumen algunos de los cambios que proporciona Spring Cloud
Azure 4.0:
Introducción
Configuración de dependencias
XML
<dependencyManagement>
<dependencies>
<dependency>
<groupId>com.azure.spring</groupId>
<artifactId>spring-cloud-azure-dependencies</artifactId>
<version>4.14.0</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
7 Nota
Dependencias de inicio
Spring Cloud Azure Starters es un conjunto de descriptores de dependencia
convenientes que se van a incluir en la aplicación. Cada inicio contiene todas las
dependencias y dependencias transitivas necesarias para empezar a usar su módulo de
Azure de Spring Cloud correspondiente. Estos inicios aumentan el desarrollo de
aplicaciones de Spring Boot con servicios de Azure.
Por ejemplo, si desea empezar a usar Spring y Azure Cosmos DB para la persistencia de
datos, incluya la dependencia en el spring-cloud-azure-starter-cosmos proyecto.
ノ Expandir tabla
Nombre Descripción
spring-cloud-azure-starter-acti El inicio para usar Azure Active Directory B2C con Spring Securit
ve-directory-b2c y.
En la tabla siguiente se enumeran los inicios para la compatibilidad con Spring Data:
ノ Expandir tabla
Nombre Descripción
spring-cloud-azure-starter-data-cosmos El inicio para usar Spring Data para Azure Cosmos DB.
ノ Expandir tabla
Nombre Descripción
En la tabla siguiente se enumeran los inicios para la compatibilidad con Spring Cloud
Stream:
ノ Expandir tabla
Nombre Descripción
spring-cloud-azure-starter-stream-ev Los inicios para usar Azure Event Hubs y Spring Cloud Str
enthubs eam Binder.
spring-cloud-azure-starter-stream-ser El inicio para usar Azure Service Bus y Spring Cloud Strea
vicebus m Binder.
ノ Expandir tabla
Nombre Descripción
spring-cloud-azure-starter-jd Los inicios para usar Azure MySQLs y JDBC a través de la autentica
bc-mysql ción de Microsoft Entra.
Nombre Descripción
spring-cloud-azure-starter-jdb Los inicios para usar Azure PostgreSQL y JDBC a través de la aut
c-postgresql enticación de Microsoft Entra.
Vea Supervisión de Azure Files para más información sobre la recopilación y el análisis de datos de supervisión de Azure Files.
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Métricas
En las tablas siguientes se indican las métricas de plataforma recopiladas para Azure Files.
Métricas de capacidad
Los valores de las métricas de capacidad se actualizan diariamente (hasta 24 horas). El intervalo de agregación define el intervalo de tiempo
para el que se presentan los valores de las métricas. El intervalo de agregación que se admite en las métricas de capacidad es una hora
(PT1H).
Nivel de cuenta
Métrica Descripción
UsedCapacity La cantidad de almacenamiento que utiliza la cuenta de almacenamiento. En las cuentas de almacenamiento estándar, es la suma de la
capacidad usada por un blob, una tabla, un archivo y una cola. Tanto en las cuentas de almacenamiento Premium como en las cuentas de
Blob Storage, coincide con BlobCapacity.
Unidad: bytes
Tipo de agregación: promedio
Ejemplo de valor: 1024
Azure Files
Métrica Descripción
Unidad: bytes
Tipo de agregación: promedio
Dimensiones: FileShare, Tier
Ejemplo de valor: 1024
Unidad: recuento
Tipo de agregación: promedio
Dimensiones: FileShare, Tier
Ejemplo de valor: 1024
FileShareCapacityQuota Límite superior de la cantidad de almacenamiento que puede usar el servicio Azure Files en bytes.
Unidad: bytes
Tipo de agregación: promedio
Ejemplo de valor: 1024
Métrica Descripción
Unidad: recuento
Tipo de agregación: promedio
Ejemplo de valor: 1024
FileShareProvisionedIOPS El número de IOPS aprovisionadas en un recurso compartido de archivos. Esta métrica solo se puede aplicar a un
almacenamiento de archivos Premium.
Unidad: CountPerSecond
Tipo de agregación: Average
FileShareSnapshotCount Número de instantáneas presentes en el recurso compartido en el servicio Azure Files de la cuenta de
almacenamiento.
Unidad: recuento
Tipo de agregación: Average
FileShareSnapshotSize Cantidad de almacenamiento que usan las instantáneas del servicio Azure Files de la cuenta de almacenamiento.
Unidad: bytes
Tipo de agregación: Average
FileShareMaxUsedIOPS Número máximo de IOPS usadas en la granularidad de tiempo más baja de 1 minuto para el recurso compartido de
archivos Premium en la cuenta de almacenamiento de archivos Premium.
Unidad: CountPerSecond
Tipo de agregación: Max
FileShareMaxUsedBandwidthMiBps El número máximo de ancho de banda usado en MiB/s en la granularidad de tiempo más baja de 1 minuto para el
recurso compartido de archivos Premium en la cuenta de almacenamiento de archivos Premium.
Unidad: CountPerSecond
Tipo de agregación: Max
Métricas de transacciones
Se emiten en todas las solicitudes enviadas a una cuenta de almacenamiento de Azure Storage a Azure Monitor. En caso de que no haya
actividad en la cuenta de almacenamiento, no habrá ningún dato en las métricas de transacciones del período. Todas las métricas de
transacción están disponibles en el nivel de cuenta y de servicio de Azure Files. El intervalo de agregación define el intervalo de tiempo en
el que se presentan los valores de las métricas. Los intervalos de agregación compatible para todas las métricas de transacciones son PT1H
y PT1M.
Métrica Descripción
Transacciones El número de solicitudes realizadas a un servicio de almacenamiento o la operación de API especificada. Este número incluye
solicitudes correctas y con errores, así como las solicitudes que generaron errores.
Unidad: Count
Tipo de agregación: total
Dimensiones aplicables: ResponseType, GeoType, ApiName y Authentication (Definición)
Ejemplo de valor: 1024
Entrada La cantidad de datos de entrada. Este número incluye la entradas desde un cliente externo en Azure Storage, así como la entrada
dentro de Azure.
Unidad: bytes
Tipo de agregación: total
Dimensiones aplicables: GeoType, ApiName y Authentication (Definición)
Ejemplo de valor: 1024
Salida La cantidad de datos de salida. Este número incluye la salida de un cliente externo en Azure Storage, así como la salida dentro de
Azure. En consecuencia, este número no refleja las salidas facturables.
Unidad: bytes
Tipo de agregación: total
Dimensiones aplicables: GeoType, ApiName y Authentication (Definición)
Ejemplo de valor: 1024
Métrica Descripción
SuccessServerLatency El tiempo medio que se usa para que Azure Storage procese una solicitud correcta . Este valor no incluye la latencia de red
especificada en SuccessE2ELatency.
Unidad: milisegundos
Tipo de agregación: promedio
Dimensiones aplicables: GeoType, ApiName y Authentication (Definición)
Ejemplo de valor: 1024
SuccessE2ELatency La latencia media de un extremo a otro de las solicitudes correctas realizadas a un servicio de almacenamiento o a la operación de
API especificada. Este valor incluye el tiempo de procesamiento requerido dentro de Azure Storage para leer la solicitud, enviar la
respuesta y recibir la confirmación de la respuesta. La diferencia entre los valores de SuccessE2ELatency y SuccessServerLatency es la
latencia que probablemente causan la red y el cliente.
Unidad: milisegundos
Tipo de agregación: promedio
Dimensiones aplicables: GeoType, ApiName y Authentication (Definición)
Ejemplo de valor: 1024
Disponibilidad El porcentaje de disponibilidad para el servicio de almacenamiento o la operación de API especificada. Para calcular la disponibilidad
hay que tomar el número total de solicitudes facturables y dividirlo por el número de solicitudes aplicables, incluidas las solicitudes
que generaron errores inesperados. Todos los errores inesperados reducen la disponibilidad del servicio de almacenamiento o de la
operación de API especificada.
Unidad: porcentaje
Tipo de agregación: promedio
Dimensiones aplicables: GeoType, ApiName y Authentication (Definición)
Ejemplo de valor: 99,99
Dimensiones de métricas
Azure Files admite las siguientes dimensiones para las métricas en Azure Monitor.
7 Nota
La dimensión de recurso compartido de archivos no está disponible para recursos compartidos de archivos estándar (solo para
recursos compartidos de archivos prémium). Al usar recursos compartidos de archivos estándar, las métricas proporcionadas son para
todos los recursos compartidos de archivos de la cuenta de almacenamiento. Para obtener métricas por recurso compartido para
recursos compartidos de archivos estándar, cree un recurso compartido de archivos por cuenta de almacenamiento.
Nombre de Descripción
dimensión
GeoType Transacción de clúster principal o secundario. Los valores disponibles incluyen Principal y Secundario. Se aplica al Almacenamiento con
redundancia geográfica con acceso de lectura (RA-GRS) al leer objetos de un inquilino secundario.
ClientTimeoutError: solicitud autenticada que ha superado el tiempo de espera y que devolvió un código de estado HTTP 500. Si el
tiempo de expiración de la red del cliente o el tiempo de expiración de la solicitud se establece en un valor menor de lo que espera el
servicio de almacenamiento, es un tiempo de expiración esperado. De lo contrario, se notifica como un error ServerTimeoutError.
ClientOtherError: todos los errores del lado cliente, excepto los descritos.
Correcto: solicitud correcta.
SuccessWithThrottling: solicitud correcta cuando un cliente SMB obtiene una limitación en el primer intento, pero se ejecuta
correctamente después de varios reintentos.
SuccessWithShareEgressThrottling: aplicable solo a los recursos compartidos de archivos Premium. Solicitud correcta cuando un
cliente SMB obtiene una limitación en el primer intento debido al límite de ancho de banda de salida, pero se ejecuta correctamente
después de varios reintentos.
SuccessWithShareIngressThrottling: aplicable solo a los recursos compartidos de archivos Premium. Solicitud correcta cuando un
cliente SMB obtiene una limitación en el primer intento debido al límite de ancho de banda de entrada, pero se ejecuta correctamente
después de varios reintentos.
SuccessWithShareIopsThrottling: solicitud correcta cuando un cliente SMB obtiene una limitación en los primeros intentos debido
a la limitación de IOPS, pero se ejecuta correctamente después de varios reintentos.
ApiName El nombre de la operación. Si se produce un error antes de que se identifique el nombre de la operación, este aparece como
"Unknown" (Desconocido). Para más información sobre el error, puede usar el valor de la dimensión ResponseType.
Autenticación Tipos de autenticación que se usan en las transacciones. Los valores disponibles son:
AccountKey: la transacción se autentica con la clave de la cuenta de almacenamiento.
SAS: la transacción se autentica con firmas de acceso compartido.
OAuth: la transacción se autentica con tokens de acceso de OAuth.
Anonymous: la transacción se solicita de forma anónima. No incluye las solicitudes preparatorias.
AnonymousPreflight: la transacción es una solicitud preparatoria.
Propiedad Descripción
time Hora universal coordinada (UTC) a la que el almacenamiento ha recibido la solicitud. Por ejemplo: 2018/11/08 21:09:36.6900118 .
operationVersion Versión del servicio de almacenamiento especificada al realizar la solicitud. Es equivalente al valor del encabezado x-ms-version. Por
ejemplo: 2017-04-17 .
statusCode Código de estado HTTP o SMB de la solicitud. Si se interrumpe la solicitud HTTP, este valor se podría establecer en Unknown .
Por ejemplo: 206
statusText Estado de la operación solicitada. Puede encontrar una lista completa de mensajes de estado en Operaciones y mensajes de estado
registrados por Storage Analytics. En la versión 2017-04-17 y posteriores, el mensaje de estado ClientOtherError no se usa. En su lugar,
este campo contiene un código de error. Por ejemplo: SASSuccess
durationMs Tiempo total, expresado en milisegundos, necesario para realizar la operación solicitada. Incluye el tiempo necesario para leer la
solicitud entrante y para enviar la respuesta al solicitante. Por ejemplo: 12 .
callerIpAddress Dirección IP del solicitante, incluido el número de puerto. Por ejemplo: 192.100.0.102:4362 .
correlationId Identificador que se usa para poner en correlación registros entre recursos. Por ejemplo: b99ba45e-a01e-0042-4ea6-772bbb000000 .
Propiedad Descripción
authorization/denyAssignmentId La fecha en formato GUID cuando una asignación de denegación deniega el acceso.
La asignación de denegación puede ser de Azure Blueprints o de una aplicación administrada.
Para más información sobre las asignaciones de denegación, consulte Descripción de las asignaciones de denegación de Azure
requester/appID Identificador de la aplicación de Open Authorization (OAuth) que se usa como solicitante.
Por ejemplo: d3f7d5fe-e64a-4e4e-871d-333333333333 .
requester/objectId Identificador de objeto de OAuth de la solicitud. En el caso de la autenticación Kerberos, representa al identificador de objeto del
Kerberos.
Por ejemplo: 0e0bf547-55e5-465c-91b7-2873712b249c .
Propiedad Descripción
userAgentHeader Valor del encabezado User-Agent, entre comillas. Por ejemplo: WA-Storage/6.2.0 (.NET CLR 4.0.30319.42000; Win32NT
6.2.9200.0) .
etag Identificador de la ETag del objeto devuelto, entre comillas. Por ejemplo: 0x8D101F7E4B662C4 .
serverLatencyMs Tiempo total, expresado en milisegundos, necesario para realizar la operación solicitada. Este valor no incluye la latencia de red
(el tiempo necesario para leer la solicitud entrante y enviar la respuesta al solicitante). Por ejemplo: 22 .
serviceType Servicio asociado a esta solicitud. Por ejemplo: blob , table , files o queue .
operationCount Número de cada operación registrada implicada en la solicitud. Este recuento comienza con un índice de 0 . Algunas solicitudes
requieren más de una operación. La mayoría de las solicitudes solo realizan una operación. Por ejemplo: 1 .
requestHeaderSize Tamaño del encabezado de la solicitud expresado en bytes. Por ejemplo: 578 .
Si una solicitud no se realiza correctamente, este valor puede estar vacío.
requestBodySize Tamaño expresado en bytes de los paquetes de la solicitud leídos por el servicio de almacenamiento.
Por ejemplo: 0 .
Si una solicitud no se realiza correctamente, este valor puede estar vacío.
responseHeaderSize Tamaño del encabezado de la respuesta expresado en bytes. Por ejemplo: 216 .
Si una solicitud no se realiza correctamente, este valor puede estar vacío.
responseBodySize Tamaño de los paquetes de respuesta escritos por el servicio de almacenamiento, en bytes. Si una solicitud no se realiza
correctamente, este valor puede estar vacío. Por ejemplo: 216 .
requestMd5 Valor del encabezado Content-MD5 o x-ms-content-md5 de la solicitud. El valor del hash MD5 especificado en este campo
representa el contenido de la solicitud. Por ejemplo: 788815fd0198be0d275ad329cafd1830 .
Este campo puede estar vacío.
serverMd5 Valor del hash MD5 calculado por el servicio de almacenamiento. Por ejemplo: 3228b3cf1069a5489b298446321f8521 .
Este campo puede estar vacío.
lastModifiedTime Hora de la última modificación del objeto devuelto. Por ejemplo: Tuesday, 09-Aug-11 21:13:26 GMT .
Este campo está vacío en el caso de operaciones que pueden devolver varios objetos.
conditionsUsed Lista separada por punto y coma de pares clave-valor que representan una condición. Las condiciones pueden ser cualquiera de
las siguientes:
If-Modified-Since
If-Unmodified-Since
If-Match
If-None-Match
Por ejemplo: If-Modified-Since=Friday, 05-Aug-11 19:11:54 GMT .
contentLengthHeader Valor del encabezado Content-Length de la solicitud enviada al servicio de almacenamiento. Si la solicitud se ha realizado
correctamente, este valor es igual a requestBodySize. Si la solicitud no se ha realizado correctamente, este valor puede no ser
igual a requestBodySize, o puede estar vacío.
tlsVersion Versión de TLS usada en la conexión de la solicitud. Por ejemplo: TLS 1.2 .
smbTreeConnectID treeConnectId del Bloque de mensajes del servidor (SMB) establecido en el momento de la conexión del árbol. Por ejemplo:
0x3
smbPersistentHandleID Identificador de manipulador persistente de una solicitud CREATE de SMB2 que sobrevive a las reconexiones de red. Con
referencia en MS-SMB2 2.2.14.1 como SMB2_FILEID.Persistent. Por ejemplo: 0x6003f
Propiedad Descripción
smbVolatileHandleID Identificador de manipulador volátil de una solicitud CREATE de SMB2 que se recicla en las reconexiones de red. Con referencia
en MS-SMB2 2.2.14.1 como SMB2_FILEID.Volatile. Por ejemplo: 0xFFFFFFFF00000065
smbCreditsConsumed Entrada o salida consumida por la solicitud, en unidades de 64 k. Por ejemplo: 0x3
smbCommandDetail Más información sobre esta solicitud específica en lugar del tipo general de solicitud. Por ejemplo: 0x2000 bytes at offset
0xf2000
smbFileId FileId asociado al archivo o directorio. Más o menos análogo a un elemento FileId de NTFS. Por ejemplo: 0x9223442405598953
smbSessionID El elemento SessionId de SMB2 establecido en el momento de la configuración de la sesión. Por ejemplo: 0x8530280128000049
smbCommandMajor Valor de SMB2_HEADER.Command. Actualmente, se trata de un número entre 0 y 18, ambos incluidos. Por ejemplo: 0x6
uint32
Consulte también
Vea Supervisión de Azure Files para obtener una descripción de la supervisión de Azure Storage.
Para más información sobre la supervisión de recursos de Azure, consulte Supervisión de recursos de Azure con Azure Monitor.
El almacenamiento con redundancia de
zona de Azure Files para recursos
compartidos de archivos premium
Artículo • 22/11/2023
Se aplica a
Tipo de recurso compartido de archivos SMB NFS
Consulte también
Redundancia de Azure Files
Tipos de recursos Microsoft.Storage
Artículo • 20/07/2023
En este artículo se enumeran las versiones disponibles para cada tipo de recurso.
Para obtener una lista de los cambios en cada versión de api, consulte registro de
cambios.
locations/deletedAccounts 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
2021-02-01
01-01-2021
storageAccounts 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
2021-02-01
01-01-2021
storageAccounts/blobServices 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
2021-02-01
01-01-2021
storageAccounts/blobServices/containers 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
Tipos Versiones
2021-02-01
01-01-2021
storageAccounts/blobServices/containers/immutabilityPolicies 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
2021-02-01
01-01-2021
storageAccounts/encryptionScopes 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
2021-02-01
01-01-2021
storageAccounts/fileServices 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
2021-02-01
01-01-2021
storageAccounts/fileServices/shares 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
2021-02-01
01-01-2021
storageAccounts/inventoryPolicies 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
2021-02-01
01-01-2021
Tipos Versiones
storageAccounts/localUsers 2022-09-01
2022-05-01
01-09-2021
2021-08-01
storageAccounts/managementPolicies 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
2021-02-01
01-01-2021
storageAccounts/objectReplicationPolicies 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
2021-02-01
01-01-2021
storageAccounts/privateEndpointConnections 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
2021-02-01
01-01-2021
storageAccounts/queueServices 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
2021-02-01
01-01-2021
storageAccounts/queueServices/queues 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
Tipos Versiones
2021-02-01
01-01-2021
storageAccounts/tableServices 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
2021-02-01
01-01-2021
storageAccounts/tableServices/tables 2022-09-01
2022-05-01
01-09-2021
2021-08-01
2021-06-01
2021-04-01
2021-02-01
01-01-2021
Videos de Azure Files y Azure File Sync
Artículo • 02/08/2023
Si no está familiarizado con Azure Files y File Sync o desea profundizar su comprensión,
este artículo proporciona una lista completa del contenido de vídeo publicado a lo largo
del tiempo. Es posible que algunos vídeos no reflejen las actualizaciones más recientes.
Lista de vídeos
How Azure Files can help protect against ransomware and acciden…
acciden…
How to mount an Azure Files share in Windows | Azure Tips and Tri…
Tri…
En este artículo se proporciona una comparación entre Azure Files y Azure NetApp Files.
Características
Category Azure Files Azure NetApp Files
NFSv3, NFSv4.1
Estándar Acceso de protocolo dual
(NFSv3/SMB y NFSv4.1/SMB)
SMB 2.1, 3.0, 3.1.1
REST
Para más información, consulte cómo
crear volúmenes NFS, SMB o de
Para más información, consulte protocolo doble.
los protocolos de recursos
compartidos de archivos
disponibles.
LRS
ZRS
GRS
GZRS
Acuerdo de Nivel Acuerdo de Nivel de Servicio Acuerdo de Nivel de Servicio para Azure
de Servicio (SLA) para Azure Files NetApp Files
Tenga en cuenta
que los Acuerdos
de Nivel de Servicio
para Azure Files y
Category Azure Files Azure NetApp Files
Integración de ADDS/LDAP
Tenga en cuenta que la ADD/LDAP sobre TLS
autenticación basada en
identidad solo se admite
NFSv3/NFSv4.1
cuando se utiliza el protocolo
SMB. Para más información, Integración de ADDS/LDAP con
consulte Preguntas frecuentes. grupos extendidos de NFS
SMB SMB
NFS 4.1
REST
Cifrado en tránsito mediante
Cifrado en tránsito Kerberos con AES-256
Escalabilidad y rendimiento
Category Azure Files Azure NetApp Files
Estándar Estándar
Estándar
Estándar
1,000
Estándar
60 MiB/s
Category Azure Files Azure NetApp Files
SMB multicanal Sí Sí
Para más información sobre los objetivos de escalabilidad y rendimiento, consulte Azure
Files y Azure NetApp Files.
Pasos siguientes
Documentación de Azure Files
Documentación sobre Azure NetApp Files
Almacenamiento compartido para todas las sesiones de cargas de trabajo de
archivos empresariales
Comparación del acceso a Azure Files,
Blob Storage y Azure NetApp Files con
NFS
Artículo • 20/03/2023
En este artículo se proporciona una comparación entre cada una de estas ofertas si se
accede a ellas mediante el protocolo Network File System (NFS) . Esta comparación no
se aplica si se accede a ellas por cualquier otro método.
Si busca comparaciones más generales, consulte: este artículo para comparar Azure Blob
Storage y Azure Files o este otro para comparar Azure Files y Azure NetApp Files.
De comparación
Category Azure Blob Azure Files Azure NetApp Files
Storage
Category Azure Blob Azure Files Azure NetApp Files
Storage
Rendimiento Hasta 20 000 IOPS, Hasta 100 000 IOPS, con un Hasta 460 000 IOPS, un
(por con un rendimiento de 10 Gib/s. rendimiento de 4,5 GiB/s
volumen). rendimiento de por volumen normal y un
15 Gib/s. rendimiento de 10 GiB/s
por volumen grande.
Escala Hasta 5 PiB para Hasta 100 TiB para un único Hasta 100 TiB para un
un solo volumen. recurso compartido de único volumen normal y
archivos. 500 TiB para un volumen
Hasta 190,7 TiB grande.
para un único Hasta 4 TiB para un solo
blob. archivo. Hasta 16 TiB para un solo
archivo.
No hay requisitos 100 GiB de capacidad
mínimos de mínima. Experiencia coherente de
capacidad. nube híbrida.
Pasos siguientes
Para acceder a Blob Storage con NFS, consulte Compatibilidad del protocolo
Network File System (NFS) 3.0 en Azure Blob Storage.
Para acceder Azure Files con NFS, consulte Recursos compartidos de archivos NFS
en Azure Files.
Para acceder a Azure NetApp Files con NFS, consulte Inicio rápido: Configuración
de Azure NetApp Files y creación de un volumen NFS.
Casos prácticos de clientes de
Azure Files y Azure File Sync
Artículo • 28/07/2023
Los clientes de diversos sectores usan Azure Files y Azure File Sync para hospedar sus
recursos compartidos de archivos y sincronizar los servidores de archivos locales en la
nube. Obtenga información directamente de los casos de uso de clientes que se
enumeran aquí.
El 31 de marzo de 2023, se retiró el soporte técnico para las bibliotecas del SDK de
Azure que no cumplen las directrices actuales del SDK de Azure . Las nuevas
bibliotecas del SDK de Azure se actualizan periódicamente para impulsar experiencias
coherentes y reforzar la posición de seguridad. Se recomienda realizar la transición a las
nuevas bibliotecas del SDK de Azure para aprovechar las nuevas funcionalidades y las
actualizaciones de seguridad críticas.
Aunque las bibliotecas anteriores todavía se pueden usar más allá del 31 de marzo de
2023, ya no recibirán soporte técnico oficial ni actualizaciones de Microsoft. Para
obtener más información, consulte el anuncio de retirada de soporte técnico .
Requisitos previos
Instale estos paquetes en el directorio del proyecto:
Microsoft.Azure.Storage.Common
Microsoft.Azure.Storage.File
Microsoft.Azure.ConfigurationManager
C#
C#
C#
Microsoft.Azure.CloudConfigurationManager.GetSetting("StorageConnectionStrin
g"));
// Now check the quota for the share. Call FetchAttributes() to populate
the share's properties.
share.FetchAttributes();
Console.WriteLine("Current share quota: {0} GiB",
share.Properties.Quota);
}
C#
Microsoft.Azure.CloudConfigurationManager.GetSetting("StorageConnectionStrin
g"));
// Add the stored access policy to the share's policies. Note that each
policy must have a unique name.
permissions.SharedAccessPolicies.Add(policyName, sharedPolicy);
share.SetPermissions(permissions);
// Generate a SAS for a file in the share and associate this access
policy with it.
CloudFileDirectory rootDir = share.GetRootDirectoryReference();
CloudFileDirectory sampleDir =
rootDir.GetDirectoryReference("CustomLogs");
CloudFile file = sampleDir.GetFileReference("Log1.txt");
string sasToken = file.GetSharedAccessSignature(null, policyName);
Uri fileSasUri = new Uri(file.StorageUri.PrimaryUri.ToString() +
sasToken);
// Create a new CloudFile object from the SAS, and write some text to
the file.
CloudFile fileSas = new CloudFile(fileSasUri);
fileSas.UploadText("This write operation is authorized via SAS.");
Console.WriteLine(fileSas.DownloadText());
}
Copiar archivos
Artículo relacionado: Desarrollo para Azure Files con .NET
A partir de la versión 5.x de la biblioteca cliente de Azure Files, puede copiar un archivo
en otro, un archivo en un blob o un blob en un archivo.
También puede usar AzCopy para copiar un archivo en otro o para copiar un blob en un
archivo o viceversa. Consulte Introducción a AzCopy.
7 Nota
C#
Microsoft.Azure.CloudConfigurationManager.GetSetting("StorageConnectionStrin
g"));
C#
Microsoft.Azure.CloudConfigurationManager.GetSetting("StorageConnectionStrin
g"));
// Construct the URI to the source file, including the SAS token.
Uri fileSasUri = new Uri(sourceFile.StorageUri.PrimaryUri.ToString() +
fileSas);
A partir de la versión 8.5 de la biblioteca cliente de Azure Files, se puede crear una
instantánea de recurso compartido. Las instantáneas de recursos compartidos también
se pueden enumerar, explorar y eliminar. Una vez creadas, las instantáneas de recursos
compartidos son de solo lectura.
C#
storageAccount = CloudStorageAccount.Parse(ConnectionString);
fClient = storageAccount.CreateCloudFileClient();
string baseShareName = "myazurefileshare";
CloudFileShare myShare = fClient.GetShareReference(baseShareName);
var snapshotShare = myShare.Snapshot();
C#
C#
C#
C#
Puede habilitar las métricas para Azure Files mediante Azure Portal . La métrica
también se puede habilitar mediante programación. Para ello, hay que llamar a la
operación Set File Service Properties con la API de REST o una de sus análogas de la
biblioteca cliente de Azure Files.
En primer lugar, agregue las siguientes directivas using a su archivo Program.cs, además
de las que ya ha agregado:
C#
using Microsoft.Azure.Storage.File.Protocol;
using Microsoft.Azure.Storage.Shared.Protocol;
Aunque Azure Blobs, Azure Tables y Azure Queues utilizan el tipo compartido
ServiceProperties en el espacio de nombres Microsoft.Azure.Storage.Shared.Protocol ,
Azure Files utiliza el suyo propio, el tipo FileServiceProperties en el espacio de
nombres Microsoft.Azure.Storage.File.Protocol . No obstante, debe hacer referencia a
ambos espacios de nombres en el código para que se pueda compilar.
C#
Microsoft.Azure.CloudConfigurationManager.GetSetting("StorageConnectionStrin
g"));
// Create the File service client.
CloudFileClient fileClient = storageAccount.CreateCloudFileClient();
7 Nota
Los ejemplos de este artículo usan la biblioteca en desuso de Azure Storage .NET
v11. Para obtener el código y las instrucciones más recientes de la versión 12,
consulte Uso de redundancia geográfica para diseñar aplicaciones de alta
disponibilidad.
Una característica común de las infraestructuras basadas en la nube como Azure Storage
es que proporcionan una plataforma de alta disponibilidad y duración para hospedar
datos y aplicaciones. Los desarrolladores de aplicaciones basadas en la nube deben
considerar atentamente cómo aprovechar esta plataforma para maximizar estas ventajas
para sus usuarios. Azure Storage ofrece almacenamiento con redundancia geográfica
para garantizar la alta disponibilidad incluso en caso de interrupción regional. Las
cuentas de almacenamiento configuradas para la replicación con redundancia
geográfica se replican de forma sincrónica en la región primaria y luego se replican de
forma asincrónica en una región secundaria que se encuentra a cientos de kilómetros de
distancia.
Azure Storage ofrece dos tipos de replicación con redundancia geográfica. La única
diferencia entre estas dos opciones es la forma en que los datos se replican en la región
principal:
En este artículo se muestra cómo diseñar la aplicación para controlar una interrupción
en la región primaria. Si la región primaria deja de estar disponible, la aplicación se
puede adaptar para realizar operaciones de lectura en la región secundaria en su lugar.
Antes de comenzar, asegúrese de que la cuenta de almacenamiento está configurada
para RA-GRS o RA-GZRS.
Cuando diseñe su aplicación para RA-GRS o RA-GZRS debe tener en cuenta estos
puntos clave:
Azure Storage mantiene una copia de solo lectura de los datos que almacena en la
región primaria en una región secundaria. Como se mencionó anteriormente, el
servicio de almacenamiento determina la ubicación de la región secundaria.
Para blobs, tablas y colas, puede consultar en la región secundaria un valor Hora de
última sincronización que indica cuándo se produjo la última replicación desde la
región primaria a la secundaria (Esto no se admite para Azure Files, que no tiene
redundancia RA-GRS en este momento).
Puede usar la biblioteca cliente de Storage para leer y escribir los datos en la
región primaria o la secundaria. También puede redirigir solicitudes de lectura
automáticamente a la región secundaria si se agota el tiempo de espera de una
solicitud de lectura a la región principal.
Si la región primaria deja de estar disponible, puede iniciar una conmutación por
error de la cuenta. Si la conmutación por error tiene como destino la región
secundaria, las entradas DNS que apunten a la región primaria se modificarán para
que apunten a la región secundaria. Una vez completada la conmutación por error,
se restaurará el acceso de escritura en las cuentas GRS y RA-GRS. Para obtener más
información, consulte Recuperación ante desastres y conmutación por error de la
cuenta de almacenamiento.
Por ejemplo, imagine que el cliente envía correctamente una actualización, pero se
produce un error en la región primaria antes de que la actualización se propague a la
región secundaria. Cuando el cliente pide leer de nuevo los datos, se reciben los datos
obsoletos de la región secundaria en lugar de los datos actualizados. Cuando diseña la
aplicación, debe decidir si esto es aceptable y, en tal caso, cómo enviará mensajes al
cliente.
Por ejemplo, si usa colas y blobs en la aplicación, puede decidir colocarlos de forma
independiente en el código para poder controlar los errores con posibilidad de
reintento para cada uno de ellos. Entonces, si obtiene un reintento desde Blob service,
pero Queue service sigue funcionando, solo se verá afectada la parte de la aplicación
que controla blobs. Si decide controlar todos los reintentos de servicios de
almacenamiento de forma genérica y una llamada a Blob service devuelve un error con
posibilidad de reintento, se verán afectadas las solicitudes tanto a Blob service como a
Queue service.
Otras consideraciones
En el resto del artículo, también se tratarán estas consideraciones.
Prueba
Por ejemplo, puede establecer una marca que se comprueba antes de que se envíe
cualquier solicitud de actualización a Azure Storage. Cuando llegue una de las
solicitudes de actualización, puede pasarla por alto y devolver una respuesta adecuada
al cliente. Incluso es posible que desee deshabilitar totalmente determinadas
características hasta que se resuelva el problema y notificar a los usuarios que esas
características no están disponibles temporalmente.
Si decide controlar errores para cada servicio por separado, también necesitará controlar
la capacidad de ejecutar la aplicación en modo de solo lectura para cada servicio. Por
ejemplo, es posible que tenga marcas de solo lectura en cada servicio que se puede
habilitar o deshabilitar. Luego puede manipular la marca en los lugares
correspondientes del código.
Poder ejecutar la aplicación en modo de solo lectura ofrece otra ventaja: la capacidad de
garantizar una funcionalidad limitada durante una actualización importante de la
aplicación. Puede desencadenar la aplicación para que se ejecute en modo de solo
lectura y apunte al centro de datos secundario, de forma que nadie acceda a los datos
de la región primaria mientras se estén llevando a cabo actualizaciones.
Puede poner las actualizaciones en cola en otra región. En este caso, podría
escribir las solicitudes de actualización pendientes en una cola de una región
distinta y, después, contar con una forma de procesar esas solicitudes una vez que
el centro de datos principal vuelva a estar en línea. En este escenario, debería hacer
saber al cliente que la actualización solicitada está en cola para procesarse más
adelante.
Solicitudes de lectura
Las solicitudes de lectura se pueden redirigir a almacenamiento secundario si hay un
problema con el principal. Como se indicó antes en Uso de datos con coherencia final,
debe ser aceptable que su aplicación lea datos potencialmente obsoletos. Si usa la
biblioteca del cliente de almacenamiento para acceder a datos desde la región
secundaria, puede especificar el comportamiento de reintento de una solicitud de
lectura estableciendo un valor para la propiedad LocationMode en una de las siguientes
opciones:
PrimaryThenSecondary
SecondaryOnly
SecondaryThenPrimary
En este escenario, no hay ninguna reducción notable del rendimiento por tener
LocationMode establecido en PrimaryThenSecondary, ya que esto solo sucede en
raras ocasiones.
Para estos escenarios, debe reconocer que existe un problema continuado con el punto
de conexión principal y enviar todas las solicitudes de lectura directamente al punto de
conexión secundario; para ello, establezca la propiedad LocationMode en
SecondaryOnly. En este momento, también debería cambiar la aplicación para que se
ejecute en modo de solo lectura. Este enfoque se conoce como el patrón de disyuntor.
Solicitudes de actualización
El patrón de disyuntor también se puede aplicar a las solicitudes de actualización. Sin
embargo, estas no se pueden redirigir al almacenamiento secundario, que es de solo
lectura. Para estas solicitudes, debe dejar la propiedad LocationMode establecida en
PrimaryOnly (valor predeterminado). Para controlar estos errores, puede aplicar una
métrica a estas solicitudes (por ejemplo, 10 errores consecutivos) y, cuando se alcance el
umbral, cambiar la aplicación al modo de solo lectura. Puede usar los mismos métodos
para volver al modo de actualización que los descritos en la siguiente sección sobre el
patrón de disyuntor.
Patrón de disyuntor
Si usa el patrón de disyuntor en la aplicación, puede impedir que reintente una
operación que es probable que produzca errores una y otra vez. Permite que la
aplicación siga ejecutándose en lugar de ocupar tiempo mientras se reintenta la
operación de forma exponencial. Además, detecta cuándo se ha corregido el error,
momento en el que la aplicación puede intentar la operación de nuevo.
Para el primer escenario, basta con que cuente los errores y, si se produce un resultado
correcto antes de alcanzar el máximo, restablezca el recuento a cero. Para el segundo
escenario, una posibilidad de implementación es usar el objeto MemoryCache (en. NET).
Para cada solicitud, agregue un elemento CacheItem a la memoria caché, establezca el
valor en correcto (1) o error (0), y establezca la hora de expiración en 2 minutos a partir
del momento actual (o la restricción temporal que sea). Cuando se alcanza la hora de
expiración de una entrada, esta se quita automáticamente. Esto le dará un intervalo
gradual de 2 minutos. Cada vez que se envíe una solicitud al servicio de
almacenamiento, use primero una consulta Linq en el objeto MemoryCache para
calcular el porcentaje de corrección, para lo cual se suman los valores y se dividen por el
recuento. Cuando el porcentaje de corrección sea inferior a un umbral (por ejemplo, 10
%), establezca la propiedad LocationMode para solicitudes de lectura en
SecondaryOnly y cambie la aplicación al modo de solo lectura antes de continuar.
El umbral de errores que se usa para determinar cuándo se debe realizar el cambio
puede variar para cada servicio en la aplicación, por lo que debería considerar convertir
los umbrales en parámetros configurables. Aquí también se decide controlar los errores
con posibilidad de reintento de cada servicio por separado o en conjunto, según lo
descrito antes.
Otra consideración es cómo controlar varias instancias de una aplicación y qué hacer
cuando se detecten errores con posibilidad de reintento en cada instancia. Por ejemplo,
puede que tenga 20 máquinas virtuales que se ejecutan con la misma aplicación
cargada. ¿Va a controlar cada instancia por separado? Si una instancia empieza a tener
problemas, ¿desea limitar la respuesta solo a esa instancia o intentar que todas las
instancias respondan de la misma manera cuando una de ellas tenga un problema?
Controlar las instancias por separado es mucho más sencillo que intentar coordinar la
respuesta en todas ellas, pero la forma de hacerlo depende de la arquitectura de la
aplicación.
C#
operationContext.Retrying += (sender, arguments) =>
{
// Retrying in the primary region
if (arguments.Request.Host == primaryhostname)
...
};
C#
return info;
}
En este ejemplo, suponga que el cliente pasa a leer desde la región secundaria en T5.
Puede leer correctamente la entidad rol administrador en este momento, pero la
entidad contiene un valor para el recuento de administradores que no es coherente con
el número de entidades empleado que están marcadas como administradores en la
región secundaria en este momento. El cliente podría mostrar simplemente este valor y
correr el riesgo de que sea información incoherente. O bien, el cliente podría intentar
determinar que el rol administrador se encuentra en un estado potencialmente
incoherente porque las actualizaciones se han producido desordenadas y después
informar al usuario sobre este hecho.
Para reconocer que tiene datos potencialmente incoherentes, el cliente puede usar el
valor de Hora de última sincronización, que puede obtener en cualquier momento al
consultar un servicio de almacenamiento. Esto indica la hora en que los datos de la
región secundaria fueron coherentes por última vez y cuándo aplicó el servicio todas las
transacciones hasta ese momento. En el ejemplo mostrado antes, una vez que el servicio
inserta la entidad empleado en la región secundaria, la hora de la última sincronización
se establece en T1. Permanece en T1 hasta que el servicio actualiza la entidad empleado
en la región secundaria cuando se establece en T6. Si el cliente recupera la última hora
de sincronización cuando lee la entidad en T5, puede compararla con la marca de
tiempo en la entidad. Si la marca de tiempo en la entidad es posterior a la hora de la
última sincronización, la entidad se encuentra en un estado potencialmente incoherente,
por lo que podrá llevar a cabo la acción adecuada para su aplicación. Para usar este
campo, es necesario saber cuándo se completó la última actualización en la región
primaria.
Prueba
Es importante comprobar que la aplicación se comporte según lo esperado cuando
encuentre errores con posibilidad de reintento. Por ejemplo, debe probar que la
aplicación cambie a la región secundaria y al modo de solo lectura cuando se detecte un
problema y que cambie de vuelta a la región primaria cuando vuelva a estar disponible.
Para ello, necesita una manera de simular errores con posibilidad de reintento y
controlar la frecuencia con que se producen.
Puede usar Fiddler para interceptar y modificar respuestas HTTP en un script. Este
script puede identificar las respuestas que proceden de su punto de conexión principal y
cambiar el código de estado HTTP para que la biblioteca del cliente de almacenamiento
lo reconozca como error con posibilidad de reintento. Este fragmento de código
muestra un ejemplo sencillo de un script de Fiddler que intercepta respuestas a
solicitudes de lectura para la tabla employeedata y devuelve un estado 502:
Puede ampliar este ejemplo para interceptar una gama más amplia de solicitudes y
solamente cambiar el elemento responseCode en algunas de ellas para simular mejor
un escenario real. Para más información sobre cómo personalizar scripts de Fiddler,
consulte Modifying a Request or Response (Modificación de una solicitud o respuesta)
en la documentación de Fiddler.
Pasos siguientes
Para ver un ejemplo completo de cómo cambiar entre el punto de conexión principal y
el secundario, consulte Ejemplos de Azure: uso del patrón de interruptor con
almacenamiento de RA-GRS .
Ejemplos de código del recurso
compartido de archivos de Azure que
usan bibliotecas cliente de Java
versión 8
Artículo • 07/05/2023
El 31 de marzo de 2023, se retiró el soporte técnico para las bibliotecas del SDK de
Azure que no cumplen las directrices actuales del SDK de Azure . Las nuevas
bibliotecas del SDK de Azure se actualizan periódicamente para impulsar experiencias
coherentes y reforzar la posición de seguridad. Se recomienda realizar la transición a las
nuevas bibliotecas del SDK de Azure para aprovechar las nuevas funcionalidades y las
actualizaciones de seguridad críticas.
Aunque las bibliotecas anteriores todavía se pueden usar más allá del 31 de marzo de
2023, ya no recibirán soporte técnico oficial ni actualizaciones de Microsoft. Para
obtener más información, consulte el anuncio de retirada de soporte técnico .
Requisitos previos
Para usar la biblioteca cliente del recurso compartido de archivos de Azure, agregue las
siguientes directivas import :
Java
Java
Se usa el cliente de Azure Files para obtener una referencia a un recurso compartido.
Java
Java
if (share.createIfNotExists()) {
System.out.println("New share created");
}
En este punto, share contiene una referencia a un recurso compartido denominado
sample share.
Java
try
{
// Retrieve storage account from connection-string.
CloudStorageAccount storageAccount =
CloudStorageAccount.parse(storageConnectionString);
if (share.deleteIfExists()) {
System.out.println("sampleshare deleted");
}
} catch (Exception e) {
e.printStackTrace();
}
Creación de un directorio
Artículo relacionado: Desarrollo con Java para Azure Files
Java
//Get a reference to the root directory for the share.
CloudFileDirectory rootDir = share.getRootDirectoryReference();
if (sampleDir.createIfNotExists()) {
System.out.println("sampledir created");
} else {
System.out.println("sampledir already exists");
}
Eliminación de un directorio
Artículo relacionado: Desarrollo con Java para Azure Files
Java
Java
//Get a reference to the root directory for the share.
CloudFileDirectory rootDir = share.getRootDirectoryReference();
Cargar un archivo
Artículo relacionado: Desarrollo con Java para Azure Files
Java
Ahora que tiene una referencia al directorio raíz del recurso compartido, puede cargar
un archivo en él utilizando el código siguiente:
Java
Descarga de un archivo
Artículo relacionado: Desarrollo con Java para Azure Files
Java
Eliminación de un archivo
Artículo relacionado: Desarrollo con Java para Azure Files
Java
file = containerDir.getFileReference(filename)
if ( file.deleteIfExists() ) {
System.out.println(filename + " was deleted");
}
Ejemplos de código del recurso
compartido de archivos de Azure que
usan bibliotecas cliente de Python
versión 2
Artículo • 12/05/2023
El 31 de marzo de 2023, se retiró el soporte técnico para las bibliotecas del SDK de
Azure que no cumplen las directrices actuales del SDK de Azure . Las nuevas
bibliotecas del SDK de Azure se actualizan periódicamente para impulsar experiencias
coherentes y reforzar la posición de seguridad. Se recomienda realizar la transición a las
nuevas bibliotecas del SDK de Azure para aprovechar las nuevas funcionalidades y las
actualizaciones de seguridad críticas.
Aunque las bibliotecas anteriores todavía se pueden usar más allá del 31 de marzo de
2023, ya no recibirán soporte técnico oficial ni actualizaciones de Microsoft. Para
obtener más información, consulte el anuncio de retirada de soporte técnico .
Requisitos previos
Instale el siguiente paquete con pip install :
Consola
Python
Python
file_service.create_share('myshare')
Creación de un directorio
Artículo relacionado: Desarrollo con Python para Azure Files
Python
file_service.create_directory('myshare', 'sampledir')
Carga de un archivo
Artículo relacionado: Desarrollo con Python para Azure Files
create_file_from_path
create_file_from_stream
create_file_from_bytes
create_file_from_text
Estos métodos que realizan la fragmentación necesaria cuando el tamaño de los datos
supera los 64 MiB.
Python
Para mostrar los archivos y los directorios de un recurso compartido, use el método
list_directories_and_files. Este método devuelve un generador. El código siguiente ofrece
el nombre de todos los archivos y el directorio de un recurso compartido de la consola.
Python
generator = file_service.list_directories_and_files('myshare')
for file_or_dir in generator:
print(file_or_dir.name)
Descarga de un archivo
Artículo relacionado: Desarrollo con Python para Azure Files
get_file_to_path
get_file_to_stream
get_file_to_bytes
get_file_to_text
Estos métodos que realizan la fragmentación necesaria cuando el tamaño de los datos
supera los 64 MiB.
Python
Puede crear una copia a un punto dado de todo el recurso compartido de archivos.
Python
snapshot = file_service.snapshot_share(share_name)
snapshot_id = snapshot.snapshot
Python
Python
shares = list(file_service.list_shares(include_snapshots=True))
Examinación de instantáneas de recurso
compartido
Artículo relacionado: Desarrollo con Python para Azure Files
Python
directories_and_files = list(
file_service.list_directories_and_files(share_name,
snapshot=snapshot_id))
Python
Python
file_service.delete_share(share_name, snapshot=snapshot_id)
Eliminación de un archivo
Artículo relacionado: Desarrollo con Python para Azure Files
Python
Python
file_service.delete_share(share_name,
delete_snapshots=DeleteSnapshot.Include)