Atenção! O futuro do armazenamento de seu contêiner de perfil do Microsoft / FSLogix em arquivos do Azure como serviço de plataforma (lowest TCO) para o Windows Virtual Desktop

O sucesso na nuvem depende da infraestrutura automatizada e da utilização de serviços de plataforma como serviço (PaaS), como o Azure Files, o serviço de plataforma de armazenamento nativo do Azure que eu identifico neste artigo. A nuvem não é, definitivamente, uma questão de elevar e migrar para a Infraestrutura como um serviço – ela deve economizar esforços de gerenciamento e manutenção, bem como, eventualmente, se beneficiar de custos.

“O DOS é fundamental para o Windows, e o Windows será o fundamento para o Microsoft Azure.” – Esta citação me lembra de quão rápido vamos aproveitar os Serviços da Plataforma de Nuvem do Azure, como os Arquivos do Azure.

– Rodrigo Carran

Este artigo se concentra no Windows Virtual Desktop, mas também se aplica a todas as cargas de trabalho de área de trabalho virtual que estão sendo executadas no Azure. Use-o para aproveitar ao máximo os benefícios da sua conta de armazenamento do Azure.

Continue lendo…

Observação : este artigo se aplica apenas aos Serviços de Domínio do Active Directory do Azure – o suporte de autenticação de arquivos do Azure para o Active Directory tradicional com ACLs também está chegando. O Azure AD híbrido também não é suportado no momento para este caso de uso. Procurando uma solução de armazenamento como serviço semelhante no Azure para armazenar seus contêineres de perfil enquanto executa uma configuração de domínio do AD Hybrid AD ou um AD normal normal? Considere os arquivos NetApp do Azure – um novo serviço de plataforma no Azure que você pode aproveitar para isso.

Índice

Clique no título para pular para o local deste artigo:

  • Diferenças entre IaaS e PaaS
  • Diferenças entre (atuais e anteriores) soluções de perfil de usuário da Microsoft
    • O que são os Serviços de Domínio do Azure AD?
    • Arquivos do Azure com ACLs (NTFS) right support (preview)
    • Vai híbrido? Pense no Azure Files Sync
  • Etapa anterior: como se inscrever nos Serviços de Domínio do Active Directory do Azure
  • Pré-etapa: criar uma conta de armazenamento do Azure
  • Como habilitar arquivos do Azure para serviços de domínio do Azure AD com ACLs?
    • Criar ou selecionar uma conta de armazenamento do Azure
    • Verifique a configuração de rede apropriada
    • Adicionar um compartilhamento de arquivos do Azure
    • Configurar a autenticação do Azure Active Directory dos Azure para SMB
    • Ativar a autenticação do Active Directory do Azure
    • Definir permissões de usuário no nível de compartilhamento
    • Configurar permissões de NTFS
    • Verificar configuração
    • Configurar contêiner de perfil FSLogix

Você sabia?

  • Os compartilhamentos de arquivos do Azure oferecem suporte ao protocolo SMB padrão do setor, o que significa que você pode substituir facilmente os compartilhamentos de arquivos locais com compartilhamentos de arquivos do Azure sem se preocupar com a compatibilidade de aplicativos. Sendo capaz de compartilhar um sistema de arquivos em várias máquinas, os aplicativos / instâncias são uma vantagem significativa com os arquivos do Azure para aplicativos que precisam de capacidade de compartilhamento.
  • O Azure Files facilita a “elevação e mudança” de aplicativos para a nuvem que espera que um compartilhamento de arquivos armazene dados de aplicativos de arquivos ou de usuários. O Azure Files permite o cenário de elevação e mudança “clássico”, no qual o aplicativo e seus dados são movidos para o Azure e o cenário de elevação e mudança “híbrida”, para o qual os dados do aplicativo são movidos para os arquivos do Azure e o aplicativo continua executar no local.
  • As permissões de arquivos do Azure devem corresponder às permissões descritas em Requisitos – Contêineres de perfil.
  • Cada conjunto de hosts deve ser construído com o mesmo tipo e tamanho de VM com base na mesma imagem mestre.
  • Cada VM do conjunto de hosts deve estar no mesmo grupo de recursos para ajudar no gerenciamento, no dimensionamento e na atualização.
  • Para um desempenho ideal, a solução de armazenamento e o contêiner de perfil FSLogix devem estar no mesmo local do datacenter.
  • A conta de armazenamento que contém a imagem mestra deve estar na mesma região e assinatura em que as VMs estão sendo aprovisionadas.
  • Os compartilhamentos de arquivos do Azure podem ser criados sem a necessidade de gerenciar hardware ou um sistema operacional. Isso significa que você não precisa lidar com a correção do sistema operacional do servidor com atualizações de segurança críticas ou a substituição de discos rígidos defeituosos.
  • Os cmdlets do PowerShell e a CLI do Azure podem ser usados ​​para criar, montar e gerenciar compartilhamentos de arquivos do Azure como parte da administração de aplicativos do Azure.Você pode criar e gerenciar compartilhamentos de arquivos do Azure usando o portal do Azure e o Azure Storage Explorer.
  • O Azure Files foi construído do zero para estar sempre disponível. Substituir compartilhamentos de arquivos locais por arquivos do Azure significa que você não precisa mais ativar para lidar com interrupções de energia locais ou problemas de rede.
  • Aplicativos em execução no Azure podem acessar dados no compartilhamento por meio de APIs de E / S do sistema de arquivos. Os desenvolvedores podem, portanto, aproveitar o código e as habilidades existentes para migrar aplicativos existentes

Diferenças entre IaaS e PaaS

Como mencionei no começo deste artigo, o sucesso na nuvem depende da infraestrutura automatizada e da alavancagem de serviços de plataforma. Isso ressoa em algumas cabeças, no entanto, nem todos estão cientes das diferenças entre serviços de infraestrutura como serviço (IaaS), plataforma como serviço (PaaS) e software como serviço (SaaS) na nuvem pública – tudo com base em uma estrutura de pagamento de faturamento da OpEx.

IaaS está liberando você do hipervisor e do gerenciamento de armazenamento. Todas as outras tarefas ainda são de sua responsabilidade. Esta é a situação mais comum, que também é chamada de Lift-and-Shift. Não é o método de migração mais ideal, no entanto, às vezes, o melhor por um determinado período de tempo para alternar para PaaS ou SaaS.

Com PaaS, você está compartilhando os mesmos recursos com os outros, o que torna mais acessível o uso. O servidor em si é executado no Azure e é gerenciado e mantido pela Microsoft. Seu tempo de atividade e desempenho são garantidos com um SLA.

Quando falamos de soluções de desktop como serviço, como o Windows Virtual Desktop, os aplicativos e dados são o gerenciamento de imagens como substituto da segunda seção. Todas as outras partes são gerenciadas pela Microsoft. Conheça mais sobre isso aqui .

O software como serviço é o mais simples (e óbvio) a ser explicado. Não há nenhuma responsabilidade, pois tudo é gerenciado e mantido pelo fornecedor de nuvem.

Diferenças entre (atuais e anteriores) soluções de perfil de usuário da Microsoft

Nenhuma das soluções de perfil de usuário da Microsoft existentes é capaz de lidar com todas as necessidades que surgem e ambiente RDSH / VDI.O UPD não pôde manipular arquivos grandes de OST. O RUP não estava persistindo no cenário moderno. A tabela abaixo é um bom resumo dos recursos existentes e ausentes das tecnologias de perfil de usuário. Eu adicionei os perfis do FSLogix à matriz de soluções que compartilhei no início desta semana em minhas redes sociais.

Tenha em mente que o Profile Container é a solução recomendada pela Microsoft para todos os ambientes com perfis não persistentes. O UPD será depreciado no futuro próximo e substituído pelo Container do perfil.

Eu também destaquei o armazenamento de back-end na parte do Azure dessa matriz, devido ao fato de que este artigo é completamente baseado neste caso de uso! 🙂

O que são os Serviços de Domínio do Azure AD?

Nós todos sabemos (clássico) o Active Directory, certo? Executando o DCPROMO e construindo a floresta você mesmo. O Azure Active Directory é a próxima etapa, aproveitando os diferentes serviços do Azure. No entanto, devido a razões de compatibilidade, pode ser que você ainda precise usar um domínio clássico do Active Directory. Por exemplo, você pode precisar ingressar em seu computador ou servidor em um domínio para oferecer suporte a um aplicativo Win32 em execução no Azure.

Os Serviços de Domínio Active Directory do Azure tornam possível unir suas máquinas virtuais a um domínio clássico do AD, sem precisar implantar controladores de domínio no Azure Infrastructure-as-a-Service. Isso economiza custos e o esforço de gerenciamento também. Sim, você me traz aqui. Esta é uma versão de plataforma como serviço do Active Directory para o TCO mais baixo no Azure.

Arquivos do Azure com ACLs (NTFS) right support (preview)

O Azure Files oferece compartilhamentos de arquivos totalmente gerenciados na nuvem que são acessíveis por meio do protocolo SMB padrão do setor. A integração com o AAD permite o acesso de SMB aos compartilhamentos de arquivos do Azure usando as credenciais do AAD das VMs do Windows associadas ao domínio do AAD DS. Além disso, o Azure Files oferece suporte à preservação, herança e imposição de ACLs NTFS do sistema de arquivos da Microsoft em todas as pastas e arquivos em um compartilhamento de arquivos (na visualização). Isso pode ser usado para substituir a necessidade de um servidor de arquivos (cluster) para os dados do seu usuário e / ou do contêiner do perfil FSLogix (bem como para aplicativos que exigem um compartilhamento SMB para funcionar).

Arquivos do Azure impõe a permissão de arquivo NTFS padrão no nível da pasta e do arquivo, incluindo o diretório raiz. Você pode simplesmente usar a ferramenta de comando icacls ou Powershell para definir ou alterar permissões sobre compartilhamentos de arquivos montados.

Você pode aproveitar esse serviço do Azure para armazenar seus Perfis do Windows Virtual Desktop no menor TCO possível, porque não é necessário executar o compartilhamento SMB em uma instância de armazenamento de VM dedicada, como os Espaços de Armazenamento Diretos.

Continue lendo, eu explico todos os detalhes técnicos mais tarde

Diferenças de configuração do Azure Files Performance

Os arquivos padrão, nosso armazenamento existente, são projetados para fornecer desempenho confiável para cargas de trabalho de E / S que são menos sensíveis à variabilidade de desempenho. É bem adequado para serviços de arquivos de propósito geral e ambientes de teste / desenvolvimento. Também fizemos investimentos significativos em arquivos padrão para aumentar os limites de capacidade em 20x e os limites de IOPS em até 10x.

Os arquivos Premium, preferidos para o uso de contêineres de perfil, são otimizados para oferecer um desempenho consistente para cargas de trabalho empresariais com uso intensivo de E / S que exigem alta taxa de transferência com latência de um dígito em milissegundos. Arquivos Premium é adequado para uma ampla variedade de cargas de trabalho, como bancos de dados, diretórios base, análises, conteúdo e colaboração.Seu desempenho, medido por IOPS ou por throughput, é dimensionado com a capacidade provisionada para atender às necessidades de sua carga de trabalho. Com compartilhamentos de arquivos premium, a IOPS pode ser dimensionada em até 100x e a capacidade pode aumentar até 20x os limites atuais da escala do Azure Files.

Vai híbrido? Pense no Azure Files Sync

O Azure Files talvez seja um passo cedo demais para o seu ambiente. Isso pode ser por vários motivos, o mais óbvio, devido à latência e à distância, porque seus aplicativos ainda estão vivendo em um datacenter de nuvem privada. Por esse motivo, o Azure Files Sync pode ajudá-lo. Ele usa o mesmo serviço de arquivos do Azure com a possibilidade de colocar os dados próximos aos seus servidores em seu próprio datacenter por meio do chamado servidor de ponto de extremidade. Ele também suporta o DFS para atribuir o novo local de armazenamento ao seu namespace universal existente.

O legal é que você pode gerenciar seus dados quentes e frios também. Você pode replicar seus dados físicos ativos em seus servidores, por meio dos quais os dados frios não são replicados para o terminal – mas estão disponíveis e começam a baixar o arquivo enquanto você clica nele. É um processo semelhante ao OneDrive Files On-Demand.

Etapa anterior: como se inscrever nos Serviços de Domínio do Active Directory do Azure

O processo de inscrição do Active Directory do Azure é muito fácil e simplificado como seria de esperar de um serviço de plataforma. O artigo do Microsoft Docs abaixo descreve de forma abrangente como começar a usar o serviço do Azure.

https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-getting-started

Criar ou selecionar uma conta de armazenamento do Azure

Abra as contas de armazenamento no Portal do Azure e crie uma conta de armazenamento .

Ou execute o seguinte comando do PowerShell.

Adicionar um compartilhamento de arquivo

Crie um compartilhamento SMB na seção Arquivos do Azure. Este pode ser um nome aleatório.

Configurar a autenticação do Azure Active Directory dos Azure para SMB

Agora devemos habilitar o recurso – Autenticação do Azure Active Directory para Azure Files (Preview) -, que pode ser encontrado no menu Configuração em sua conta de Armazenamento.

Nota : Essa configuração já está ativada quando você usa o comando do PowerShell para criar a conta de armazenamento.

Definir permissões de usuário no nível de compartilhamento

Para executar os direitos em nosso compartilhamento de Arquivos do Azure, primeiro instale o módulo do PowerShell do Armazenamento do Azure . Isso pode ser feito através do comando abaixo.

Nota : Você precisa ter pelo menos o PowerShell v5.1 para executar o comando. Se o comando falhar, execute este comando Install-Module PowershellGet -Force primeiro. Outra alternativa é importar o módulo manualmente.

Agora você precisa definir um papel personalizado . Remova o <Custom-Role-Name> e torne-o seu.

Salve o arquivo JSON em algum lugar em sua unidade C: \ e continue com a próxima etapa.

Crie a função personalizada a partir do arquivo JSON / ou .txt como uma fonte.

Verifique se a função personalizada foi criada ( OBSERVAÇÃO : se você tiver várias assinaturas, deverá especificar a ID)

Crie uma estrutura com definição de função e verifique o sucesso

Criar estrutura de “escopo” para uso ao atribuir usuários à função…

Criar atribuição de função

Atribuir as permissões de NTFS

Montar a loja usando a conta de armazenamento e o ID do compartilhamento

Conceder Permissões de Usuário Apropriadas usando icacls ou Set-ACLS (para o Visualizar Arquivo O Explorer mostra permissões, mas não pode ser definido)

Esse processo é para uso com a visualização, instruções / processo provavelmente evoluirão conforme a autenticação do Azure AD for movida para…

Configurar o contêiner de perfil FSLogix para arquivos do Azure

Certifique-se de usar o URI da conta de armazenamento público seguido do local de compartilhamento que você criou. O restante das configurações pode ser deixado como padrão. O Azure AD agora continuará com o acesso pela direita que você definiu como parte das ACLs.

Espero que isso ajude a se familiarizar com os arquivos do Azure. Há atualizações que chegam a esse recurso, o que resulta em casos de uso cada vez mais interessantes para seus clientes. Fique ligado.

Alguns links de acompanhamento que você pode querer ler

Deixe um comentário

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.

Crie um website ou blog gratuito no WordPress.com.

Acima ↑

Crie um site como este com o WordPress.com
Comece agora