Azure Enterprise Cloud-Dateifreigabe

Diese Referenzarchitektur veranschaulicht eine Lösung für die Clouddateifreigabe auf Unternehmensebene, die Azure-Dienste wie Azure Files, die Azure-Dateisynchronisierung, Privates DNS und private Azure-Endpunkte verwendet. Diese Lösung führt zu Kosteneinsparungen bei gleicher Kontrolle über die Daten, indem die Verwaltung von Dateiservern und der Infrastruktur ausgelagert wird.

Aufbau

Die folgende Abbildung zeigt, wie Clients auf Azure-Dateifreigaben zugreifen können:

• lokal über einen Cloudtieringdateiserver
• remote über privates ExpressRoute-Peering oder VPN-Tunnel in einer privaten Netzwerkumgebung

Laden Sie eine Visio-Datei dieser Architektur herunter.

Arbeitsablauf

Die Lösung für die Clouddateifreigabe auf Unternehmensebene verwendet die folgenden Methoden, um im Zusammenhang mit Azure-Dateifreigaben die gleichen Benutzerfunktionen wie herkömmliche Dateifreigaben bereitstellen zu können:

• Die Azure-Dateisynchronisierung wird verwendet, um Zugriffssteuerungslisten (ACL) für Dateien und Ordner zwischen lokalen Dateiservern und Azure-Dateifreigaben zu synchronisieren.
• Das Cloudtieringfeature des Azure-Dateisynchronisierungs-Agents wird verwendet, um häufig verwendete Dateien lokal zwischenzuspeichern.
• Die AD DS-Authentifizierung für Azure-Dateifreigaben wird erzwungen.
• Greift auf Dateifreigabe- und Dateisynchronisierungsdienste über private IP über Azure Private Link und private Endpunkte über einen privaten ExpressRoute-Peering- oder VPN-Tunnel zu.

Durch die Implementierung privater Azure-Endpunkte in Azure Files und der Azure-Dateisynchronisierung wird der Zugriff auf öffentliche Endpunkte deaktiviert, sodass der Zugriff auf Azure Files und die Azure-Dateisynchronisierung vom virtuellen Azure-Netzwerk aus eingeschränkt wird.

Der Standort-zu-Standort-Tunnel des VPN im Rahmen des privaten ExpressRoute-Peerings erweitert das lokale Netzwerk um das virtuelle Azure-Netzwerk. Der Datenverkehr im Zusammenhang mit der Azure-Dateisynchronisierung und Server Message Block (SMB) vom lokalen Standort zu Azure Files und privaten Endpunkten in der Azure-Dateisynchronisierung ist nur auf eine private Verbindung beschränkt. Während des Übergangs lässt Azure Files die Verbindung nur dann zu, wenn sie mit SMB 3.0 oder höher hergestellt wurde. Verbindungen, die zwischen dem Azure-Dateisynchronisierungs-Agent und einer Azure-Dateifreigabe oder einem Speichersynchronisierungsdienst hergestellt werden, sind immer verschlüsselt. Im Ruhezustand werden Ihre Daten beim Speichern in der Cloud von Azure Storage automatisch verschlüsselt (wie von Azure Files).

Ein DNS-Resolver (Domain Name System) ist eine wichtige Komponente der Lösung. Jeder Azure-Dienst (hier Azure Files und die Azure-Dateisynchronisierung) verfügt über einen vollqualifizierten Domänennamen (FQDN). Die FQDNs dieser Dienste werden in den folgenden Fällen in ihre öffentlichen IP-Adressen aufgelöst:

• Ein Client greift auf eine Azure Files-Freigabe zu.
• Ein auf einem lokalen Dateiserver bereitgestellter Azure-Dateisynchronisierungs-Agent greift auf den Azure-Dateisynchronisierungs-Dienst zu.

Nach dem Aktivieren eines privaten Endpunkts werden private IP-Adressen im virtuellen Azure-Netzwerk zugeordnet. Diese Adressen ermöglichen den Zugriff auf diese Dienste über eine private Verbindung, und die gleichen FQDNs müssen jetzt in private IP-Adressen aufgelöst werden. Hierzu erstellen Azure Files und die Azure-Dateisynchronisierung einen DNS-Eintrag vom Typ CNAME (kanonischer Name), um die Auflösung an einen privaten Domänennamen umzuleiten:

• Der öffentliche Domänenname der Azure-Dateisynchronisierung (*.afs.azure.net) erhält eine CNAME-Umleitung zum privaten Domänennamen *.<region>.privatelink.afs.azure.net.
• Der öffentliche Azure Files-Domänenname (<name>.file.core.windows.net) erhält eine CNAME-Umleitung zum privaten Domänennamen <name>.privatelink.file.core.windows.net.

Die in dieser Architektur gezeigte Lösung konfiguriert lokale DNS-Einstellungen ordnungsgemäß, sodass diese mithilfe der folgenden Methoden private Domänennamen in private IP-Adressen auflösen können:

• Private DNS-Zonen (Komponenten 11 und 12) werden in Azure erstellt, um eine private Namensauflösung für die Azure-Dateisynchronisierung und Azure Files bereitzustellen.
• Private DNS-Zonen sind mit dem virtuellen Azure-Netzwerk verknüpft, sodass ein dns-Server, der im virtuellen Netzwerk bereitgestellt wird, oder private Azure DNS Resolver(Komponente 8) private Domänennamen auflösen kann.
• DNS-A-Einträge werden für Azure Files und die Azure-Dateisynchronisierung in privaten DNS-Zonen erstellt. Informationen zu den Schritten für die Endpunktkonfiguration finden Sie unter Konfigurieren von Azure Files-Netzwerkendpunkten und Konfigurieren von Netzwerkendpunkten für die Azure-Dateisynchronisierung.
• Der lokale DNS-Server (Komponente 3) richtet die bedingte Weiterleitung ein, um die DNS-Abfrage von ___domain afs.azure.net und file.core.windows.net an den DNS-Server im virtuellen Azure-Netzwerk (Komponente 8) weiterzuleiten.
• Nachdem der DNS-Server (Komponente 8) im privaten Azure-Netzwerk die weitergeleitete DNS-Abfrage vom lokalen DNS-Server erhalten hat, verwendet er den rekursiven Azure DNS-Resolver, um private Domänennamen aufzulösen und private IP-Adressen an den Client zurückzugeben.

Komponenten

Die Lösung verwendet die folgenden Komponenten:

• Ein Client (Komponente 1 oder 2) ist in der Regel ein Windows-, Linux- oder macOS-Desktop, der über das SMB-Protokoll auf Dateifreigaben zugreift. In dieser Architektur stellen Clients entweder direkt über ein privates Netzwerk oder über einen lokalen Dateiserver, auf dem Azure File Sync und Cloud tiering aktiviert ist, eine Verbindung mit Azure Files her.

• Domänencontroller (DC) und DNS-Server (Komponente 3) enthalten einen DC, der die Authentifizierung verarbeitet, und einen DNS-Server, der Namen in IP-Adressen aufgelöst. Sie können DC- und DNS-Server in einem einzelnen Server kombinieren oder in verschiedene Server trennen. In dieser Architektur authentifizieren sie Benutzer und leiten DNS-Abfragen für Azure Files und Azure File Sync an die DNS-Infrastruktur in Azure weiter.

• Ein Dateiserver (Komponente 4) ist ein lokaler Server, der Dateifreigaben hostet und in Azure File Sync integriert wird. In dieser Architektur ermöglicht es das lokale Zwischenspeichern häufig aufgerufener Dateien und synchronisiert Daten und ACLs mit Azure Files.

• Ein Edge-Router des Kunden oder VPN-Geräts (Komponente 5) verbindet ein lokales Netzwerk mit Azure. In dieser Architektur wird ein sicherer ExpressRoute- oder VPN-Tunnel zum virtuellen Azure-Netzwerk eingerichtet, um privaten Zugriff auf Azure-Dateien und Azure-Dateisynchronisierung zu erhalten.

• ExpressRoute oder Azure VPN Gateway (Komponente 6) bietet private oder verschlüsselte Konnektivität zwischen lokalen Netzwerken und Azure. In dieser Architektur wird eine sichere, zuverlässige Kommunikation für dateizugriffs- und Synchronisierungsdatenverkehr sichergestellt.

• Ein privater Azure-Endpunkt (Komponente 7) ist eine Netzwerkschnittstelle, die eine private Verbindung mit Azure-Diensten über einen privaten Link herstellt. In dieser Lösung stellt ein privater Azure-Dateisynchronisierungs-Endpunkt eine Verbindung mit der Azure-Dateisynchronisierung her (9), und ein privater Azure Files-Endpunkt stellt eine Verbindung mit Azure Files her (10). Private Endpunkte ermöglichen einen sicheren, privaten Zugriff, indem FQDNs privaten IP-Adressen zugeordnet werden.

• Ein DNS-Server oder Azure DNS Private Resolver (Komponente 8) dient als DNS-Dienst in einem virtuellen Azure-Netzwerk. In dieser Architektur wird der Rekursive Resolver von Azure DNS verwendet, um den privaten Domänennamen aufzulösen und eine private IP-Adresse an den Client zurückzugeben. Dieser Vorgang wird ausgeführt, nachdem er eine weitergeleitete DNS-Abfrage von einem lokalen DNS-Server empfängt.

• Azure File Sync (Komponente 9) ist ein Dienst, der Dateifreigaben in Azure zentralisiert und gleichzeitig die Flexibilität, Leistung und Kompatibilität eines lokalen Dateiservers gewährleistet. Bei der Cloudebenen handelt es sich um ein Feature der Azure-Dateisynchronisierung, bei der häufig auf Dateien zugegriffene Dateien lokal auf dem Server zwischengespeichert werden, während alle anderen Dateien basierend auf Richtlinieneinstellungen auf Azure-Dateien gestuft werden. In dieser Architektur ermöglicht dieses Feature die hybride Dateifreigabe, indem lokale Dateiserver auf die Cloud erweitert werden.

• Azure Files (Komponente 10) ist ein verwalteter Dateifreigabedienst, der den SMB-Zugriff unterstützt und in lokale AD DS- und Microsoft Entra-Domänendienste integriert wird. In dieser Architektur dient Azure Files als cloudbasierte Speicherebene für die Freigabe von Unternehmensdateien und kann sowohl in lokalen als auch in Cloudumgebungen aufgerufen werden.

  Sie können Dateifreigaben von Azure Files gleichzeitig über die Cloud oder lokale Bereitstellungen von Windows, Linux und macOS bereitstellen. Und Sie können SMB Azure-Dateifreigaben näher an der Stelle zwischenspeichern, an der die Daten verwendet werden, auf Windows-Servern mit Azure File Sync für schnellen Zugriff.

• Azure Private DNS (Komponenten 11 und 12) ist ein DNS-Dienst, der Domänennamen in einem virtuellen Netzwerk aufgelöst. In dieser Architektur bietet sie die Namensauflösung für private Endpunkte von Azure Files und Azure File Sync, wodurch sichergestellt wird, dass der Datenverkehr innerhalb des privaten Netzwerks bleibt.

• Azure Backup (Komponente 13) ist ein cloudbasierter Sicherungsdienst, der Azure-Dateifreigaben mithilfe von Momentaufnahmen schützt. In dieser Architektur ermöglicht sie den Datenschutz und die Wiederherstellung für Azure Files, ohne dass eine lokale Sicherungsinfrastruktur erforderlich ist. Weitere Informationen finden Sie unter Datenverlust und Sicherung.

Szenariodetails

Diese Lösung ermöglicht den Zugriff auf Azure-Dateifreigaben in einer Hybridarbeitsumgebung über ein virtuelles privates Netzwerk zwischen lokalen Standorten und virtuellen Azure-Netzwerken, ohne dass der Datenverkehr das Internet durchläuft. Außerdem können Sie den Dateizugriff durch identitätsbasierte Authentifizierung kontrollieren und einschränken.

Mögliche Anwendungsfälle

Die Lösung für die Clouddateifreigabe unterstützt die folgenden potenziellen Anwendungsfälle:

• Lift & Shift-Vorgänge im Zusammenhang mit Dateiservern oder Dateifreigaben: Durch Lift & Shift-Vorgänge entfällt die Notwendigkeit, Daten neu strukturieren oder formatieren zu müssen. Außerdem können Sie Legacyanwendungen lokal nutzen, während Sie vom Cloudspeicher profitieren.
• Beschleunigen von Cloudinnovationen durch erhöhte Betriebseffizienz: Die Kosten für die Verwaltung der Hardware und des physischen Raums werden reduziert, und Sie sind vor Datenbeschädigung und Datenverlust geschützt.
• Privater Zugriff auf Azure-Dateifreigaben. Sie profitieren vom Schutz vor Datenexfiltration.

Datenverkehrsfluss

Nach dem Aktivieren der Azure-Dateisynchronisierung und von Azure Files können Sie in zwei Modi auf Azure-Dateifreigaben zugreifen: im lokalen Cachemodus oder im Remotemodus. In beiden Modi verwendet der Client vorhandene AD DS-Anmeldeinformationen, um sich selbst zu authentifizieren.

• Lokaler Cachemodus: Der Client greift über einen lokalen Dateiserver mit aktiviertem Cloudtiering auf Dateien und Dateifreigaben zu. Wenn ein Benutzer eine Datei auf dem lokalen Dateiserver öffnet, werden Dateidaten entweder aus dem lokalen Cache des Dateiservers bereitgestellt, oder der Azure-Dateisynchronisierungs-Agent ruft die Dateidaten problemlos aus Azure Files ab. In der Architekturabbildung für diese Lösung wird der Datenverkehr über die Komponenten 1 und 4 gesendet.

• Remotemodus: Der Client greift direkt über eine Azure-Remotedateifreigabe auf Dateien und Dateifreigaben zu. In der Architekturabbildung für diese Lösung erfolgt der Datenverkehrsfluss über die Komponenten 2, 5, 6, 7 und 10.

Der Datenverkehr der Azure-Dateisynchronisierung wird mithilfe einer ExpressRoute-Leitung für eine zuverlässige Verbindung über die Komponenten 4, 5, 6 und 7 gesendet.

Abfragen für die private Domänennamensauflösung durchlaufen mithilfe der folgenden Sequenz die Komponenten 3, 5, 6, 8, 11 und 12:

1. Der Client sendet eine Abfrage an einen lokalen DNS-Server, um einen DNS-Namen im Zusammenhang mit Azure Files- oder der Azure-Dateisynchronisierung aufzulösen.
2. Der lokale DNS-Server verfügt über eine bedingte Weiterleitung, die DNS-Namensauflösungen im Zusammenhang mit Azure Files und der Azure-Dateisynchronisierung an einen DNS-Server im virtuellen Azure-Netzwerk verweist.
3. Die Abfrage wird an einen DNS-Server oder einen privaten Azure DNS-Resolver im virtuellen Azure-Netzwerk umgeleitet.
4. Abhängig von der DNS-Konfiguration des virtuellen Netzwerks:
   • Wenn ein benutzerdefinierter DNS-Server konfiguriert ist, sendet der DNS-Server im virtuellen Azure-Netzwerk eine Namensanfrage an den von Azure bereitgestellten rekursiven DNS-Resolver (168.63.129.16).
   • Wenn der private Azure DNS-Resolver konfiguriert ist und die Abfrage mit den privaten DNS-Zonen übereinstimmt, die mit dem virtuellen Netzwerk verknüpft sind, werden diese Zonen konsultiert.
5. Der private DNS-Server/Azure DNS-Resolver gibt eine private IP zurück, nachdem der private Domänenname in die jeweilige private DNS-Zone aufgelöst wurde. Er verwendet die Verknüpfungen des virtuellen Azure-Netzwerks mit der Azure Files DNS-Zone und der privaten Azure File Sync DNS-Zone.

Überlegungen

Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Beachten Sie bei der Implementierung dieser Lösung die folgenden Punkte.

Planung

• Weitere Informationen zur Planung einer Azure-Dateisynchronisierung finden Sie unter Planung für die Bereitstellung einer Azure-Dateisynchronisierung.
• Informationen zur Azure Files-Planung finden Sie unter Planung für eine Azure Files-Bereitstellung.

Netzwerk

• Überlegungen zum Azure-Dateisynchronisierungs-Netzwerk finden Sie unter Azure-Dateisynchronisierung – Überlegungen zum Netzwerkbetrieb.
• Überlegungen zum Azure Files-Netzwerk finden Sie unter Azure Files – Überlegungen zum Netzwerkbetrieb.

Domain Name System (DNS)

Bei der Verwaltung der Namensauflösung für private Endpunkte werden die privaten Domänennamen von Azure Files und Azure File Sync (Dateisynchronisierung) auf folgende Weise aufgelöst:

Azure-Seite:

• Wenn die von Azure bereitgestellte Namensauflösung verwendet wird, muss das virtuelle Azure-Netzwerk mit den bereitgestellten privaten DNS-Zonen verknüpft werden.
• Wenn „Bring Your Own DNS-Server“ (Verwenden eines eigenen DNS-Servers) verwendet wird, muss das virtuelle Netzwerk, in dem Ihr eigener DNS-Server bereitgestellt ist, mit den bereitgestellten privaten DNS-Zonen verknüpft werden.

Auf der Seite des lokalen Standorts wird der private Domänenname auf eine der folgenden Weisen einer privaten IP-Adresse zugeordnet:

• Durch die DNS-Weiterleitung an einen im virtuellen Azure-Netzwerk oder privaten Azure DNS-Resolver bereitgestellten DNS-Server (wie in der Abbildung gezeigt).
• über den lokalen DNS-Server, der Zonen für die privaten Domänen <region>.privatelink.afs.azure.net und privatelink.file.core.windows.net einrichtet Der Server registriert die IP-Adressen der privaten Endpunkte von Azure Files und in der Azure-Dateisynchronisierung als DNS-A-Einträge in den jeweiligen DNS-Zonen. Der private Domänenname wird vom lokalen Client direkt aus dem lokalen DNS-Server aufgelöst.

Weitere Informationen finden Sie unter Private Resolver-Architektur.

Verteiltes Dateisystem (Distributed File System, DFS)

Bei einer lokalen Dateifreigabelösung verwenden viele Administratoren ein DFS anstelle eines herkömmlichen eigenständigen Dateiservers. DFS ermöglicht es Administratoren, Dateifreigaben, die auf mehreren Servern vorhanden sein können, so zu konsolidieren, dass sie so aussehen, als befänden sie sich alle am selben Ort, so dass die Benutzer von einem einzigen Punkt im Netzwerk aus auf sie zugreifen können. Beim Umstieg auf eine Lösung für die Clouddateifreigabe kann die herkömmliche DFS-R-Bereitstellung durch eine Azure-Dateisynchronisierungs-Bereitstellung ersetzt werden. Weitere Informationen finden Sie unter Migrieren einer DFS-R-Bereitstellung (DFS-Replikation) zur Azure-Dateisynchronisierung.

Datenverlust und -sicherung

Datenverlust ist ein schwerwiegendes Problem für Unternehmen aller Größen. Bei der Sicherung von Azure-Dateifreigaben werden Momentaufnahmen von Dateifreigaben verwendet, um eine cloudbasierte Sicherungslösung bereitzustellen, die Ihre Daten in der Cloud schützt und den zusätzlichen Wartungsaufwand bei lokalen Sicherungslösungen eliminiert. Dies sind die wichtigsten Vorteile der Sicherung einer Azure-Dateifreigabe:

• keine Infrastrukturanforderungen
• benutzerdefinierte Aufbewahrung
• integrierte Verwaltungsfunktionen
• sofortige Wiederherstellung
• Warnungen und Berichte
• Schutz vor versehentlichem Löschen von Dateifreigaben

Weitere Informationen finden Sie unter Informationen zum Sichern von Azure-Dateifreigaben.

Unterstützung für Hybrididentitäten auf Azure Files

Obwohl in diesem Artikel Active Directory für die Authentifizierung bei Azure Files beschrieben wird, ist es möglich, Microsoft Entra ID für die Authentifizierung von Hybridbenutzeridentitäten zu verwenden. Azure Files unterstützt die identitätsbasierte Authentifizierung über Server Message Block (SMB) unter Verwendung des Kerberos-Authentifizierungsprotokolls mit den folgenden Methoden:

• Lokale Active Directory Domain Services (AD DS)
• Microsoft Entra Domain Services
• Microsoft Entra Kerberos (nur für hybride Benutzeridentitäten)
• AD-Authentifizierung für Linux-Clients

Weitere Informationen finden Sie unter Aktivieren Sie die Microsoft Entra Kerberos-Authentifizierung für hybride Identitäten auf Azure Files.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für sicherheitsrelevante.

Azure DDoS Protection, kombiniert mit bewährten Methoden für den Anwendungsentwurf, bietet erweiterte Features zur DDoS-Risikominderung, um besser vor DDoS-Angriffen zu schützen. Sie sollten Azure DDOS Protection in allen virtuellen Umkreisnetzwerken aktivieren.

Die Sicherheitsüberwachung ist eine erforderliche Voraussetzung für die Aufrechterhaltung der Sicherheit eines Unternehmens. Branchenstandards erfordern, dass Unternehmen strenge Regeln in Bezug auf die Datensicherheit und den Datenschutz befolgen.

Dateizugriffsüberwachung

Die Dateizugriffsüberwachung kann lokal und remote aktiviert werden:

• lokal mithilfe der dynamischen Zugriffssteuerung: Weitere Informationen finden Sie unter Planen der Dateizugriffsüberwachung.
• remote mithilfe von Azure Storage-Protokollen in Azure Monitor für Azure Files: Azure Storage-Protokolle enthalten die Klassen „StorageRead“, „StorageWrite“, „StorageDelete“ sowie Transaktionsprotokolle. Der Azure-Dateizugriff kann in einem Speicherkonto oder einem Log Analytics-Arbeitsbereich protokolliert oder separat an einen Event Hub gestreamt werden. Weitere Informationen finden Sie unter Monitor Azure Files.

Skalierbarkeit und Leistung

Skalierbarkeits- und Leistungsziele für Azure Files und Azure File Sync hängen von verschiedenen Faktoren wie SMB-Clientverhalten und Netzwerkbandbreite ab. So können beispielsweise das Verhalten Ihres SMB-Clients und die verfügbare Netzwerkbandbreite Auswirkungen auf die E/A-Leistung für eine Datei haben. Wenn Sie Ihr Verwendungsmuster testen, können Sie ermitteln, ob sie Ihren Anforderungen entsprechen. Weitere Informationen finden Sie unter Skalierbarkeits- und Leistungsziele für Azure Files und Azure File Sync.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Yingting Huang | Senior Cloud Solution Architect

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte

• Planung für eine Azure Files-Bereitstellung
• Bereitstellen von Azure Files
• Azure Files – Überlegungen zum Netzwerkbetrieb
• Konfigurieren von Azure Files-Netzwerkendpunkten
• Überwachen von Azure Files
• Planen der Dateizugriffsüberwachung
• Sichern von Azure-Dateifreigaben
• Übersicht – lokale Active Directory Domain Services-Authentifizierung über SMB für Azure-Dateifreigaben
• Bereitstellen der Azure-Dateisynchronisierung
• Konfigurieren von Netzwerkendpunkten für die Azure-Dateisynchronisierung
• Übersicht über Cloudtiering
• Erstellen einer Site-to-Site-Verbindung im Azure-Portal
• ExpressRoute-Verbindungen und Peering
• Erstellen und Ändern des Peerings für eine ExpressRoute-Verbindung
• Informationen zum Sichern von Azure-Dateifreigaben
• Was ist Azure DNS Private Resolver?
• Aktivieren der Kerberos-Authentifizierung von Microsoft Entra für Hybrididentitäten in Azure Files

Zugehörige Ressourcen

• Azure Enterprise Cloud-Dateifreigabe
• Zugriff auf lokale und durch AD DS geschützte Azure-Dateien
• Hybride Dateidienste