Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Azure Files auf zwei Hauptmethoden bereitstellen: indem Sie die serverlosen Azure-Dateifreigaben direkt einbinden oder Dateifreigaben lokal mithilfe von Azure-Dateisynchronisierung zwischenspeichern. Die Bereitstellungsüberlegungen unterscheiden sich je nach der von Ihnen ausgewählten Option.
Direktes Einbinden einer Azure-Dateifreigabe: Weil Azure Files entweder Zugriff auf den Server Message Block (SMB) oder das Network File System (NFS) bereitstellt, können Sie Azure-Dateifreigaben lokal oder in der Cloud mithilfe der SMB- oder NFS-Standardclients einbinden, die in Ihrem Betriebssystem verfügbar sind. Da Azure-Dateifreigaben serverlos sind, ist für die Bereitstellung in Produktionsszenarien keine Verwaltung eines Dateiservers oder NAS-Geräts erforderlich. Dies bedeutet, dass Sie keine Softwarepatches anwenden oder physische Datenträger austauschen müssen. Sie können entweder die klassischen Azure-Dateifreigaben oder Microsoft.FileShares (Vorschau) als Verwaltungsmodell verwenden.
Lokale Azure-Dateifreigaben mit Azure File Sync zwischenspeichern: Mit Azure-Dateisynchronisierung können Sie die Dateifreigaben Ihrer Organisation in Azure Files zentralisieren und gleichzeitig die Flexibilität, Leistung und Kompatibilität eines lokalen Dateiservers beibehalten. Azure-Dateisynchronisierung transformiert einen lokalen (oder Cloud-) Windows Server-Computer in einen schnellen Cache Ihrer SMB-Azure-Dateifreigabe.
Dieser Artikel befasst sich hauptsächlich mit Bereitstellungsüberlegungen zum Bereitstellen einer Azure-Dateifreigabe, die direkt von einem lokalen oder cloudbasierten Client eingebunden werden soll. Weitere Informationen zum Planen einer Azure-Dateisynchronisierungsbereitstellung finden Sie unter Planung für die Bereitstellung einer Azure-Dateisynchronisierung.
Verwaltungskonzepte
In Azure ist eine Ressource ein verwaltbares Element, das Sie innerhalb Ihrer Azure-Abonnements und Ressourcengruppen erstellen und konfigurieren. Ressourcen werden von Ressourcenanbietern angeboten, wobei es sich um Verwaltungsdienste handelt, die bestimmte Arten von Ressourcen bereitstellen. Sie können zwar mit vielen Ressourcen arbeiten, um eine Workload in Azure bereitzustellen, Azure Files ist jedoch auf zwei Hauptressourcen fokussiert:
Speicherkonten, die vom
Microsoft.Storage-Ressourcenanbieter angeboten werden. Speicherkonten sind Ressourcen auf oberster Ebene, die einen freigegebenen Speicherpool, IOPS und Durchsatz darstellen, in denen Sie klassische Dateifreigaben oder andere Speicherressourcen bereitstellen können, abhängig von der Art des Speicherkontos. Für alle Speicherressourcen, die in einem Speicherkonto bereitgestellt werden, treffen die für dieses Speicherkonto geltenden Grenzwerte zu. Klassische Dateifreigaben unterstützen sowohl das SMB- als auch das NFS-Dateifreigabeprotokoll.Dateifreigaben (Vorschau), die vom
Microsoft.FileShares-Ressourcenanbieter angeboten werden. Dateifreigaben sind eine neue Ressource auf oberster Ebene, die die Bereitstellung von Azure Files vereinfachen, indem das Speicherkonto eliminiert wird. Im Gegensatz zu klassischen Dateifreigaben, die in einem Speicherkonto bereitgestellt werden müssen, werden Dateifreigaben direkt in der Ressourcengruppe bereitgestellt, z. B. Speicherkonten selbst oder andere Azure-Ressourcen, mit denen Sie möglicherweise vertraut sind, wie virtuelle Computer, Datenträger oder virtuelle Netzwerke. Dateifreigaben unterstützen das NFS-Dateifreigabeprotokoll. Wenn Sie SMB benötigen, wählen Sie klassische Dateifreigaben für Ihre Bereitstellung aus.
Dieses Video bietet einen umfassenden Überblick über die Unterschiede zwischen speicherkonto und Dateifreigabeverwaltungsmodellen:
Klassische Dateifreigaben (Microsoft.Storage)
Klassische Dateifreigaben oder Dateifreigaben, die in Speicherkonten bereitgestellt werden, sind die herkömmliche Möglichkeit, Dateifreigaben für Azure Files bereitzustellen. Sie unterstützen alle wichtigen Features, die Azure Files unterstützt, einschließlich SMB- und NFS-, SSD- und HDD-Medienebenen, jeder Redundanztyp und in jeder Region. Die klassischen Dateifreigaben unterstützen zwar die gesamte Breite der Azure Files-Features, weisen jedoch wichtige Einschränkungen auf:
Kapazitätsplanung: Klassische Dateifreigaben und die untergeordneten Objekte für andere Speicherdienste wie Blobcontainer, die sich innerhalb desselben Speicherkontos befinden, teilen einen gemeinsamen Speicherpool, IOPS und Durchsatz. Dies bedeutet, dass das Platzieren mehrerer klassischer Dateifreigaben in einem Speicherkonto eine Planung erfordert, um Kapazitätsengpässe zu vermeiden. Bei der Kapazitätsplanung für klassische Dateifreigaben müssen Sie sowohl die aktuellen als auch zukünftigen Anforderungen jeder klassischen Dateifreigabe berücksichtigen, die in einem Speicherkonto platziert wurde, da das Wachstum einer klassischen Dateifreigabe andere Dateifreigaben verdrängen kann.
Freigegebene Einstellungen: Viele wichtige Einstellungen, z. B. Netzwerk- und Sicherheitsregeln, werden auf Speicherkontoebene angewendet, sodass das Platzieren klassischer Dateifreigaben im selben Speicherkonto sorgfältig berücksichtigt werden muss. Sie sollten das Speicherkonto als Vertrauensgrenze betrachten und nur klassische Dateifreigaben im selben Speicherkonto platzieren, wenn Sie damit einverstanden sind, dass sie dieselben Sicherheitseinstellungen haben.
Skalierungskomplexität: Große Bereitstellungen von Azure Files können die Verwaltung vieler Azure-Abonnements aufgrund der Einschränkungen für Speicherkonten vom
Microsoft.StorageRessourcenanbieter erfordern. Weitere Informationen finden Sie unter Speicherkontogrenzwerte.
Es gibt zwei Haupttypen von Speicherkonten, die für klassische Dateifreigabebereitstellungen verwendet werden:
-
Bereitgestellte Speicherkonten: Bereitgestellte Speicherkonten werden mithilfe der
FileStorageSpeicherkontoart unterschieden. Mit bereitgestellten Speicherkonten können Sie bereitgestellte klassische Dateifreigaben entweder auf SSD- oder HDD-basierter Hardware bereitstellen. Bereitgestellte Speicherkonten können nur zum Speichern klassischer Dateifreigaben verwendet werden und können keine anderen Speicherressourcen wie Blobcontainer, Warteschlangen und Tabellen verwenden. Wir empfehlen, bereitgestellte Speicherkonten für alle neuen Bereitstellungen der klassischen Dateifreigabe zu verwenden. -
Pay-as-you-go-Speicherkonten: Pay-as-you-go-Speicherkonten werden mit der
StorageV2Art des Speicherkontos unterschieden. Pay-as-you-go-Speicherkonten ermöglichen Ihnen die Bereitstellung von Pay-as-you-go-Dateifreigaben auf HDD-basierter Hardware. Pay-as-you-go-Speicherkonten können verwendet werden, um klassische Dateifreigaben und andere Speicherressourcen wie Blobcontainer, Warteschlangen oder Tabellen zu speichern.
Weitere Informationen finden Sie unter Erstellen einer klassischen Dateifreigabe.
Dateifreigaben (Microsoft.FileShares)
Dateifreigaben (Vorschau) sind eine neue Azure-Ressource auf oberster Ebene, die vom Microsoft.FileShares Ressourcenanbieter bereitgestellt wird. Dateifreigaben bieten die folgenden Vorteile gegenüber klassischen Dateifreigaben:
Vereinfachte Verwaltung: Dateifreigaben werden direkt als Ressourcen der obersten Ebene im Portal oder über Verwaltungs-APIs erstellt. Dadurch wird die Anforderung zum Verwalten eines Speicherkontos entfernt und die Bereitstellungsumgebung optimiert.
Unabhängige Kapazität und Leistung: Jede Dateifreigabe verfügt über einen eigenen dedizierten Speicher, IOPS und Durchsatz. Dies vermeidet die Notwendigkeit der Kapazitätsplanung für Ihre Speicherkonten mit begrenzten Ressourcen und ermöglicht es Dateifreigaben, sich frei zu vergrößern, wenn die Workloadanforderungen wachsen.
Granulare Konfiguration: Netzwerk- und Sicherheitseinstellungen werden auf Dateifreigabeebene angewendet, sodass Sie präzise Kontrolle über Zugriffsgrenzen und Isolation erhalten. Dies erleichtert das Erzwingen von Sicherheitsrichtlinien für bestimmte Apps, Teams oder Umgebungen.
Vorhersagbare, flexible Abrechnung: Dateifreigaben verwenden das bereitgestellte v2-Abrechnungsmodell, mit dem Sie Speicher, IOPS und Durchsatz pro Freigabe unabhängig voneinander bereitstellen können. Da die Abrechnung in Azure pro Azure-Ressource auf oberster Ebene erfolgt, können Sie mithilfe von Dateifreigaben die Kosten jeder einzelnen Freigabe für die Kostenzuordnung zurück zum Projekt, Team oder Kunden nachverfolgen, die die Dateifreigabe verwenden.
Verbesserte Skalierung und Leistung: Dateifreigaben unterstützen höhere Grenzwerte und niedrigere Bereitstellungszeiten als klassische Dateifreigaben. Weitere Informationen finden Sie unter Skalierbarkeits- und Leistungsziele für Azure Files.
Regionale Verfügbarkeit
Zur Zeit ist das Erstellen einer Dateifreigabe mit Microsoft.FileShares (Vorschau) in den folgenden Regionen verfügbar:
- Australia East
- Australia Central
- Australia Southeast
- Ostasien
- East US
- Germany North
- Korea South
- Südostasien
- Nordeuropa
- Südafrika, Westen
- South India
- UAE Central
Derzeit ist die Unterstützung privater Endpunkte für die Dateifreigabe mit Microsoft.FileShares (Vorschau) in einer begrenzten Teilmenge von Regionen verfügbar:
- Alle öffentlichen Azure-Cloudregionen.
Vergleich von Ressourcenanbietern: Microsoft.Storage im Vergleich zu Microsoft.FileShares
| Funktion | Klassische Dateifreigaben  |
Dateifreigaben (Microsoft.FileShares)  |
|---|---|---|
| Unterstützungsgarantie | Allgemein verfügbar | Öffentliche Vorschau |
| Ressource der obersten Ebene für den Dienst | Speicherkonto  |
Dateifreigaben |
| SMB-Protokoll |
|
|
| NFS-Protokoll |
|
|
| Unterstützung für die Dateisynchronisierung |
|
|
| Erfordern eines Speicherkontos |
|
|
| Nutzungsbasiertes Bezahlungsmodell |
|
|
| Bereitgestelltes v1-Abrechnungsmodell |
|
|
| Bereitgestelltes v2-Abrechnungsmodell |
|
|
| HDD-Unterstützungsfähigkeit |
|
|
| SSD-Unterstützung |
|
|
| LRS |
|
|
| ZRS |
|
|
| GRS |
|
|
| GZRS |
|
|
| Abrechnungs-, Netzwerk- und Sicherheitskonfigurationen pro Freigabeebene |
|
|
| Einzelne vnet-Konfigurationen für eine Dateifreigabe |
|
|
| Einzelne vnet-Konfiguration für mehrere Dateifreigaben |
|
|
| AKS CSI-Treiber |
|
|
| REST-APIs der Datenebene |
|
|
Verfügbare Protokolle
Azure Files bietet zwei Dateisystemprotokolle nach Branchenstandard zum Einbinden von Azure-Dateifreigaben: das Server Message Block (SMB)-Protokoll und das Network File System (NFS)-Protokoll, mit dem Sie das Protokoll wählen können, das für Ihre Workload am besten geeignet ist. Azure-Dateifreigaben unterstützen nicht SMB- und NFS-Protokolle auf derselben Dateifreigabe. Sie können jedoch SMB- und NFS-Azure-Dateifreigaben innerhalb desselben Speicherkontos erstellen.
Mit sowohl SMB- als auch NFS-Dateifreigaben bietet Azure Files Dateifreigaben in Unternehmensqualität, die entsprechend Ihren Speicheranforderungen hochskaliert werden können und auf die Tausende von Clients gleichzeitig zugreifen können.
| Funktion | KMU | NFS |
|---|---|---|
| Unterstützte Protokollversionen | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4.1 |
| Empfohlenes Betriebssystem |
|
Linux-Kernelversion 4.3 und höher |
| Verfügbare Tarife | SSD und HDD | Nur SSD |
| Redundanz |
|
|
| Dateisystemsemantik | Win32 | POSIX |
| Authentifizierung | Identitätsbasierte Authentifizierung (Kerberos), Authentifizierung mit gemeinsam verwendeten Schlüsseln (NTLMv2) | Hostbasierte Authentifizierung |
| Autorisierung | Win32-Zugriffssteuerungslisten (Access Control Lists, ACLs) | Berechtigungen im UNIX-Format |
| Groß- und Kleinschreibung | Keine Beachtung von Groß-/Kleinschreibung, Schreibweise wird beibehalten | Groß-/Kleinschreibung beachten |
| Löschen oder Ändern geöffneter Dateien | Nur mit Sperre | Ja |
| Dateifreigabe | Windows-Freigabemodus | Netzwerksperrungs-Manager im Bytebereich (Empfehlung) |
| Unterstützung fester Links | Nicht unterstützt | Unterstützt |
| Unterstützung von symbolischen Verknüpfungen | Nicht unterstützt | Unterstützt |
| Optional über das Internet zugänglich | Ja (nur SMB 3.0 und höher) | Nein |
| Unterstützt FileREST | Ja | Ja (nur Microsoft.Storage) |
| Obligatorische Byte-Bereichssperren | Unterstützt | Nicht unterstützt |
| Empfohlene Byte-Bereichssperren | Nicht unterstützt | Unterstützt |
| Erweiterte/benannte Attribute | Nicht unterstützt | Nicht unterstützt |
| Alternative Datenströme | Nicht unterstützt | – |
| Objektkennungen | Nicht unterstützt | – |
| Analysepunkte | Nicht unterstützt | – |
| Sparsedateien | Nicht unterstützt | – |
| Komprimierung | Nicht unterstützt | – |
| Named Pipes | Nicht unterstützt | – |
| SMB Direct | Nicht unterstützt | – |
| SMB-Verzeichnisleasing | Nicht unterstützt | – |
| Volumeschattenkopie-Dienst | Nicht unterstützt | – |
| Kurze Dateinamen (8.3-Alias) | Nicht unterstützt | – |
| Dateisystemtransaktionen (TxF) | Nicht unterstützt | – |
Identität
Für den Zugriff auf eine Azure-Dateifreigabe muss deren Benutzer authentifiziert und für den Zugriff auf die Freigabe autorisiert sein. Dies erfolgt basierend auf der Identität der Benutzenden, die auf die Dateifreigabe zugreifen. Azure Files unterstützt die folgenden Authentifizierungsmethoden:
- Lokale Active Directory Domain Services (AD DS oder lokale AD DS): Azure Storage-Konten können über Domänenbeitritt – so wie ein Windows Server-Dateiserver oder ein NAS-Gerät – mit einer kundeneigenen Active Directory Domain Services-Instanz verknüpft werden. Sie können einen Domänencontroller lokal, auf einer Azure-VM oder sogar als VM bei einem anderen Cloudanbieter bereitstellen. Azure Files ist unabhängig vom Speicherort des Domänencontrollers. Sobald ein Speicherkonto einer Domäne beigetreten ist, kann der Endbenutzer eine Dateifreigabe mit dem Benutzerkonto einbinden, mit dem er sich bei seinem PC angemeldet hat. Bei der AD-basierten Authentifizierung wird das Kerberos-Authentifizierungsprotokoll verwendet.
- Microsoft Entra Domain Services: Microsoft Entra Domain Services bietet einen von Microsoft verwalteten Domänencontroller, der für Azure-Ressourcen verwendet werden kann. Der Domänenbeitritt Ihres Speicherkontos zu Microsoft Entra Domain Services bietet ähnliche Vorteile wie der Domänenbeitritt zu einem kundeneigenen AD DS. Diese Bereitstellungsoption ist besonders nützlich für Lift-and-Shift-Anwendungsszenarien, die AD-basierte Berechtigungen erfordern. Da Microsoft Entra Domain Services AD-basierte Authentifizierung bereitstellt, verwendet diese Option auch das Kerberos-Authentifizierungsprotokoll.
- Microsoft Entra Kerberos: Mit Microsoft Entra Kerberos können Sie Microsoft Entra-ID verwenden, um Hybrid - oder reine Cloudidentitäten zu authentifizieren (Vorschau). Diese Konfiguration verwendet Microsoft Entra ID, um Kerberos-Tickets für den Zugriff auf die Dateifreigabe mit dem SMB-Protokoll auszugeben. Dies bedeutet, dass Ihre Endbenutzer über das Internet auf Azure-Dateifreigaben zugreifen können, die sowohl mit Microsoft Entra hybrid verbundenen als auch mit Microsoft Entra verbundenen VMs bereitgestellt werden.
- Active Directory-Authentifizierung über SMB für Linux-Clients: Azure Files unterstützt die identitätsbasierte Authentifizierung über SMB für Linux-Clients mithilfe des Kerberos-Authentifizierungsprotokolls über AD DS oder Microsoft Entra Domain Services.
- Azure Storage Account Key: Obwohl es aus Sicherheitsgründen nicht empfohlen wird, können Sie Azure-Dateifreigaben auch mithilfe eines Azure-Speicherkontoschlüssels bereitstellen, anstatt eine Identität zu verwenden. Wenn Sie eine Dateifreigabe mithilfe des Speicherkontoschlüssels bereitstellen möchten, wird der Name des Speicherkontos als Benutzername verwendet, und der Speicherkontoschlüssel wird als Kennwort verwendet. Die Verwendung des Speicherkontoschlüssels zum Einbinden der Azure-Dateifreigabe ist praktisch ein Administratorvorgang, da die eingebundene Dateifreigabe vollständige Berechtigungen für sämtliche Dateien und Ordner auf der Freigabe hat – selbst wenn es Zugriffssteuerungslisten gibt. Wenn Sie den Speicherkontoschlüssel zum Einbinden über SMB verwenden, wird das NTLMv2-Authentifizierungsprotokoll verwendet. In fast allen Fällen empfehlen wir die Verwendung der identitätsbasierten Authentifizierung anstelle des Speicherkontoschlüssels für den Zugriff auf SMB Azure-Dateifreigaben. Wenn Sie jedoch den Speicherkontoschlüssel verwenden müssen, empfehlen wir die Verwendung privater Endpunkte oder Dienstendpunkte, wie im Abschnitt "Netzwerk " beschrieben.
Für Kunden, die von lokalen Dateiservern migrieren oder neue Dateifreigaben in Azure Files erstellen, die sich wie Windows-Dateiserver oder NAS-Geräte verhalten sollen, ist der Domänenbeitritt des Speicherkontos zum kundeneigenen AD DS empfohlen. Weitere Informationen zum Domänenbeitritt Ihres Speicherkontos zu einem kundeneigenen AD DS finden Sie in der Übersicht zur lokalen Active Directory Domain Services-Authentifizierung über SMB für Azure-Dateifreigaben.
Netzwerk
Das direkte Einbinden Ihrer Azure-Dateifreigabe erfordert oft einige Überlegungen zur Netzwerkkonfiguration, und zwar aus folgenden Gründen:
- Der von SMB-Dateifreigaben zur Kommunikation verwendete Port 445 wird von vielen Organisationen und Internetdienstanbietern (Internet Service Providers, ISPs) für ausgehenden (Internet-) Datenverkehr oft blockiert.
- NFS-Dateifreigaben basieren auf der Authentifizierung auf Netzwerkebene und sind deshalb nur über eingeschränkte Netzwerke zugänglich. Die Verwendung einer NFS-Dateifreigabe erfordert immer eine Ebene von Netzwerkkonfiguration.
Zum Konfigurieren von Netzwerken bietet Azure Files einen öffentlichen Internet-Endpunkt und eine Integration in Azure-Netzwerkfeatures wie Dienstendpunkte, die den öffentlichen Endpunkt auf angegebene virtuelle Netzwerke und private Endpunkte beschränken, wodurch Ihr Speicherkonto eine private IP-Adresse aus einem IP-Adressraum des virtuellen Netzwerks erhält. Für die Nutzung von öffentlichen Endpunkten oder Dienstendpunkten fallen zwar keine zusätzlichen Gebühren an, aber für private Endpunkte gelten die Standarddatenverarbeitungsraten.
Dies bedeutet, dass Sie die folgenden Netzwerkkonfigurationen berücksichtigen müssen:
- Wenn SMB das erforderliche Protokoll ist, und nur von Clients in Azure aus über SMB zugegriffen wird, ist keine spezielle Netzwerkkonfiguration erforderlich.
- Wenn SMB das erforderliche Protokoll ist und der Zugriff von lokalen Clients aus erfolgt, ist eine VPN- oder ExpressRoute-Verbindung von lokal zu Ihrem Azure-Netzwerk erforderlich, wobei Azure Files über private Endpunkte in Ihrem internen Netzwerk verfügbar gemacht wird.
- Wenn das erforderliche Protokoll NFS ist, können Sie entweder Dienstendpunkte oder private Endpunkte verwenden, um das Netzwerk auf angegebene virtuelle Netzwerke einzuschränken. Wenn Sie eine statische IP-Adresse benötigen und/oder Ihre Workload Hochverfügbarkeit erfordert, nutzen Sie einen privaten Endpunkt. Bei Dienstendpunkten kann ein seltenes Ereignis wie z. B. ein zonaler Ausfall dazu führen, dass sich die zugrunde liegende IP-Adresse des Speicherkontos ändert. Während die Daten weiterhin auf der Dateifreigabe verfügbar sind, erfordert der Client eine erneute Bereitstellung der Freigabe.
Weitere Informationen zum Konfigurieren von Netzwerken für Azure Files finden Sie unter Azure Files – Überlegungen zum Netzwerkbetrieb.
Außer der direkten Verbindung mit der Dateifreigabe über den öffentlichen Endpunkt oder eine VPN/ExpressRoute-Verbindung mit einem privaten Endpunkt bietet SMB eine zusätzliche Clientzugriffsstrategie: SMB über QUIC. SMB über QUIC bietet zero-config „SMB VPN“ für SMB-Zugriff über das QUIC-Transportprotokoll. Azure Files unterstützt SMB über QUIC zwar nicht direkt, doch Sie können mithilfe der Azure-Dateisynchronisierung einen einfachen Cache Ihrer Azure-Dateifreigaben auf einer Windows Server 2022 Azure Edition-VM erstellen. Weitere Informationen zu dieser Option finden Sie unter SMB über QUIC mit Azure-Dateisynchronisierung.
Verschlüsselung
Azure Files unterstützt zwei verschiedene Verschlüsselungstypen:
- Verschlüsselung während der Übertragung, die sich auf die Verschlüsselung bezieht, die beim Einbinden/Zugreifen auf die Azure-Dateifreigabe verwendet wird
- Verschlüsselung ruhender Daten, was sich auf die Frage, wie die Daten verschlüsselt werden, wenn sie auf dem Datenträger gespeichert werden, bezieht
Verschlüsselung während der Übertragung
Standardmäßig ist in allen Azure-Speicherkonten die Verschlüsselung während der Übertragung aktiviert. Dies bedeutet: Wenn Sie eine Dateifreigabe über SMB bereitstellen oder über das FileREST-Protokoll darauf zugreifen (z. B. über das Azure-Portal, PowerShell/CLI oder Azure SDKs), ermöglicht Azure Files die Verbindung nur, wenn sie mit SMB 3.x mit Verschlüsselung oder HTTPS hergestellt wird. Clients, die SMB 3.x nicht unterstützen, oder Clients, die zwar SMB 3.x, aber nicht die SMB-Verschlüsselung unterstützen, können die Azure-Dateifreigabe nicht einbinden, wenn die Verschlüsselung während der Übertragung aktiviert ist. Weitere Informationen dazu, welche Betriebssysteme SMB 3.x mit Verschlüsselung unterstützen, finden Sie in der Dokumentation zu Windows, macOS und Linux. Alle aktuellen PowerShell-, CLI- und SDK-Versionen unterstützen HTTPS.
Sie können die Verschlüsselung während der Übertragung für ein Azure-Speicherkonto deaktivieren. Wenn die Verschlüsselung deaktiviert ist, ermöglicht Azure Files auch SMB 2.1 und SMB 3.x ohne Verschlüsselung und unverschlüsselte FileREST-API-Aufrufe über HTTP. Der Hauptgrund für die Deaktivierung der Verschlüsselung während der Übertragung ist die Unterstützung einer Legacy-Anwendung, die unter einem älteren Betriebssystem, z. B. Windows Server 2008 R2 oder einer älteren Linux-Distribution, ausgeführt werden muss. Azure Files lässt nur SMB 2.1-Verbindungen innerhalb der gleichen Region zu, in der sich auch die Azure-Dateifreigabe befindet. Ein SMB 2.1-Client außerhalb der Azure-Region der Azure-Dateifreigabe – z. B. ein lokales System oder eine andere Azure-Region – kann nicht auf die Dateifreigabe zugreifen.
Wir empfehlen dringend, sicherzustellen, dass die Verschlüsselung von Daten während der Übertragung aktiviert ist.
Weitere Informationen zur Verschlüsselung während der Übertragung finden Sie unter Erfordern einer sicheren Übertragung im Azure-Speicher und der Verschlüsselung während der Übertragung für NFS Azure-Dateifreigaben.
Verschlüsselung ruhender Daten
Alle in Azure Files gespeicherten Daten werden über die dienstseitige Azure Storage-Verschlüsselung (SSE) verschlüsselt. SSE funktioniert ähnlich wie BitLocker unter Windows: Daten werden unter der Dateisystemebene verschlüsselt.
Da Daten unter dem Dateisystem der Azure-Dateifreigabe verschlüsselt sind, da sie auf den Datenträger codiert ist, benötigen Sie keinen Zugriff auf den zugrunde liegenden Schlüssel auf dem Client, um die Azure-Dateifreigabe zu lesen oder in die Azure-Dateifreigabe zu schreiben. Die Verschlüsselung ruhender Daten wird auf SMB- und NFS-Protokolle angewendet.
Standardmäßig werden in Azure Files gespeicherte Daten mit von Microsoft verwalteten Schlüsseln verschlüsselt. Mit von Microsoft verwalteten Schlüsseln enthält Microsoft die Schlüssel zum Verschlüsseln und Entschlüsseln der Daten. Microsoft ist dafür verantwortlich, diese Schlüssel regelmäßig zu drehen.
Sie können auch Ihre eigenen Schlüssel selbst verwalten, sodass Sie den Rotationsvorgang steuern können. Wenn Sie Ihre Dateifreigaben mit vom Kunden verwalteten Schlüsseln verschlüsseln, ist Azure Files für den Zugriff auf Ihre Schlüssel autorisiert, um Lese- und Schreibanforderungen von Ihren Clients zu erfüllen. Mit vom Kunden verwalteten Schlüsseln können Sie diese Autorisierung jederzeit widerrufen. Ohne diese Autorisierung ist Ihre Azure-Dateifreigabe jedoch nicht mehr über SMB oder die FileREST-API zugänglich.
Azure Files verwendet dasselbe Verschlüsselungsschema wie die anderen Azure-Speicherdienste, z. B. Azure Blob Storage. Weitere Informationen zu Azure Storage SSE finden Sie unter Azure Storage-Verschlüsselung für ruhende Daten.
Schutz von Daten
Azure Files umfasst einen mehrschichtigen Ansatz, um sicherzustellen, dass Ihre Daten gesichert, wiederhergestellt und vor Sicherheitsbedrohungen geschützt werden können. Siehe Übersicht über den Schutz von Daten in Azure Files.
Vorläufiges Löschen
Das vorläufige Löschen ist eine Einstellung auf Speicherkontoebene, die es Ihnen ermöglicht, Ihre Dateifreigabe wiederherzustellen, wenn sie versehentlich gelöscht wurde. Wenn eine Dateifreigabe gelöscht wird, geht sie in einen vorläufig gelöschten Zustand über, anstatt dauerhaft gelöscht zu werden. Sie können den Zeitraum konfigurieren, in dem vorläufig gelöschte Freigaben wiederhergestellt werden können, ehe sie dauerhaft gelöscht werden, und die Löschung der Freigabe während dieses Aufbewahrungszeitraums jederzeit rückgängig machen.
Das vorläufige Löschen ist für neue Speicherkonten standardmäßig aktiviert. Wenn Sie über einen Workflow verfügen, bei dem das Löschen von Dateifreigaben üblich und zu erwarten ist, können Sie sich möglicherweise für einen kurzen Aufbewahrungszeitraum oder die Deaktivierung der Funktion für das vorläufige Löschen entscheiden.
Weitere Informationen zum vorläufigen Löschen finden Sie unter Verhindern eines versehentlichen Löschens von Azure-Dateifreigaben.
Datensicherung
Sie können Ihre Azure-Dateifreigabe mithilfe von Freigabemomentaufnahmen sichern, die schreibgeschützte Zeitpunktwiederherstellungskopien Ihrer Freigaben sind. Momentaufnahmen sind inkrementell, d. h., sie enthalten nur so viele Daten, wie seit der vorherigen Momentaufnahme geändert wurden. Sie können bis zu 200 Momentaufnahmen pro Dateifreigabe machen und diese bis zu zehn Jahre lang aufbewahren. Sie können Momentaufnahmen entweder manuell im Azure-Portal, über PowerShell oder die Befehlszeilenschnittstelle (CLI) machen oder Azure Backup verwenden.
Im Artikel Informationen zum Sichern von Azure-Dateifreigaben finden Sie Informationen zum Planen und Aufbewahren von Momentaufnahmen. Durch die Generationenprinzipfunktionen (grandfather-father-son, GFS) können Sie täglich, wöchentlich, monatlich oder jährlich Momentaufnahmen machen, die jeweils einen eigenen Aufbewahrungszeitraum haben. Azure Backup orchestriert außerdem die Aktivierung des vorläufigen Löschens und übernimmt eine Löschsperre für ein Speicherkonto, sobald eine beliebige Dateifreigabe für die Sicherung konfiguriert ist. Schließlich stellt Azure Backup bestimmte wichtige Überwachungs- und Warnungsfunktionen bereit, durch die Kunden eine konsolidierte Ansicht ihres Sicherungsbestands haben.
Mithilfe von Azure Backup können Sie im Azure-Portal Wiederherstellungen sowohl auf Element- als auch auf Freigabeebene durchführen. Sie müssen lediglich den Wiederherstellungspunkt (eine bestimmte Momentaufnahme), die bestimmte Datei oder das bestimmte Verzeichnis und dann den Speicherort (ursprünglich oder alternativ) auswählen, in dem die Ressourcen wiederhergestellt werden sollen. Der Sicherungsdienst übernimmt das Kopieren der Momentaufnahmedaten und zeigt den Wiederherstellungsfortschritt im Portal an.
Schützen von Azure Files mit Microsoft Defender für Speicher
Microsoft Defender für Storage ist eine Azure-native Ebene der Sicherheitsintelligenz, die potentielle Bedrohungen Ihrer Speicherkonten erkennt. Es bietet umfassende Sicherheit durch die Analyse der Telemetriedaten auf Datenebene und Steuerungsebene, die von Azure Files generiert werden. Es verwendet erweiterte Bedrohungserkennungsfunktionen, die von Microsoft Threat Intelligence unterstützt werden, um kontextuelle Sicherheitsbenachrichtigungen bereitzustellen, einschließlich Schritten zur Entschärfung der erkannten Bedrohungen und zur Verhinderung zukünftiger Angriffe.
Defender für Storage analysiert kontinuierlich den Telemetriedatenstrom, der von Azure Files generiert wird. Bei Erkennung von potenziell schädlichen Aktivitäten werden Sicherheitswarnungen generiert. Diese Benachrichtigungen werden in Microsoft Defender for Cloud zusammen mit den Details der verdächtigen Aktivität sowie den entsprechenden Untersuchungsschritten, Wartungsmaßnahmen und Sicherheitsempfehlungen angezeigt.
Defender für Storage erkennt bekannte Schadsoftware wie Ransomware, Viren, Spyware und andere Schadsoftware, die auf ein Speicherkonto hochgeladen wurden, anhand des vollständigen Dateihashs (nur für die REST-API unterstützt). Dadurch wird verhindert, dass Schadsoftware in die Organisation eindringt und sich auf mehr Benutzende und Ressourcen ausbreitet. Weitere Informationen finden Sie unter Grundlegendes zu den Unterschieden zwischen Malware Scanning und Hash-Reputationsanalyse.
Defender für Storage greift nicht auf die Speicherkontodaten zu und hat keine Auswirkungen auf dessen Leistung. Sie können Microsoft Defender für Storage auf Abonnementebene (empfohlen) oder auf Ressourcenebene aktivieren.
Speicherebenen
Azure Files bietet zwei Medienebenen des Speichers: Solid-State Disk (SSD) und Festplattenlaufwerk (HDD). Mit diesen Stufen können Sie Ihre Aktien auf die Leistungs- und Preisanforderungen Ihres Szenarios anpassen:
SSD (Premium):SSD-Dateifreigaben bieten für die meisten E/A-Vorgänge für E/A-intensive Workloads eine konsistente hohe Leistung und geringe Latenz innerhalb von einstelligen Millisekunden. SSD-Dateifreigaben eignen sich für eine Vielzahl von Workloads wie Datenbanken, Websitehosting und Entwicklungsumgebungen.
Sie können SSD-Dateifreigaben sowohl mit den SMB- als auch mit NFS-Protokollen verwenden. SSD-Dateifreigaben sind in den bereitgestellten v2 - und bereitgestellten v1-Abrechnungsmodellen verfügbar. SSD-Dateifreigaben bieten eine höhere Verfügbarkeit von SLA als HDD-Dateifreigaben.
HDD (Standard): HDD-Dateifreigaben stellen eine kostengünstige Speicheroption für universelle Dateifreigaben bereit. HDD-Dateifreigaben sind mit den bereitgestellten v2 - und pay-as-you-go-Abrechnungsmodellen verfügbar, obwohl wir das bereitgestellte v2-Modell für neue Bereitstellungen von Dateifreigaben empfehlen. Informationen zum SLA finden Sie auf der Azure SLA-Seite für Onlinedienste.
Wenn Sie eine Medienebene für Ihre Workload auswählen, sollten Sie ihre Leistungs- und Nutzungsanforderungen berücksichtigen. Wenn Ihre Workload eine einstellige Latenz erfordert oder Sie lokale SSD-Speichermedien verwenden, sind SSD-Dateifreigaben wahrscheinlich die beste Lösung. Wenn die geringe Latenz nicht so groß ist wie ein Problem, sind HDD-Dateifreigaben aus Kostenperspektive möglicherweise besser geeignet. So kann es z. B. weniger Problem mit Teamfreigaben sein, die lokal aus Azure bereitgestellt oder lokal über Azure-Dateisynchronisierung zwischengespeichert werden.
Nachdem Sie eine Dateifreigabe in einem Speicherkonto erstellt haben, können Sie sie nicht direkt auf eine andere Medienebene verschieben. Um beispielsweise eine HDD-Dateifreigabe auf die SSD-Medienebene zu verschieben, müssen Sie eine neue SSD-Dateifreigabe erstellen und die Daten aus Ihrer ursprünglichen Freigabe in die neue Dateifreigabe kopieren.
Weitere Informationen zu den SSD- und HDD-Medienebenen finden Sie unter Grundlegendes zu Azure Files-Abrechnungsmodellen und Verstehen und Optimieren der Leistung von Azure-Dateifreigaben.
Redundanz
Um dabei zu helfen, Daten in Ihren Azure-Dateifreigaben vor Datenverlust oder Beschädigungen zu schützen, speichert Azure Files mehrere Kopien jeder Datei, während sie geschrieben werden. Je nach Ihren Anforderungen können Sie Redundanzgrade auswählen. Azure Files unterstützt zur Zeit die folgenden Optionen für Datenredundanz:
Lokal redundanter Speicher (LRS): Mit lokaler Redundanz wird jede Datei dreimal in einem Azure-Speichercluster gespeichert. Dieser Ansatz trägt zum Schutz vor Datenverlust aufgrund von Hardwarefehlern bei, z. B. einem fehlerhaften Datenträgerlaufwerk. Wenn jedoch eine Katastrophe wie Feuer oder Überschwemmungen im Rechenzentrum auftritt, gehen möglicherweise alle Replikate eines Speicherkontos, das LRS verwendet, verloren oder kann nicht wiederhergestellt werden.
Zonenredundanter Speicher (ZRS): Bei Zonenredundanz werden drei Kopien jeder Datei gespeichert. Diese Kopien werden jedoch physisch in drei unterschiedlichen Speicherclustern in Azure-Verfügbarkeitszonen isoliert. Verfügbarkeitszonen sind eindeutige physische Standorte in einer Azure-Region. Jede Zone besteht aus mindestens einem Datencenter mit eigener Stromversorgung, Kühlung und Netzwerk. Ein Schreibvorgang in den Speicher wird erst akzeptiert, wenn die Daten in allen drei Verfügbarkeitszonen in die Speichercluster geschrieben wurden.
Georedundanter Speicher (GRS): Mit Georedundanz verfügen Sie über eine primäre Region und eine sekundäre Region. Dateien werden dreimal in einem Azure-Speichercluster in der primären Region gespeichert. Schreibvorgänge werden asynchron in eine von Microsoft definierte sekundäre Region repliziert.
Georedundanz bietet sechs Kopien Ihrer Daten, die zwischen den beiden Azure-Regionen verteilt sind. Wenn eine große Katastrophe auftritt, z. B. der dauerhafte Verlust einer Azure-Region aufgrund einer Naturkatastrophe oder eines anderen ähnlichen Ereignisses, führt Microsoft ein Failover durch. In diesem Fall wird die Sekundäre zur primären und dient allen Vorgängen.
Da die Replikation zwischen den primären und sekundären Regionen asynchron ist, gehen daten, die noch nicht in die sekundäre Region repliziert wurden, verloren. Sie können auch ein manuelles Failover eines georedundanten Speicherkontos ausführen.
Geozonenredundanter Speicher (GZRS): Bei Geozonenredundanz werden Dateien dreimal in drei unterschiedlichen Speicherclustern in der primären Region gespeichert. Alle Schreibvorgänge werden dann asynchron in eine von Microsoft definierte sekundäre Region repliziert. Der Failoverprozess für Geozonenredundanz funktioniert genauso wie bei Georedundanz.
HDD-Dateifreigaben unterstützen alle vier Redundanztypen. SSD-Dateifreigaben unterstützen nur LRS und ZRS.
Pay-as-you-go-Speicherkonten bieten zwei weitere Redundanzoptionen, die Azure Files nicht unterstützt: read-access geo-redundant storage (RA-GRS) und read-access geo-zone-redundant storage (RA-GZRS). Sie können Azure-Dateifreigaben in Speicherkonten mit diesen Optionen bereitstellen, aber Azure Files unterstützt das Lesen aus der sekundären Region nicht. Azure-Dateifreigaben, die in RA-GRS- oder RA-GZRS Speicherkonten bereitgestellt werden, werden als redundante georedundante oder geozonen-redundante Konten in Rechnung gestellt.
Weitere Informationen zu Redundanz finden Sie unter Azure Files-Datenredundanz.
Verfügbarkeit zonenredundanter SSD-Dateifreigaben
Zonenredundante SSD-Dateifreigaben sind in einigen Azure-Regionen verfügbar.
Notfallwiederherstellung und Failover
Im Falle eines ungeplanten regionalen Dienstausfalls sollten Sie über einen Notfallwiederherstellungsplan für Ihre Azure-Dateifreigaben verfügen. Informationen zu den Konzepten und Prozessen, die mit dem Failover von Notfallwiederherstellung und Speicherkonten verbunden sind, finden Sie unter Notfallwiederherstellung und Failover für Azure Files.
Migration
In vielen Fällen werden Sie keine ganz neue Dateifreigabe für Ihre Organisation einrichten, sondern stattdessen eine vorhandene Dateifreigabe von einem lokalen Dateiserver oder NAS-Gerät zu Azure Files migrieren. Für den Erfolg der Migration ist es wichtig, die richtige Migrationsstrategie und das richtige Tool für Ihr Szenario auszuwählen.
DerArtikel zur Migrationsübersicht behandelt kurz die Grundlagen und enthält eine Tabelle, die Verweise auf Migrationsleitfäden enthält, die Ihr Szenario wahrscheinlich abdecken.