NFS Azure-Dateifreigaben
Azure Files bietet zwei Dateisystemprotokolle nach Branchenstandard zum Einbinden von Azure-Dateifreigaben: das Server Message Block (SMB)-Protokoll und das Network File System (NFS)-Protokoll, mit dem Sie das Protokoll auswählen können, das für Ihre Workload am besten geeignet ist. Bei Azure-Dateifreigaben ist der Zugriff auf eine einzelne Azure-Dateifreigabe über das SMB- oder das NFS-Protokoll nicht möglich. Sie können jedoch SMB- und NFS-Dateifreigaben innerhalb desselben FileStorage-Speicherkontos erstellen. Azure Files bietet Dateifreigaben auf Unternehmensniveau, die entsprechend Ihren Speicheranforderungen hochskaliert werden können und auf die Tausende von Clients gleichzeitig zugreifen können.
In diesem Artikel werden NFS-Azure-Dateifreigaben behandelt. Informationen zu SMB-Azure-Dateifreigaben finden Sie unter SMB-Dateifreigaben in Azure Files.
Wichtig
NFS-Azure-Dateifreigaben werden bei Windows nicht unterstützt. Bevor Sie Azure-NFS-Dateifreigaben für die Produktion verwenden, finden Sie im Artikel Problembehandlung für Azure-NFS-Dateifreigaben eine Liste bekannter Probleme. NFS-Zugriffssteuerungslisten (Access Control Lists, ACLs) werden nicht unterstützt.
Häufige Szenarien
NFS-Dateifreigaben werden häufig in den folgenden Szenarien verwendet:
- Zusatzspeicher für Linux/UNIX-basierte Anwendungen, z. B. branchenspezifische Anwendungen, die mit Linux- oder POSIX-Dateisystem-APIs geschrieben wurden (auch wenn keine POSIX-Konformität erforderlich ist)
- Workloads, die POSIX-kompatible Dateifreigaben erfordern, Szenarien, in denen die Groß-/Kleinschreibung wichtig ist, oder bei Berechtigungen im UNIX-Format (UID/GID)
- Entwicklung neuer Anwendungen und Dienste, insbesondere wenn diese Anwendungen oder Dienste zufällige E/A-Vorgänge und hierarchische Speicherung erfordern
Features
- Vollständig POSIX-kompatibles Dateisystem
- Unterstützung fester Links
- Unterstützung von symbolischen Verknüpfungen
- NFS-Dateifreigaben unterstützen derzeit lediglich die meisten Features der 4.1-Protokollspezifikation. Einige Features wie z. B. Delegierungen und Rückrufe aller Art, Kerberos-Authentifizierung, ACLs und Verschlüsselung während der Übertragung werden nicht unterstützt.
Hinweis
Das Erstellen eines festen Links aus einer vorhandenen symbolischen Verknüpfung wird derzeit nicht unterstützt.
Sicherheit und Netzwerk
Alle in Azure Files gespeicherten Daten werden im Ruhezustand mithilfe der Azure-Speicherdienstverschlüsselung (Storage Service Encryption, SSE) verschlüsselt. Die Speicherdienstverschlüsselung funktioniert ähnlich wie BitLocker unter Windows: Daten werden unterhalb der Dateisystemebene verschlüsselt. Da Daten durch die Codierung auf dem Datenträger unterhalb des Dateisystems der Azure-Dateifreigabe verschlüsselt werden, benötigen Sie keinen Zugriff auf den zugrunde liegenden Schlüssel auf dem Client, um aus der Azure-Dateifreigabe zu lesen oder in diese zu schreiben. Die Verschlüsselung ruhender Daten wird auf SMB- und NFS-Protokolle angewendet.
Für die Verschlüsselung während der Übertragung bietet Azure eine Verschlüsselungsschicht für alle Daten, die zwischen Azure-Rechenzentren übertragen werden: MACSec. Dadurch ist eine Verschlüsselung möglich, wenn Daten zwischen Azure-Rechenzentren übertragen werden.
Im Gegensatz zu Azure Files, welcher das SMB-Protokoll verwendet, bieten Dateifreigaben, die das NFS-Protokoll verwenden, keine benutzerbasierte Authentifizierung. Die Authentifizierung für NFS-Freigaben basiert auf den konfigurierten Netzwerksicherheitsregeln. Aus diesem Grund müssen Sie entweder einen privaten Endpunkt oder einen Dienstendpunkt für Ihr Speicherkonto einrichten, um sicherzustellen, dass nur sichere Verbindungen zu Ihrer NFS-Freigabe hergestellt werden.
Ein privater Endpunkt (auch als private Verbindung bezeichnet) gibt Ihrem Speicherkonto eine private, statische IP-Adresse innerhalb Ihres virtuellen Netzwerks, wodurch Konnektivitätsunterbrechungen durch dynamische IP-Adressänderungen verhindert werden. Der Datenverkehr zu Ihrem Speicherkonto verbleibt in virtuellen Netzwerken mit Peering, einschließlich derjenigen in anderen Regionen und vor Ort. Es gelten die Standard-Datenverarbeitungsraten.
Wenn Sie keine statische IP-Adresse benötigen, können Sie einen Dienstendpunkt für Azure Files innerhalb des virtuellen Netzwerks aktivieren. Ein Dienstendpunkt konfiguriert Speicherkonten so, dass nur aus bestimmten Subnetzen zugegriffen werden kann. Die zulässigen Subnetze gehören möglicherweise zu einem virtuellen Netzwerk im selben Abonnement oder in einem anderen Abonnement – einschließlich jener, die zu einem anderen Microsoft Entra-Mandanten gehören. Für die Verwendung von Dienstendpunkten werden keine zusätzlichen Gebühren berechnet. Beachten Sie jedoch, dass ein seltenes Ereignis wie z. B. ein zonaler Ausfall dazu führen kann, dass sich die zugrunde liegende IP-Adresse des Speicherkontos ändert. Während die Daten weiterhin auf der Dateifreigabe verfügbar sind, erfordert der Client eine erneute Bereitstellung der Freigabe.
Wenn Sie auf Freigaben lokal zugreifen möchten, müssen Sie zusätzlich zu einem privaten Endpunkt ein VPN oder eine ExpressRoute-Verbindung einrichten. Anforderungen, die nicht von den folgenden Quellen stammen, werden abgelehnt:
- Anforderungen von einem privaten Endpunkt
- Azure VPN Gateway
- ExpressRoute
- Anforderungen von einem eingeschränkten öffentlichen Endpunkt
Weitere Informationen zu den verfügbaren Netzwerkoptionen finden Sie im Artikel zu Azure Files-Netzwerken.
Unterstützung für Azure Storage-Features
In der folgenden Tabelle sind die aktuellen Unterstützungsebenen für Azure Storage-Features in Konten angegeben, für die das NFS 4.1-Feature aktiviert ist.
Der Status der Elemente in dieser Tabelle kann sich im Lauf der Zeit ändern, da die Unterstützung laufend erweitert wird.
| Storage-Feature | Unterstützt für NFS-Freigaben |
|---|---|
| REST-API auf Dateiverwaltungsebene | ✔️ |
| REST-API auf Dateidatenebene | ⛔ |
| Verschlüsselung ruhender Daten | ✔️ |
| Verschlüsselung während der Übertragung | ⛔ |
| LRS- oder ZRS-Redundanztypen | ✔️ |
| Konvertierung von LRS in ZRS | ⛔ |
| Azure DNS-Zonenendpunkte (Vorschau) | ✔️ |
| Private Endpunkte | ✔️ |
| Einbindung von Unterverzeichnissen | ✔️ |
| Gewähren des Netzwerkzugriffs auf bestimmte virtuelle Azure-Netzwerke | ✔️ |
| Gewähren des Netzwerkzugriffs auf bestimmte IP-Adressen | ⛔ |
| Premium-Tarif | ✔️ |
| Standardebenen (heiß, kalt und transaktionsoptimiert) | ⛔ |
| POSIX-Berechtigungen | ✔️ |
| Root Squash | ✔️ |
| Zugreifen auf dieselben Daten aus Windows und Linux-Client | ⛔ |
| Identitätsbasierte Authentifizierung | ⛔ |
| Vorläufiges Löschen von Azure-Dateifreigaben | ⛔ |
| Azure-Dateisynchronisierung | ⛔ |
| Sichern von Azure-Dateifreigaben | ⛔ |
| Momentaufnahmen von Azure-Dateifreigaben | ✔️ |
| GRS- oder GZRS-Redundanztypen | ⛔ |
| AzCopy | ⛔ |
| Azure Storage-Explorer | ⛔ |
| Unterstützung für mehr als 16 Gruppen | ⛔ |
Regionale Verfügbarkeit
Azure-NFS-Dateifreigaben werden in allen Regionen unterstützt, die Premium File Storage unterstützen.
Die aktuelle Liste finden Sie im Eintrag File Storage Premium auf der Azure-Seite Verfügbare Produkte nach Region.
Leistung
Azure-NFS-Dateifreigaben werden nur für Premium-Dateifreigaben angeboten, bei denen Daten auf SSD-Datenträgern gespeichert werden. IOPS und Durchsatz von NFS-Freigaben werden mit der bereitgestellten Kapazität skaliert. Informationen zu den Formeln für IOPS, E/A-Bursting und Durchsatz finden Sie im Artikel Grundlegendes zur Abrechnung im Abschnitt Bereitgestelltes Modell. Die durchschnittlichen E/A-Latenzen liegen bei geringer E/A-Größe im unteren einstelligen Millisekundenbereich, während die durchschnittlichen Metadatenlatenzen im hohen einstelligen Millisekundenbereich liegen. Bei metadatenlastigen Vorgängen wie dem Entpacken und Workloads wie WordPress kann es aufgrund der hohen Anzahl von Öffnungs- und Schließvorgängen zu zusätzlichen Latenzen kommen.
Hinweis
Sie können die Linux-Einbindungsoption nconnect verwenden, um die Leistung für NFS-Azure-Dateifreigaben im großen Stil zu verbessern. Weitere Informationen finden Sie unter Verbessern der NFS-Azure-Dateifreigabeleistung.
Arbeitsauslastungen
Wichtig
Bevor Sie Azure-NFS-Dateifreigaben für die Produktion verwenden, finden Sie im Artikel Problembehandlung für Azure-NFS-Dateifreigaben eine Liste bekannter Probleme.
NFS wurde für eine gute Zusammenarbeit mit Workloads wie SAP-Anwendungsebene, Datenbanksicherungen, Datenbankreplikation, Messagingwarteschlangen, Homeverzeichnissen für universelle Dateiserver und Inhaltsrepositorys für Anwendungsworkloads überprüft.