Diese Architektur zeigt, wie Sie Azure-Dateifreigaben in Ihre hybride Umgebung integrieren. Azure-Dateifreigaben werden als serverlose Dateifreigaben verwendet. Durch Integration dieser Freigaben in Active Directory Domain Services (AD DS) können Sie den Zugriff steuern und auf AD DS-Benutzer beschränken. So können Azure-Dateifreigaben herkömmliche Dateiserver ersetzen.
Aufbau
Laden Sie eine Visio-Datei dieser Architektur herunter.
Workflow
Die Architektur umfasst die folgenden Komponenten:
- Microsoft Entra-Mandant. Diese Komponente ist eine Instanz von Microsoft Entra, die von Ihrer Organisation erstellt wurde. Sie fungiert als ein Verzeichnisdienst für Cloudanwendungen, indem sie Objekte speichert, die aus dem lokalen Active Directory kopiert wurden. Sie stellt darüber hinaus Identitätsdienste für den Zugriff auf Azure-Dateifreigaben bereit.
- AD DS-Server: Diese Komponente ist ein lokaler Verzeichnis- und Identitätsdienst. Das AD DS-Verzeichnis wird mit Microsoft Entra ID synchronisiert, um die Authentifizierung lokaler Benutzer*innen zu ermöglichen.
- Microsoft Entra Connect-Synchronisierungsserver. Diese Komponente ist ein lokaler Server, auf dem der Microsoft Entra Connect-Synchronisierungsdienst ausgeführt wird. Dieser Dienst synchronisiert Informationen, die sich im lokalen Active Directory befinden, mit Microsoft Entra ID.
- Gateway des virtuellen Netzwerks. Diese optionale Komponente wird verwendet, um verschlüsselten Datenverkehr zwischen einem Azure Virtual Network und einem lokalen Standort über das Internet zu senden.
- Azure-Dateifreigaben. Azure-Dateifreigaben bieten Speicher für Dateien und Ordner, auf die Sie über die Protokolle Server Message Block (SMB), Network File System (NFS) und Hypertext Transfer Protocol (HTTP) zugreifen können. Dateifreigaben werden in Azure-Speicherkonten bereitgestellt.
- Recovery Services-Tresor: Diese optionale Komponente stellt Sicherungskopien für Azure-Dateifreigaben bereit.
- Clients: Diese Komponenten sind AD DS-Mitgliedscomputer, von denen Benutzer auf Azure-Dateifreigaben zugreifen können.
Komponenten
Die wichtigsten für die Implementierung dieser Architektur verwendeten Technologien sind:
- Microsoft Entra ID ist ein Identitätsdienst für Unternehmen, der einmaliges Anmelden, Multi-Faktor-Authentifizierung und bedingten Zugriff ermöglicht.
- Azure Files verfügt über vollständig verwaltete Dateifreigaben in der Cloud, auf die über Branchenstandardprotokolle zugegriffen werden kann.
- VPN Gateway VPN Gateway sendet verschlüsselten Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet.
Szenariodetails
Mögliche Anwendungsfälle
Typische Einsatzmöglichkeiten für diese Architektur sind:
- Ersetzen oder Ergänzen lokaler Dateiserver: Azure Files kann herkömmliche lokale Dateiserver oder NAS-Geräte ergänzen oder vollständig ersetzen. Mit Azure-Dateifreigaben und AD DS-Authentifizierung können Sie Daten zu Azure Files migrieren. Diese Migration nutzt die Vorteile von Hochverfügbarkeit und Skalierbarkeit, während gleichzeitig Clientänderungen minimiert werden.
- Lift & Shift: Azure Files vereinfacht das Migrieren von Anwendungen per Lift & Shift, die zum Speichern von Anwendungs- oder Benutzerdaten in der Cloud eine Dateifreigabe erwarten.
- Sicherung und Notfallwiederherstellung: Sie können Azure Files als Speicher für Sicherungen oder zur Notfallwiederherstellung verwenden, um die Geschäftskontinuität zu verbessern. Sie können Azure Files auch nutzen, um Ihre Daten auf vorhandenen Dateiservern zu sichern und gleichzeitig konfigurierte besitzerverwaltete Zugriffssteuerungslisten aus Windows beizubehalten. In Azure-Dateifreigaben gespeicherte Daten sind bei Notfällen nicht betroffen, die sich auf lokale Standorte auswirken können.
- Azure-Dateisynchronisierung: Mit Azure-Dateisynchronisierung können Azure-Dateifreigaben auf Windows Server lokal oder in der Cloud repliziert werden. Diese Replikation verbessert die Leistung und speichert Daten an dem Ort zwischen, an dem sie verwendet werden.
Empfehlungen
Die folgenden Empfehlungen gelten für die meisten Szenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.
Verwenden von GPv2- oder FileStorage-Speicherkonten für Azure-Dateifreigaben
Sie können eine Azure-Dateifreigabe in verschiedenen Speicherkonten erstellen. Obwohl sowohl Speicherkonten des Typs „Universell V1“ (GPv1) als auch klassische Speicherkonten Azure-Dateifreigaben enthalten können, sind die meisten neuen Features von Azure Files nur in GPv2- und FileStorage-Speicherkonten verfügbar. Während eine Azure-Dateifreigabe GPv2-Speicherkontendaten auf Festplattenlaufwerk-basierter (HDD-basierter) Hardware speichert, werden FileStorage-Speicherkontendaten auf Solid-State-Drive-basierter (SSD-basierter) Hardware gespeichert. Weitere Informationen finden Sie unter Erstellen einer Azure-Dateifreigabe.
Erstellen von Azure-Dateifreigaben in Speicherkonten, die nur Azure-Dateifreigaben enthalten
Speicherkonten ermöglichen die Verwendung unterschiedlicher Speicherdienste innerhalb desselben Kontos. Zu diesen Speicherdiensten gehören Azure-Dateifreigaben, Blobcontainer und Tabellen. Für alle Speicherdienste in einem einzelnen Speicherkonto gelten dieselben Kontogrenzwerte. Wenn verschiedene Speicherdienste auf ein und dasselbe Speicherkonto zugreifen, ist es schwieriger, Leistungsprobleme zu beheben.
Hinweis
Stellen Sie daher nach Möglichkeit jede Azure-Dateifreigabe in einem eigenen, separaten Speicherkonto bereit. Wenn mehrere Azure-Dateifreigaben im selben Speicherkonto bereitgestellt werden, gelten für alle dieselben Grenzwerte des Kontos.
Verwenden von Premium-Dateifreigaben für Workloads mit hohen Durchsatzanforderungen
Premium-Dateifreigaben werden in FileStorage-Speicherkonten bereitgestellt und auf SSD-basierter Hardware gespeichert. Durch dieses Setup eignen sich diese Freigaben zum Speichern von und Zugreifen auf Daten, die eine konsistente Leistung, einen hohen Durchsatz und eine geringe Latenz erfordern. (Diese Premium-Dateifreigaben funktionieren beispielsweise gut für Datenbanken.) Sie können andere Workloads speichern, die weniger anfällig für Leistungsvariabilität bei Standarddateifreigaben sind. Zu diesen Workloadtypen gehören allgemeine Dateifreigaben sowie Entwicklungs-/Testumgebungen. Weitere Informationen finden Sie unter Erstellen einer Azure-Dateifreigabe.
Beim Zugriff auf SMB Azure-Dateifreigaben immer Verschlüsselung verlangen
Verwenden Sie beim Zugriff auf Daten in SMB Azure-Dateifreigaben immer die Verschlüsselung bei der Übertragung. Die Verschlüsselung bei der Übertragung ist standardmäßig aktiviert. Azure Files lässte eine Verbindung nur dann zu, wenn sie mit einem Protokoll hergestellt wird, das eine Verschlüsselung verwendet, z. B. SMB 3.0. Clients, die SMB 3.0 nicht unterstützen, können die Azure-Dateifreigabe nicht einbinden, wenn die Verschlüsselung während der Übertragung erforderlich ist.
Verwenden eines VPN, wenn der von SMB verwendete Port (Port 445) blockiert ist
Viele Internetdienstanbieter blockieren den TCP-Port 445 (Transmission Control Protocol) , der für den Zugriff auf Azure-Dateifreigaben verwendet wird. Wenn das Entsperren von TCP-Port 445 keine Option ist, können Sie über ExpressRoute oder eine VPN-Verbindung (Site-to-Site oder Point-to-Site) auf Azure-Dateifreigaben zugreifen, um die Blockierung des Datenverkehrs zu vermeiden. Weitere Informationen finden Sie unter Konfigurieren eines P2S-VPN (Point-to-Site) unter Windows zur Verwendung mit Azure Files und Konfigurieren eines Site-to-Site-VPN zur Verwendung mit Azure Files.
Verwenden der Azure-Dateisynchronisierung mit Azure-Dateifreigaben
Über den Azure-Dateisynchronisierungsdienst können Sie Azure-Dateifreigaben auf einem lokalen Windows Server-Dateiserver zwischenspeichern. Bei aktiviertem Cloudtiering kann die Dateisynchronisierung sicherstellen, dass ein Dateiserver immer über freien Speicherplatz verfügt, selbst wenn mehr Dateien verfügbar gemacht werden, als auf einem Dateiserver lokal gespeichert werden könnten. Wenn Sie über lokale Windows Server-Dateiserver verfügen, erwägen Sie die Integration von Dateiservern in Azure-Dateifreigaben über Azure-Dateisynchronisierung. Weitere Informationen finden Sie unter Planung für die Bereitstellung einer Azure-Dateisynchronisierung.
Überlegungen
Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.
Skalierbarkeit
- Die Größe einer Azure-Dateifreigabe ist auf 100 Tebibytes (TiB) begrenzt. Es gibt keine Mindestgröße für eine Dateifreigabe und keine Obergrenze in Bezug auf die Anzahl von Dateifreigaben.
- Die maximale Größe einer Datei in einer Dateifreigabe beträgt 1 TiB. Die Anzahl von Dateien in einer Dateifreigabe ist nicht begrenzt.
- Die Grenzwerte für IOPS und Durchsatz gelten pro Azure-Speicherkonto und werden auf alle Azure-Dateifreigaben im selben Speicherkonto angewendet.
Weitere Informationen finden Sie unter Skalierbarkeits- und Leistungsziele für Azure Files.
Verfügbarkeit
Hinweis
Ein Azure-Speicherkonto ist die übergeordnete Ressource für Azure-Dateifreigaben. Für Azure-Dateifreigaben gilt das Maß an Redundanz, das von dem Speicherkonto bereitgestellt wird, in dem die Freigabe enthalten ist.
- Azure-Dateifreigaben unterstützen derzeit die folgenden Datenredundanzoptionen:
- Lokal redundanter Speicher (LRS) : Daten werden drei Mal synchron innerhalb eines einzigen physischen Speicherorts in der primären Region kopiert. Diese Vorgehensweise schützt vor Datenverlusten aufgrund von Hardwarefehlern, z. B. bei einem schadhaften Laufwerk.
- Zonenredundanter Speicher (Zone Redundant Storage, ZRS). Daten werden synchron über drei Azure-Verfügbarkeitszonen hinweg in der primären Region kopiert. Verfügbarkeitszonen sind eindeutige physische Standorte in einer Azure-Region. Jede Zone besteht aus mindestens einem Datencenter mit eigener Stromversorgung, Kühlung und Netzwerk.
- Georedundanter Speicher (GRS) : GRS hält sechs Kopien Ihrer Daten vor. Daten werden über LRS drei Mal synchron innerhalb eines einzelnen physischen Speicherorts in der primären Region kopiert. Anschließend werden die Daten asynchron an einen einzelnen physischen Standort in der sekundären Region kopiert. Georedundanter Speicher hält sechs Kopien der Daten vor, verteilt auf zwei Azure-Regionen.
- Geozonenredundanter Speicher (GZRS) : Daten werden über ZRS synchron über drei Azure-Verfügbarkeitszonen hinweg in der primären Region kopiert. Anschließend werden die Daten asynchron an einen einzelnen physischen Standort in der sekundären Region kopiert.
- Premium-Dateifreigaben können nur in lokal redundantem Speicher (LRS) und zonenredundantem Speicher (ZRS) gespeichert werden. Standard-Dateifreigaben können in lokal redundantem Speicher (LRS), zonenredundantem Speicher (ZRS), georedundantem Speicher (GRS) und geozonenredundantem Speicher (GZRS) gespeichert werden. Weitere Informationen finden Sie unter Planung für eine Azure Files-Bereitstellung und Azure Storage-Redundanz.
- Azure Files ist ein Clouddienst und muss – wie alle Clouddienste – über eine Internetverbindung verfügen, damit Zugriff auf Azure-Dateifreigaben möglich ist. Zur Vermeidung von Zugriffsunterbrechungen wird dringend eine Lösung mit redundanter Internetverbindung empfohlen.
Verwaltbarkeit
- Sie können Azure-Dateifreigaben mit denselben Tools verwalten wie jeden anderen Azure-Dienst. Zu diesen Tools gehören Azure-Portal, Azure-Befehlszeilenschnittstelle und Azure PowerShell.
- Azure-Dateifreigaben erzwingen standardmäßige Windows-Dateiberechtigungen. Sie können Zugriffsberechtigungen auf Verzeichnis- oder Dateiebene konfigurieren, indem Sie eine Azure-Dateifreigabe einbinden und die Berechtigungen über den Datei-Explorer, den Windows-Befehl icacls.exe oder das Windows PowerShell-Cmdlet Set-Acl konfigurieren.
- Sie können das Momentaufnahmefeature für eine Azure-Dateifreigabe verwenden, um eine schreibgeschützte Point-in-Time-Kopie der Daten in der Azure-Dateifreigabe zu erstellen. Die Erstellung der Momentaufnahme erfolgt auf Ebene der Dateifreigabe. Anschließend können Sie einzelne Dateien im Azure-Portal oder im Datei-Explorer herstellen. In Letzterem können Sie auch eine gesamte Freigabe wiederherstellen. Sie können bis zu 200 Momentaufnahmen pro Dateifreigabe erstellen und so Dateien in verschiedenen Versionen zu verschiedenen Zeitpunkten wiederherstellen. Wenn Sie eine Freigabe löschen, werden auch die zugehörigen Momentaufnahmen gelöscht. Freigabemomentaufnahmen sind inkrementell. Es werden also nur die Daten gespeichert, die sich seit der letzten Freigabemomentaufnahme geändert haben. Diese Vorgehensweise reduziert die erforderliche Zeit zum Erstellen der Freigabemomentaufnahme und spart zudem Speicherkosten. Momentaufnahmen von Azure-Dateifreigaben werden auch zum Schützen von Azure-Dateifreigaben mit Azure Backup verwendet. Weitere Informationen finden Sie unter Übersicht über Freigabemomentaufnahmen für Azure Files.
- Sie können ein versehentliches Löschen von Azure-Dateifreigaben verhindern, indem Sie das Feature „Vorläufiges Löschen“ für Dateifreigaben aktivieren. Wenn das vorläufige Löschen aktiviert ist und Sie eine Dateifreigabe löschen, wechselt sie in einen vorläufig gelöschten Zustand, anstatt dauerhaft gelöscht zu werden. Sie können den Zeitraum konfigurieren, in dem vorläufig gelöschte Daten wiederhergestellt werden können, ehe sie dauerhaft gelöscht werden. Außerdem können Sie die Freigabe während dieses Aufbewahrungszeitraums jederzeit wiederherstellen. Weitere Informationen finden Sie unter Aktivieren des vorläufigen Löschens für Azure-Dateifreigaben.
Hinweis
Azure Backup aktiviert das vorläufige Löschen für alle Dateifreigaben im Speicherkonto, wenn Sie die Sicherung für die erste Azure-Dateifreigabe im entsprechenden Speicherkonto konfigurieren.
Hinweis
Sowohl Standard- als auch Premium-Dateifreigaben werden im Zustand „vorläufig gelöscht“ nach genutzter Kapazität abgerechnet, nicht nach bereitgestellter Kapazität.
Sicherheit
Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.
Verwenden Sie die AD DS-Authentifizierung über SMB für den Zugriff auf Azure-Dateifreigaben. Mit diesem Setup können Benutzer per SSO (Single Sign-On, einmaliges Anmelden) genauso nahtlos auf Azure-Dateifreigaben zugreifen wie auf lokale Freigaben. Weitere Informationen finden Sie unter Funktionsweise und Schritte für die Featureaktivierung. Ihr Client muss in die AD DS-Instanz der Domäne eingebunden sein, da die Authentifizierung weiterhin über den AD DS-Domänencontroller erfolgt. Zudem müssen Benutzern Berechtigungen sowohl auf Freigabeebene als auch auf Datei-/Verzeichnisebene zugewiesen sein, damit sie auf Daten zugreifen dürfen. Die Zuweisung von Berechtigungen auf Freigabeebene erfolgt über das Azure RBAC-Modell. Berechtigungen auf Datei./Verzeichnisebene werden in Form von Windows-Zugriffssteuerungslisten verwaltet.
Hinweis
Der Zugriff auf Azure-Dateifreigaben muss immer authentifiziert werden. Azure-Dateifreigaben unterstützen keinen anonymen Zugriff. Neben der identitätsbasierten Authentifizierung über SMB können Benutzer sich auch per Speicherzugriffsschlüssel und SAS bei einer Azure-Dateifreigabe authentifizieren.
Alle in Azure-Dateifreigaben gespeicherten Daten werden im Ruhezustand mit der Azure-Speicherdienstverschlüsselung (Storage Service Encryption, SSE) verschlüsselt. SSE funktioniert ähnlich wie die BitLocker-Laufwerkverschlüsselung unter Windows: Daten werden unterhalb der Dateisystemebene verschlüsselt. Standardmäßig werden in Azure Files gespeicherte Daten mit von Microsoft verwalteten Schlüsseln verschlüsselt. Bei von Microsoft verwalteten Schlüsseln bewahrt Microsoft die Schlüssel zum Verschlüsseln/Entschlüsseln der Daten auf und ist dafür zuständig, diese regelmäßig zu rotieren. Sie können auch Ihre eigenen Schlüssel selbst verwalten, sodass Sie den Rotationsvorgang steuern können.
Bei allen Azure-Speicherkonten ist die Verschlüsselung während der Übertragung standardmäßig aktiviert. Dieses Setup bedeutet, dass die gesamte Kommunikation mit Azure-Dateifreigaben verschlüsselt ist. Clients, die keine Verschlüsselung unterstützen, können keine Verbindung mit Azure-Dateifreigaben herstellen. Wenn Sie die Verschlüsselung während der Übertragung deaktivieren, können auch Clients eine Verbindung herstellen, auf denen ältere Betriebssysteme wie Windows Server 2008 R2 oder ältere Linux-Versionen ausgeführt werden. In solchen Fällen sind Daten von Azure-Dateifreigaben während der Übertragung nicht verschlüsselt.
Standardmäßig können Clients von einem beliebigen Ort aus eine Verbindung mit einer Azure-Dateifreigabe herstellen. Um die Netzwerke zu beschränken, von denen aus Clients Verbindungen mit Azure-Dateifreigaben herstellen können, konfigurieren Sie eine Firewall, virtuelle Netzwerke und Verbindungen mit privaten Endpunkten. Weitere Informationen finden Sie unter Konfigurieren von Azure Storage-Firewalls und virtuellen Netzwerken und Konfigurieren von Azure Files-Netzwerkendpunkten.
Kostenoptimierung
Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Überblick über die Kostenoptimierungssäule und Verstehen der Abrechnung von Azure Files.
- Azure Files verfügt über zwei Speicherebenen und zwei Preismodelle:
- Storage Standard: In diesem Tarif wird HDD-basierter Speicher verwendet. Es gibt keine Mindestgröße für Dateifreigaben und Sie zahlen nur für den tatsächlich genutzten Speicherplatz. Außerdem zahlen Sie für Dateioperationen, wie das Auflisten eines Verzeichnisses oder das Lesen einer Datei.
- Storage Premium: In diesem Tarif wird SSD-basierter Speicher verwendet. Die Mindestgröße für eine Premium-Dateifreigabe beträgt 100 Gibibytes, und Sie zahlen pro bereitgestelltem Speicherplatz. Bei Storage Premium sind alle Dateivorgänge kostenlos.
- Zusätzliche Kosten fallen bei Dateifreigabemomentaufnahmen und ausgehenden Datenübertragungen an. (Beim Übertragen von Daten aus Azure-Dateifreigaben ist die eingehende Datenübertragung kostenlos.) Die Kosten für die Datenübertragung hängen von der Menge der übertragenen Daten und der Stock Keeping Unit (SKU) Ihres virtuellen Netzwerkgateway ab, sofern Sie eines verwenden. Weitere Informationen zu den Kosten finden Sie unter Azure Files Pricing und Azure Pricing Calculator. Die tatsächlichen Kosten variieren je nach Azure-Region und Ihrem individuellen Vertrag. Wenden Sie sich an einen Microsoft-Vertriebsmitarbeiter, um weitere Informationen zu den Preisen zu erhalten.
Nächste Schritte
Erfahren Sie mehr über die Komponententechnologien:
- Erstellen einer Azure-Dateifreigabe: Hier finden Sie Anweisungen zum Erstellen einer SMB-Freigabe.
- Erstellen einer NFS-Freigabe: Hier finden Sie Anweisungen zum Erstellen einer eingebundenen NFS-Freigabe.
Zugehörige Ressourcen
Erkunden Sie die verwandten Architekturen:
- Azure Enterprise Cloud-Dateifreigabe
- Hybride Dateidienste
- Sichern von Dateien und Anwendungen in Azure Stack Hub
- Mehrere Gesamtstrukturen mit Active Directory Domain Services (AD DS) und Microsoft Entra ID
- Mehrere Gesamtstrukturen mit AD DS, Microsoft Entra ID und Microsoft Entra Domain Services
- Azure Virtual Desktop für Unternehmen