Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Azure Files auf zwei Hauptmethoden bereitstellen: indem Sie die serverlosen Azure-Dateifreigaben direkt einbinden oder Azure-Dateifreigaben lokal mithilfe von Azure File Sync zwischenspeichern. Die Bereitstellungsüberlegungen unterscheiden sich je nach der von Ihnen ausgewählten Option.
Direktes Einbinden einer Azure-Dateifreigabe: Weil Azure Files entweder Zugriff auf den Server Message Block (SMB) oder das Network File System (NFS) bereitstellt, können Sie Azure-Dateifreigaben lokal oder in der Cloud mithilfe der SMB- oder NFS-Standardclients einbinden, die in Ihrem Betriebssystem verfügbar sind. Da Azure-Dateifreigaben serverlos sind, ist für die Bereitstellung in Produktionsszenarien keine Verwaltung eines Dateiservers oder NAS-Geräts erforderlich. Dies bedeutet, dass Sie keine Softwarepatches anwenden oder physische Datenträger austauschen müssen.
Lokales Zwischenspeichern von Azure-Dateifreigaben mit Azure-Dateisynchronisierung: Die Azure-Dateisynchronisierung ermöglicht Ihnen das Zentralisieren der Dateifreigaben Ihrer Organisation in Azure Files, ohne auf die Flexibilität, Leistung und Kompatibilität eines lokalen Dateiservers verzichten zu müssen. Azure-Dateisynchronisierung transformiert einen lokalen (oder Cloud-) Windows Server-Computer in einen schnellen Cache Ihrer SMB-Azure-Dateifreigabe.
Dieser Artikel befasst sich hauptsächlich mit Bereitstellungsüberlegungen zum Bereitstellen einer Azure-Dateifreigabe, die direkt von einem lokalen oder cloudbasierten Client eingebunden werden soll. Weitere Informationen zum Planen einer Azure-Dateisynchronisierungsbereitstellung finden Sie unter Planung für die Bereitstellung einer Azure-Dateisynchronisierung.
Verfügbare Protokolle
Azure Files bietet zwei Dateisystemprotokolle nach Branchenstandard zum Einbinden von Azure-Dateifreigaben: das Server Message Block (SMB)-Protokoll und das Network File System (NFS)-Protokoll, mit dem Sie das Protokoll wählen können, das für Ihre Workload am besten geeignet ist. Azure-Dateifreigaben unterstützen nicht SMB- und NFS-Protokolle auf derselben Dateifreigabe. Sie können jedoch SMB- und NFS-Azure-Dateifreigaben innerhalb desselben Speicherkontos erstellen.
Mit sowohl SMB- als auch NFS-Dateifreigaben bietet Azure Files Dateifreigaben in Unternehmensqualität, die entsprechend Ihren Speicheranforderungen hochskaliert werden können und auf die Tausende von Clients gleichzeitig zugreifen können.
| Funktion | KMU | NFS (falls abgekürzt von Network File System gemeint) |
|---|---|---|
| Unterstützte Protokollversionen | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4.1 |
| Empfohlenes Betriebssystem |
|
Linux-Kernelversion 4.3 und höher |
| Verfügbare Tarife | SSD und HDD | Nur SSD |
| Redundanz |
|
|
| Dateisystemsemantik | Win32 | POSIX |
| Authentifizierung | Identitätsbasierte Authentifizierung (Kerberos), Authentifizierung mit gemeinsam verwendeten Schlüsseln (NTLMv2) | Hostbasierte Authentifizierung |
| Autorisierung | Win32-Zugriffssteuerungslisten (Access Control Lists, ACLs) | Berechtigungen im UNIX-Format |
| Groß- und Kleinschreibung | Keine Beachtung von Groß-/Kleinschreibung, Schreibweise wird beibehalten | Groß-/Kleinschreibung beachten |
| Löschen oder Ändern geöffneter Dateien | Nur mit Sperre | Ja |
| Dateifreigabe | Windows-Freigabemodus | Netzwerksperrungs-Manager im Bytebereich (Empfehlung) |
| Unterstützung fester Links | Nicht unterstützt | Unterstützt |
| Unterstützung von symbolischen Verknüpfungen | Nicht unterstützt | Unterstützt |
| Optional über das Internet zugänglich | Ja (nur SMB 3.0 und höher) | Nein |
| Unterstützt FileREST | Ja | Teilmenge: |
| Obligatorische Byte-Bereichssperren | Unterstützt | Nicht unterstützt |
| Empfohlene Byte-Bereichssperren | Nicht unterstützt | Unterstützt |
| Erweiterte/benannte Attribute | Nicht unterstützt | Nicht unterstützt |
| Alternative Datenströme | Nicht unterstützt | – |
| Objektkennungen | Nicht unterstützt | – |
| Analysepunkte | Nicht unterstützt | – |
| Sparsedateien | Nicht unterstützt | – |
| Komprimierung | Nicht unterstützt | – |
| Named Pipes | Nicht unterstützt | – |
| SMB Direct | Nicht unterstützt | – |
| SMB-Verzeichnisleasing | Nicht unterstützt | – |
| Volumeschattenkopie-Dienst | Nicht unterstützt | – |
| Kurze Dateinamen (8.3-Alias) | Nicht unterstützt | – |
| Serverdienst | Nicht unterstützt | – |
| Dateisystemtransaktionen (TxF) | Nicht unterstützt | – |
Verwaltungskonzepte
Azure-Dateifreigaben werden in Speicherkonten bereitgestellt, bei denen es sich um Objekte der obersten Ebene handelt, die einen freigegebenen Speicherpool darstellen. Speicherkonten können verwendet werden, um mehrere Dateifreigaben sowie andere Speicherressourcen je nach Speicherkontotyp bereitzustellen. Für alle Speicherressourcen, die in einem Speicherkonto bereitgestellt werden, treffen die für dieses Speicherkonto geltenden Grenzwerte zu. Die aktuellen Grenzwerte für ein Speicherkonto finden Sie unter Skalierbarkeits- und Leistungsziele für Azure Files.
Es gibt zwei Haupttypen von Speicherkonten, die für Azure Files-Bereitstellungen verwendet werden:
-
Bereitgestellte Speicherkonten: Bereitgestellte Speicherkonten werden mithilfe der
FileStorageSpeicherkontoart unterschieden. Mit bereitgestellten Speicherkonten können Sie bereitgestellte Dateifreigaben auf SSD- oder HDD-basierter Hardware bereitstellen. Bereitgestellte Speicherkonten können nur zum Speichern von Azure-Dateifreigaben verwendet werden. NFS-Dateifreigaben können nur in bereitgestellten Speicherkonten auf SSD-Medienebene bereitgestellt werden. Wir empfehlen die Verwendung der bereitgestellten Speicherkonten für alle neuen Bereitstellungen von Azure Files. -
Pay-as-you-go-Speicherkonten: Pay-as-you-go-Speicherkonten werden mit der Art des
StorageV2Speicherkontos unterschieden. Pay-as-you-go-Speicherkonten ermöglichen Ihnen die Bereitstellung von Pay-as-you-go-Dateifreigaben auf HDD-basierter Hardware. Neben Azure-Dateifreigaben können in GPv2-Speicherkonten auch andere Speicherressourcen wie Blobcontainer, Warteschlangen oder Tabellen gespeichert werden.
Identität
Für den Zugriff auf eine Azure-Dateifreigabe muss deren Benutzer authentifiziert und für den Zugriff auf die Freigabe autorisiert sein. Dies erfolgt basierend auf der Identität der Benutzenden, die auf die Dateifreigabe zugreifen. Azure Files unterstützt die folgenden Authentifizierungsmethoden:
- Lokale Active Directory Domain Services (AD DS oder lokale AD DS): Azure Storage-Konten können über Domänenbeitritt – so wie ein Windows Server-Dateiserver oder ein NAS-Gerät – mit einer kundeneigenen Active Directory Domain Services-Instanz verknüpft werden. Sie können einen Domänencontroller lokal, auf einer Azure-VM oder sogar als VM bei einem anderen Cloudanbieter bereitstellen. Azure Files ist unabhängig vom Speicherort des Domänencontrollers. Sobald ein Speicherkonto einer Domäne beigetreten ist, kann der Endbenutzer eine Dateifreigabe mit dem Benutzerkonto einbinden, mit dem er sich bei seinem PC angemeldet hat. Bei der AD-basierten Authentifizierung wird das Kerberos-Authentifizierungsprotokoll verwendet.
- Microsoft Entra Domain Services: Microsoft Entra Domain Services bietet einen von Microsoft verwalteten Domänencontroller, der für Azure-Ressourcen verwendet werden kann. Der Domänenbeitritt Ihres Speicherkontos zu Microsoft Entra Domain Services bietet ähnliche Vorteile wie der Domänenbeitritt zu einem kundeneigenen AD DS. Diese Bereitstellungsoption ist besonders nützlich für Lift-and-Shift-Anwendungsszenarien, die AD-basierte Berechtigungen erfordern. Da Microsoft Entra Domain Services AD-basierte Authentifizierung bereitstellt, verwendet diese Option auch das Kerberos-Authentifizierungsprotokoll.
- Microsoft Entra Kerberos für Hybrididentitäten : Microsoft Entra Kerberos ermöglicht es Ihnen, Microsoft Entra ID zum Authentifizieren von Hybridbenutzeridentitäten zu verwenden. Das sind lokale AD-Identitäten, die mit der Cloud synchronisiert werden. Diese Konfiguration verwendet Microsoft Entra ID, um Kerberos-Tickets für den Zugriff auf die Dateifreigabe mit dem SMB-Protokoll auszugeben. Dies bedeutet, dass Ihre Endbenutzenden über das Internet auf Azure-Dateifreigaben zugreifen können, ohne dass eine Netzwerkverbindung mit den Domänencontrollern von VMs erforderlich ist, die in Microsoft Entra Hybrid und Microsoft Entra eingebunden sind.
- Active Directory-Authentifizierung über SMB für Linux-Clients: Azure Files unterstützt die identitätsbasierte Authentifizierung über SMB für Linux-Clients mithilfe des Kerberos-Authentifizierungsprotokolls über AD DS oder Microsoft Entra Domain Services.
- Azure Storage Account Key: Obwohl es aus Sicherheitsgründen nicht empfohlen wird, können Sie Azure-Dateifreigaben auch mithilfe eines Azure-Speicherkontoschlüssels bereitstellen, anstatt eine Identität zu verwenden. Wenn Sie eine Dateifreigabe mithilfe des Speicherkontoschlüssels bereitstellen möchten, wird der Name des Speicherkontos als Benutzername verwendet, und der Speicherkontoschlüssel wird als Kennwort verwendet. Die Verwendung des Speicherkontoschlüssels zum Einbinden der Azure-Dateifreigabe ist praktisch ein Administratorvorgang, da die eingebundene Dateifreigabe vollständige Berechtigungen für sämtliche Dateien und Ordner auf der Freigabe hat – selbst wenn es Zugriffssteuerungslisten gibt. Wenn Sie den Speicherkontoschlüssel zum Einbinden über SMB verwenden, wird das NTLMv2-Authentifizierungsprotokoll verwendet. In fast allen Fällen empfehlen wir die Verwendung der identitätsbasierten Authentifizierung anstelle des Speicherkontoschlüssels für den Zugriff auf SMB Azure-Dateifreigaben. Wenn Sie jedoch den Speicherkontoschlüssel verwenden müssen, empfehlen wir die Verwendung privater Endpunkte oder Dienstendpunkte, wie im Abschnitt "Netzwerk " beschrieben.
Für Kunden, die von lokalen Dateiservern migrieren oder neue Dateifreigaben in Azure Files erstellen, die sich wie Windows-Dateiserver oder NAS-Geräte verhalten sollen, ist der Domänenbeitritt des Speicherkontos zum kundeneigenen AD DS empfohlen. Weitere Informationen zum Domänenbeitritt Ihres Speicherkontos zu einem kundeneigenen AD DS finden Sie in der Übersicht zur lokalen Active Directory Domain Services-Authentifizierung über SMB für Azure-Dateifreigaben.
Netzwerk
Das direkte Einbinden Ihrer Azure-Dateifreigabe erfordert oft einige Überlegungen zur Netzwerkkonfiguration, und zwar aus folgenden Gründen:
- Der von SMB-Dateifreigaben zur Kommunikation verwendete Port 445 wird von vielen Organisationen und Internetdienstanbietern (Internet Service Providers, ISPs) für ausgehenden (Internet-) Datenverkehr oft blockiert.
- NFS-Dateifreigaben basieren auf der Authentifizierung auf Netzwerkebene und sind deshalb nur über eingeschränkte Netzwerke zugänglich. Die Verwendung einer NFS-Dateifreigabe erfordert immer eine Ebene von Netzwerkkonfiguration.
Zum Konfigurieren von Netzwerken bietet Azure Files einen öffentlichen Internet-Endpunkt und eine Integration in Azure-Netzwerkfeatures wie Dienstendpunkte, die den öffentlichen Endpunkt auf angegebene virtuelle Netzwerke und private Endpunkte beschränken, wodurch Ihr Speicherkonto eine private IP-Adresse aus einem IP-Adressraum des virtuellen Netzwerks erhält. Für die Nutzung von öffentlichen Endpunkten oder Dienstendpunkten fallen zwar keine zusätzlichen Gebühren an, aber für private Endpunkte gelten die Standarddatenverarbeitungsraten.
Dies bedeutet, dass Sie die folgenden Netzwerkkonfigurationen berücksichtigen müssen:
- Wenn SMB das erforderliche Protokoll ist, und nur von Clients in Azure aus über SMB zugegriffen wird, ist keine spezielle Netzwerkkonfiguration erforderlich.
- Wenn SMB das erforderliche Protokoll ist und der Zugriff von lokalen Clients aus erfolgt, ist eine VPN- oder ExpressRoute-Verbindung von lokal zu Ihrem Azure-Netzwerk erforderlich, wobei Azure Files über private Endpunkte in Ihrem internen Netzwerk verfügbar gemacht wird.
- Wenn das erforderliche Protokoll NFS ist, können Sie entweder Dienstendpunkte oder private Endpunkte verwenden, um das Netzwerk auf angegebene virtuelle Netzwerke einzuschränken. Wenn Sie eine statische IP-Adresse benötigen und/oder Ihre Workload Hochverfügbarkeit erfordert, nutzen Sie einen privaten Endpunkt. Bei Dienstendpunkten kann ein seltenes Ereignis wie z. B. ein zonaler Ausfall dazu führen, dass sich die zugrunde liegende IP-Adresse des Speicherkontos ändert. Während die Daten weiterhin auf der Dateifreigabe verfügbar sind, erfordert der Client eine erneute Bereitstellung der Freigabe.
Weitere Informationen zum Konfigurieren von Netzwerken für Azure Files finden Sie unter Azure Files – Überlegungen zum Netzwerkbetrieb.
Außer der direkten Verbindung mit der Dateifreigabe über den öffentlichen Endpunkt oder eine VPN/ExpressRoute-Verbindung mit einem privaten Endpunkt bietet SMB eine zusätzliche Clientzugriffsstrategie: SMB über QUIC. SMB über QUIC bietet zero-config „SMB VPN“ für SMB-Zugriff über das QUIC-Transportprotokoll. Azure Files unterstützt SMB über QUIC zwar nicht direkt, doch Sie können mithilfe der Azure-Dateisynchronisierung einen einfachen Cache Ihrer Azure-Dateifreigaben auf einer Windows Server 2022 Azure Edition-VM erstellen. Weitere Informationen zu dieser Option finden Sie unter SMB über QUIC mit Azure-Dateisynchronisierung.
Verschlüsselung
Azure Files unterstützt zwei verschiedene Verschlüsselungstypen:
- Verschlüsselung während der Übertragung, die sich auf die Verschlüsselung bezieht, die beim Einbinden/Zugreifen auf die Azure-Dateifreigabe verwendet wird
- Verschlüsselung ruhender Daten, was sich auf die Frage, wie die Daten verschlüsselt werden, wenn sie auf dem Datenträger gespeichert werden, bezieht
Verschlüsselung während der Übertragung
Standardmäßig ist in allen Azure-Speicherkonten die Verschlüsselung während der Übertragung aktiviert. Dies bedeutet: Wenn Sie eine Dateifreigabe über SMB bereitstellen oder über das FileREST-Protokoll darauf zugreifen (z. B. über das Azure-Portal, PowerShell/CLI oder Azure SDKs), ermöglicht Azure Files die Verbindung nur, wenn sie mit SMB 3.x mit Verschlüsselung oder HTTPS hergestellt wird. Clients, die SMB 3.x nicht unterstützen, oder Clients, die zwar SMB 3.x, aber nicht die SMB-Verschlüsselung unterstützen, können die Azure-Dateifreigabe nicht einbinden, wenn die Verschlüsselung während der Übertragung aktiviert ist. Weitere Informationen dazu, welche Betriebssysteme SMB 3.x mit Verschlüsselung unterstützen, finden Sie in der Dokumentation zu Windows, macOS und Linux. Alle aktuellen PowerShell-, CLI- und SDK-Versionen unterstützen HTTPS.
Sie können die Verschlüsselung während der Übertragung für ein Azure-Speicherkonto deaktivieren. Wenn die Verschlüsselung deaktiviert ist, ermöglicht Azure Files auch SMB 2.1 und SMB 3.x ohne Verschlüsselung und unverschlüsselte FileREST-API-Aufrufe über HTTP. Der Hauptgrund für die Deaktivierung der Verschlüsselung während der Übertragung ist die Unterstützung einer Legacy-Anwendung, die unter einem älteren Betriebssystem, z. B. Windows Server 2008 R2 oder einer älteren Linux-Distribution, ausgeführt werden muss. Azure Files lässt nur SMB 2.1-Verbindungen innerhalb der gleichen Region zu, in der sich auch die Azure-Dateifreigabe befindet. Ein SMB 2.1-Client außerhalb der Azure-Region der Azure-Dateifreigabe – z. B. ein lokales System oder eine andere Azure-Region – kann nicht auf die Dateifreigabe zugreifen.
Wir empfehlen dringend, sicherzustellen, dass die Verschlüsselung von Daten während der Übertragung aktiviert ist.
Weitere Informationen zur Verschlüsselung während der Übertragung finden Sie unter Vorschreiben einer sicheren Übertragung in Azure Storage.
Verschlüsselung ruhender Daten
Alle in Azure Files gespeicherten Daten werden im Ruhezustand mithilfe der Azure-Speicherdienstverschlüsselung (Storage Service Encryption, SSE) verschlüsselt. Die Speicherdienstverschlüsselung funktioniert ähnlich wie BitLocker unter Windows: Daten werden unterhalb der Dateisystemebene verschlüsselt. Da Daten durch die Codierung auf dem Datenträger unterhalb des Dateisystems der Azure-Dateifreigabe verschlüsselt werden, benötigen Sie keinen Zugriff auf den zugrunde liegenden Schlüssel auf dem Client, um aus der Azure-Dateifreigabe zu lesen oder in diese zu schreiben. Die Verschlüsselung ruhender Daten wird auf SMB- und NFS-Protokolle angewendet.
Standardmäßig werden in Azure Files gespeicherte Daten mit von Microsoft verwalteten Schlüsseln verschlüsselt. Bei von Microsoft verwalteten Schlüsseln ist Microsoft im Besitz der Schlüssel zum Verschlüsseln/Entschlüsseln der Daten und damit dafür verantwortlich, sie in regelmäßigen Abständen zu rotieren. Sie können auch Ihre eigenen Schlüssel selbst verwalten, sodass Sie den Rotationsvorgang steuern können. Wenn Sie Ihre Dateifreigaben mit vom Kunden verwalteten Schlüsseln verschlüsseln, ist Azure Files für den Zugriff auf Ihre Schlüssel autorisiert, um Lese- und Schreibanforderungen von Ihren Clients zu erfüllen. Mit vom Kunden verwalteten Schlüsseln können Sie diese Autorisierung jederzeit widerrufen. Dies bedeutet jedoch, dass die Azure-Dateifreigabe nicht mehr über SMB oder die FileREST-API zugänglich ist.
Azure Files verwendet dasselbe Verschlüsselungsschema wie die anderen Azure-Speicherdienste, z. B. Azure Blob Storage. Weitere Informationen zur Azure-Speicherdienstverschlüsselung finden Sie unter Azure Storage-Verschlüsselung für ruhende Daten.
Schutz von Daten
Azure Files umfasst einen mehrschichtigen Ansatz, um sicherzustellen, dass Ihre Daten gesichert, wiederhergestellt und vor Sicherheitsbedrohungen geschützt werden können. Siehe Übersicht über den Schutz von Daten in Azure Files.
Vorläufiges Löschen
Das vorläufige Löschen ist eine Einstellung auf Speicherkontoebene, die es Ihnen ermöglicht, Ihre Dateifreigabe wiederherzustellen, wenn sie versehentlich gelöscht wurde. Wenn eine Dateifreigabe gelöscht wird, geht sie in einen vorläufig gelöschten Zustand über, anstatt dauerhaft gelöscht zu werden. Sie können den Zeitraum konfigurieren, in dem vorläufig gelöschte Freigaben wiederhergestellt werden können, ehe sie dauerhaft gelöscht werden, und die Löschung der Freigabe während dieses Aufbewahrungszeitraums jederzeit rückgängig machen.
Das vorläufige Löschen ist für neue Speicherkonten standardmäßig aktiviert. Wenn Sie über einen Workflow verfügen, bei dem das Löschen von Dateifreigaben üblich und zu erwarten ist, können Sie sich möglicherweise für einen kurzen Aufbewahrungszeitraum oder die Deaktivierung der Funktion für das vorläufige Löschen entscheiden.
Weitere Informationen zum vorläufigen Löschen finden Sie unter Verhindern eines versehentlichen Löschens von Azure-Dateifreigaben.
Datensicherung
Sie können Ihre Azure-Dateifreigabe mithilfe von Freigabemomentaufnahmen sichern, die schreibgeschützte Zeitpunktwiederherstellungskopien Ihrer Freigaben sind. Momentaufnahmen sind inkrementell, d. h., sie enthalten nur so viele Daten, wie seit der vorherigen Momentaufnahme geändert wurden. Sie können bis zu 200 Momentaufnahmen pro Dateifreigabe machen und diese bis zu zehn Jahre lang aufbewahren. Sie können Momentaufnahmen entweder manuell im Azure-Portal, über PowerShell oder die Befehlszeilenschnittstelle (CLI) machen oder Azure Backup verwenden.
Im Artikel Informationen zum Sichern von Azure-Dateifreigaben finden Sie Informationen zum Planen und Aufbewahren von Momentaufnahmen. Durch die Generationenprinzipfunktionen (grandfather-father-son, GFS) können Sie täglich, wöchentlich, monatlich oder jährlich Momentaufnahmen machen, die jeweils einen eigenen Aufbewahrungszeitraum haben. Azure Backup orchestriert außerdem die Aktivierung des vorläufigen Löschens und übernimmt eine Löschsperre für ein Speicherkonto, sobald eine beliebige Dateifreigabe für die Sicherung konfiguriert ist. Schließlich stellt Azure Backup bestimmte wichtige Überwachungs- und Warnungsfunktionen bereit, durch die Kunden eine konsolidierte Ansicht ihres Sicherungsbestands haben.
Mithilfe von Azure Backup können Sie im Azure-Portal Wiederherstellungen sowohl auf Element- als auch auf Freigabeebene durchführen. Sie müssen lediglich den Wiederherstellungspunkt (eine bestimmte Momentaufnahme), die bestimmte Datei oder das bestimmte Verzeichnis und dann den Speicherort (ursprünglich oder alternativ) auswählen, in dem die Ressourcen wiederhergestellt werden sollen. Der Sicherungsdienst übernimmt das Kopieren der Momentaufnahmedaten und zeigt den Wiederherstellungsfortschritt im Portal an.
Schützen von Azure Files mit Microsoft Defender für Speicher
Microsoft Defender für Storage ist eine Azure-native Ebene der Sicherheitsintelligenz, die potentielle Bedrohungen Ihrer Speicherkonten erkennt. Es bietet umfassende Sicherheit durch die Analyse der Telemetriedaten auf Datenebene und Steuerungsebene, die von Azure Files generiert werden. Es verwendet erweiterte Bedrohungserkennungsfunktionen, die von Microsoft Threat Intelligence unterstützt werden, um kontextuelle Sicherheitsbenachrichtigungen bereitzustellen, einschließlich Schritten zur Entschärfung der erkannten Bedrohungen und zur Verhinderung zukünftiger Angriffe.
Defender für Storage analysiert kontinuierlich den Telemetriedatenstrom, der von Azure Files generiert wird. Bei Erkennung von potenziell schädlichen Aktivitäten werden Sicherheitswarnungen generiert. Diese Benachrichtigungen werden in Microsoft Defender for Cloud zusammen mit den Details der verdächtigen Aktivität sowie den entsprechenden Untersuchungsschritten, Wartungsmaßnahmen und Sicherheitsempfehlungen angezeigt.
Defender für Storage erkennt bekannte Schadsoftware wie Ransomware, Viren, Spyware und andere Schadsoftware, die auf ein Speicherkonto hochgeladen wurden, anhand des vollständigen Dateihashs (nur für die REST-API unterstützt). Dadurch wird verhindert, dass Schadsoftware in die Organisation eindringt und sich auf mehr Benutzende und Ressourcen ausbreitet. Weitere Informationen finden Sie unter Grundlegendes zu den Unterschieden zwischen Malware Scanning und Hash-Reputationsanalyse.
Defender für Storage greift nicht auf die Speicherkontodaten zu und hat keine Auswirkungen auf dessen Leistung. Sie können Microsoft Defender für Storage auf Abonnementebene (empfohlen) oder auf Ressourcenebene aktivieren.
Speicherebenen
Azure Files bietet zwei verschiedene Speichermedientarife – SSD (Solid State Drive) und HDD (Festplattenlaufwerk), sodass Sie Ihre Freigaben an die Leistungs- und Preisanforderungen Ihres jeweiligen Szenarios anpassen können:
SSD (Premium): SSD-Dateifreigaben bieten konsistent hohe Leistung und niedrige Latenz im einstelligen Millisekundenbereich für die meisten E/A-Vorgänge für besonders E/A-intensive Workloads. SSD-Dateifreigaben sind für eine Vielzahl von Workloads wie Datenbanken, Websitehosting und Entwicklungsumgebungen geeignet. SSD-Dateifreigaben können mit den Protokollen SMB(Server Message Block) und NFS (Network File System) verwendet werden. SSD-Dateifreigaben sind im Abrechnungsmodell bereitgestellt v1 verfügbar. SSD-Dateifreigaben bieten eine SLA mit höherer Verfügbarkeit als HDD-Dateifreigaben (weitere Informationen finden Sie unter „Azure Files Premium-Tarif“).
HDD (Standard): HDD-Dateifreigaben bieten eine kostengünstige Speicheroption für universelle Dateifreigaben. HDD-Dateifreigaben sind in den Abrechnungsmodellen bereitgestellt v2 und nutzungsbasierte Bezahlung verfügbar, für neue Bereitstellungen von Dateifreigaben wird jedoch „bereitgestellt v2“ empfohlen. Weitere Informationen zur SLA finden Sie auf der Seite Vereinbarung zum Servicelevel für Azure (unter „Speicherkonto“).
Berücksichtigen Sie bei der Wahl einer Medienebene für Ihre Workload Ihre Leistungs- und Nutzungsanforderungen. Wenn Ihre Workload eine einstellige Latenz erfordert oder Sie lokale SSD-Speichermedien verwenden, sind SSD-Dateifreigaben wahrscheinlich die beste Lösung. Sollte eine niedrige Latenz nicht so wichtig sein (etwa bei Teamfreigaben, die aus Azure lokal eingebunden oder unter Verwendung der Azure-Dateisynchronisierung lokal zwischengespeichert werden), bieten HDD-Dateifreigaben unter Umständen ein besseres Preis-Leistungs-Verhältnis.
Nachdem Sie eine Dateifreigabe in einem Speicherkonto erstellt haben, können Sie sie nicht direkt auf eine andere Medienebene verschieben. Um beispielsweise eine HDD-Dateifreigabe auf die SSD-Medienebene zu verschieben, müssen Sie eine neue SSD-Dateifreigabe erstellen und die Daten aus Ihrer ursprünglichen Freigabe in die neue Dateifreigabe kopieren. Weitere Informationen finden Sie unter Migrieren von Dateien zwischen Dateifreigaben.
Weitere Informationen zu den SSD- und HDD-Medienebenen finden Sie unter Grundlegendes zur Azure Files-Abrechnung und zum Verständnis der Leistung von Azure Files.
Redundanz
Um die Daten in Ihren Azure-Dateifreigaben vor Datenverlust oder -beschädigung zu schützen, speichert Azure Files mehrere Kopien der einzelnen Dateien, während sie geschrieben werden. Je nach Ihren Anforderungen können Sie verschiedene Grade der Redundanz wählen. Azure Files unterstützt derzeit die folgenden Datenredundanzoptionen:
- Lokal redundanter Speicher (LRS): Mit lokaler Redundanz wird jede Datei dreimal innerhalb eines Azure-Speicherclusters gespeichert. Dies schützt vor Datenverlusten aufgrund von Hardwarefehlern, z. B. bei einem schadhaften Laufwerk. Bei einem Katastrophenfall wie einem Brand oder einer Überschwemmung in einem Rechenzentrum ist es jedoch möglich, dass alle Replikate in einem Speicherkonto mit LRS verloren gehen oder nicht mehr wiederhergestellt werden können.
- Zonenredundanter Speicher (ZRS): Bei Zonenredundanz werden drei Kopien jeder Datei gespeichert. Diese Kopien werden jedoch physisch in drei verschiedenen Speicherclustern in verschiedenen Azure-Verfügbarkeitszonen isoliert. Verfügbarkeitszonen sind eindeutige physische Standorte in einer Azure-Region. Jede Zone besteht aus mindestens einem Rechenzentrum, dessen Stromversorgung, Kühlung und Netzwerkbetrieb unabhängig funktionieren. Ein Schreibvorgang in den Speicher wird erst akzeptiert, wenn die Daten in allen drei Verfügbarkeitszonen in die Speichercluster geschrieben wurden.
- Georedundanter Speicher (GRS): Mit Georedundanz verfügen Sie über zwei Regionen, eine primäre Region und eine sekundäre Region. Dateien werden dreimal in einem Azure-Speichercluster in der primären Region gespeichert. Schreibvorgänge werden asynchron in eine von Microsoft definierte sekundäre Region repliziert. Georedundanz bietet sechs Kopien Ihrer Daten, die zwischen zwei Azure-Regionen verteilt sind. Bei einem größeren Notfall, z. B. dem permanenten Ausfall einer Azure-Region aufgrund einer Naturkatastrophe oder eines ähnlichen Ereignisses, führt Microsoft ein Failover durch. In diesem Fall wird die sekundäre Region zur primären Region, die alle Vorgänge bedient. Weil die Replikation zwischen der primären und der sekundären Region asynchron ist, gehen im Fall einer größeren Katastrophe die Daten, die noch nicht in die sekundäre Region repliziert wurden, verloren. Sie können auch ein manuelles Failover eines georedundanten Speicherkontos ausführen.
- Geozonenredundanter Speicher (GZRS): Bei GeoZone-Redundanz werden Dateien dreimal über drei verschiedene Speichercluster in der primären Region gespeichert. Alle Schreibvorgänge werden dann asynchron in eine von Microsoft definierte sekundäre Region repliziert. Der Failoverprozess für Geozonenredundanz funktioniert genauso wie bei Georedundanz.
HDD-Dateifreigaben unterstützen alle vier Redundanztypen. SSD-Dateifreigaben unterstützen nur LRS und ZRS.
Pay-as-you-go-Speicherkonten bieten zwei weitere Redundanzoptionen, die Azure Files nicht unterstützt: lesbarer georedundanter Speicher (RA-GRS) und lesbarer geozonenredundanter Speicher (RA-GZRS). Sie können Azure-Dateifreigaben in Speicherkonten mit diesen Optionen bereitstellen, Azure Files unterstützt jedoch nicht das Lesen aus der sekundären Region. Azure-Dateifreigaben, die in RA-GRS- oder RA-GZRS-Speicherkonten bereitgestellt werden, werden als geo- bzw. geozonenredundant abgerechnet.
Weitere Informationen zu Redundanz finden Sie unter Azure Files-Datenredundanz.
Verfügbarkeit zonenredundanter SSD-Dateifreigaben
Zonenredundante SSD-Dateifreigaben sind in einigen Azure-Regionen verfügbar.
Notfallwiederherstellung und Failover
Im Falle eines ungeplanten regionalen Dienstausfalls sollten Sie über einen Notfallwiederherstellungsplan für Ihre Azure-Dateifreigaben verfügen. Informationen zu den Konzepten und Prozessen, die mit dem Failover von Notfallwiederherstellung und Speicherkonten verbunden sind, finden Sie unter Notfallwiederherstellung und Failover für Azure Files.
Migration
In vielen Fällen werden Sie keine ganz neue Dateifreigabe für Ihre Organisation einrichten, sondern stattdessen eine vorhandene Dateifreigabe von einem lokalen Dateiserver oder NAS-Gerät zu Azure Files migrieren. Für den Erfolg der Migration ist es wichtig, die richtige Migrationsstrategie und das richtige Tool für Ihr Szenario auszuwählen.
DerArtikel zur Migrationsübersicht behandelt kurz die Grundlagen und enthält eine Tabelle, die Verweise auf Migrationsleitfäden enthält, die Ihr Szenario wahrscheinlich abdecken.