Konfigurieren der Konnektivität mit Azure Files

  • 8 Minuten

Benutzer bei Contoso stellen die Verbindung mit Azure Files wahrscheinlich über das SMB-Protokoll her. NFS wird allerdings auch unterstützt. SMB verwendet TCP-Port 445 zum Herstellen von Verbindungen. Viele Unternehmen und Internetdienstanbieter blockieren diesen Port. Dies ist ein häufiger Grund dafür, dass Benutzer nicht auf Azure Files zugreifen können. Auch wenn das Aufheben der Blockierung von Port 445 nicht möglich ist, können Sie dennoch auf Azure Files zugreifen. Dazu erstellen Sie zunächst ein P2S-VPN (Point-to-Site) oder ein S2S-VPN (Site-to-Site), oder Sie verwenden eine Azure ExpressRoute-Verbindung mit Azure. Alternativ dazu kann das Unternehmen auch die Azure-Dateisynchronisierung verwenden, um eine Azure-Dateifreigabe mit einem lokalen Dateiserver zu synchronisieren, auf den Benutzer jederzeit zugreifen können.

Firewalls und virtuelle Netzwerke in Azure Storage

Azure Storage – zu dem Azure Files gehört – bietet ein Sicherheitsmodell mit mehreren Schichten. Mit diesem Modell können Sie die Zugriffsebene für Ihre Speicherkonten basierend auf dem Typ und der Teilmenge der Netzwerke sichern und kontrollieren, aus denen die Anforderungen stammen. Standardmäßig ermöglicht eine Speicherkontofirewall Zugriff aus allen Netzwerken. Sie können diese Konfiguration jedoch ändern, um Zugriff nur von bestimmten IP-Adressen, IP-Adressbereichen oder von einer Liste mit Subnetzen in einem virtuellen Azure-Netzwerk zuzulassen. Die Firewallkonfiguration ermöglicht Ihnen auch die Auswahl von vertrauenswürdigen Azure-Plattformdiensten, die auf sichere Weise auf ein Speicherkonto zugreifen dürfen.

Neben dem standardmäßigen öffentlichen Endpunkt bieten Speicherkonten (einschließlich Azure Files) die Option, einen oder mehrere private Endpunkte einzurichten. Ein privater Endpunkt ist ein Endpunkt, auf den nur innerhalb eines virtuellen Azure-Netzwerks zugegriffen werden kann. Wenn Sie einen privaten Endpunkt für ein Speicherkonto erstellen, erhält dieses Konto eine private IP-Adresse aus dem Adressraum des virtuellen Netzwerks. Dies ist vergleichbar mit einem lokalen Dateiserver oder NAS-Gerät, der bzw. das eine IP-Adresse aus dem dedizierten Adressraum eines lokalen Netzwerks erhält. Auf diese Weise wird sämtlicher Datenverkehr zwischen dem virtuellen Netzwerk und dem Speicherkonto über eine private Verbindung gesichert.

Tipp

Sie können die Speicherkontofirewall auch zum Blockieren des gesamten Zugriffs über einen öffentlichen Endpunkt einsetzen, wenn private Endpunkte verwendet werden.

Herstellen einer Verbindung mit einer Azure-Dateifreigabe

Um eine Azure-Dateifreigabe mit einem Windows-Betriebssystem zu verwenden, müssen Sie die Freigabe entweder einbinden –ihr also einen Laufwerkbuchstaben oder Bereitstellungspunktpfad zuweisen – oder über den UNC-Pfad (Universal Naming Convention) darauf zugreifen. Der UNC-Pfad enthält den Namen des Azure-Speicherkontos, das Domänensuffix file.core.windows.net und den Namen der Freigabe. Ein Beispiel: Wenn das Azure-Speicherkonto storage1 heißt und die Freigabe als share1 benannt ist, lautet der UNC-Pfad \\storage1.file.core.windows.net\share1.

Wenn die Authentifizierung per Benutzeridentität für das Speicherkonto aktiviert ist und Sie von einem in die Domäne eingebundenen Windows-Gerät eine Verbindung mit einer Azure-Dateifreigabe herstellen, müssen Sie keine Anmeldeinformationen angeben. Andernfalls müssen Sie manuell Anmeldeinformationen angeben. Sie können (AZURE\*<storage account name>*) als Benutzernamen und den Speicherzugriffsschlüssel als Kennwort verwenden. Dieselben Anmeldeinformationen werden verwendet, wenn Sie mithilfe des im Azure-Portal bereitgestellten Skripts eine Verbindung mit einer Azure-Dateifreigabe herstellen.

Achtung

Beachten Sie, dass ein Speicherzugriffsschlüssel uneingeschränkten Zugriff auf eine Azure-Dateifreigabe bietet. Stattdessen sollte die Authentifizierung per Benutzeridentität verwendet werden, wann immer dies möglich ist.

A screenshot of the script that the Azure portal provides for connecting to an Azure file share, and Connect is selected.

Momentaufnahmen von Azure-Dateifreigaben

In Windows Server können Sie eine Schattenkopie eines Volumes erstellen, die den Volumestatus zum Zeitpunkt der Erstellung erfasst. Später können Sie über ein Netzwerk auf die Schattenkopie zugreifen, indem Sie das Datei-Explorer-Feature Vorgängerversionen verwenden. Ein ähnliche Funktion ist für Momentaufnahmen von Azure-Dateifreigaben verfügbar. Eine Dateifreigabe-Momentaufnahme ist ein schreibgeschützte Zeitpunktkopie der Daten in der Azure-Dateifreigabe.

Die Erstellung der Momentaufnahme erfolgt auf Ebene der Dateifreigabe. Anschließend können Sie einzelne Dateien über das Azure-Portal oder den Datei-Explorer herstellen. In Letzterem können Sie auch eine gesamte Freigabe wiederherstellen. Sie können bis zu 200 Momentaufnahmen pro Dateifreigabe erstellen und so Dateien in verschiedenen Versionen zu verschiedenen Zeitpunkten wiederherstellen. Wenn Sie eine Freigabe löschen, werden auch alle zugehörigen Momentaufnahmen gelöscht.

Freigabemomentaufnahmen sind inkrementell. Es werden also nur die Daten gespeichert, die sich seit der letzten Freigabemomentaufnahme geändert haben. Dies minimiert den Zeitaufwand für die Erstellung der Freigabemomentaufnahme und spart Speicher und Speicherkosten.

A screenshot of File share snapshots, with three snapshots. The Previous Versions tab of the Azure file share has the same three snapshots listed.

Verwenden Sie Momentaufnahmen in folgenden Situationen:

  • Als Schutz vor versehentlichem Löschen oder unbeabsichtigten Änderungen. Eine Freigabemomentaufnahme enthält Zeitpunktkopien der Dateien in der Freigabe. Wenn Freigabedateien versehentlich geändert werden, können Sie mithilfe von Freigabemomentaufnahmen vorherige Versionen der Dateien überprüfen und wiederherstellen.
  • Für allgemeine Sicherungszwecke. Nach dem Erstellen einer Dateifreigabe können Sie regelmäßig eine Freigabemomentaufnahme erstellen. So können Sie vorherige Versionen von Daten aufbewahren, die für zukünftige Überprüfungsanforderungen oder eine Notfallwiederherstellung verwendet werden können.