Behandeln von VM-Speicherproblemen
Azure bietet zwei primäre Tarife für Azure Storage (Standard und Premium), die beide das Speichern von Azure-VM-Datenträgerdateien unterstützen. In beiden Fällen haben Azure-VM-Datenträger die Form von VHD-Dateien, die als Seitenblobs gespeichert werden, da Seitenblobs für zufälligen Lese- und Schreibzugriff optimiert sind.
Welche Speicherebenen sind verfügbar?
Berücksichtigen Sie bei der Auswahl des Speichers die Unterschiede zwischen Storage Premium und Storage Standard:
Storage Premium bietet eine überragende Leistung, die dem entspricht, was die SSD-Technologie bereitstellt.
Storage Standard bietet eine ähnliche Leistung wie herkömmliche Magnetplattendatenträger, die in der Regel als Festplattenlaufwerke (HDD) bezeichnet werden.
Alle Azure-VM-Größen unterstützen Storage Standard. Viele Azure-VM-Größen unterstützen auch Storage Premium.
Was sind verwaltete und nicht verwaltete Datenträger?
Alle Azure-VM-Datenträger befinden sich in Azure Storage-Konten. Bei einem Azure Storage Konto handelt es sich um einen logischen Namespace, der je nach Typ verschiedene Objekttypen, einschließlich Blobs, Tabellen, Warteschlangen und Dateien hosten kann. Bei der Bereitstellung einer Azure-VM müssen Sie den Typ der Datenträger auswählen, die den Betriebssystemdatenträger und optional Datenträger hostet. Sie können nicht verwaltete oder verwaltete Datenträgertypen verwenden.
Nicht verwaltete Datenträger
Die Verwendung von nicht verwalteten Datenträgern erfordert potenziell einen erheblichen Verwaltungsmehraufwand. Sie müssen entscheiden, wie viele Speicherkonten erstellt werden sollen, diese Konten dann erstellen und anschließend entscheiden, wie VHD-Datenträger auf diese Konten verteilt werden. Sie müssen außerdem manuell Resilienzvorkehrungen implementieren, indem Sie sicherstellen, dass bei der Bereitstellung von mindestens zwei Azure-VMs in derselben Verfügbarkeitsgruppe ihre jeweiligen Speicherkonten nicht im selben Speicherstempel liegen.
Verwaltete Datenträger
Sie können diesen Verwaltungsmehraufwand vermeiden, indem Sie verwaltete Datenträger verwenden. Mit diesem Ansatz steuert die Azure-Plattform die Platzierung von Azure-VM-Datenträgerdateien und verbirgt die mit der Verwaltung von Azure-Storage-Konten verbundene Komplexität. Verwaltete Datenträger bieten folgende Vorteile:
Weitaus höhere Anzahl von Datenträgern pro Abonnement
Integrierte Resilienz für Datenträger, die an Azure-VMs in derselben Verfügbarkeitsgruppe angefügt sind
Unterstützung für in Verfügbarkeitszonen bereitgestellte Azure-VMs
Granulare RBAC-Berechtigungen (rollenbasierte Zugriffssteuerung) auf Datenträgerebene
Unterstützung für serverseitige Verschlüsselung und Azure Disk Encryption
Unterstützung für die Konvertierung zwischen Standard- und Premium-Speichertarifen
Möglichkeit zum Erstellen einer Azure-VM aus einem benutzerdefinierten Image, das in einem beliebigen Speicherkonto in derselben Region und demselben Abonnement gespeichert ist
Wichtig
Stellen Sie sicher, dass Sie den entsprechenden Datenträgertyp auswählen, wenn Sie Ihre VMs bereitstellen. Sie können nicht verwaltete Azure-VM-Datenträger zwar in verwaltete Datenträger konvertieren, dies erfordert jedoch das Beenden und Aufheben der Zuordnung aller VMs in der Verfügbarkeitsgruppe. Außerdem wird die Umstellung von verwalteten Datenträgern auf nicht verwaltete Datenträger nicht unterstützt.
Was sind die häufigsten Speicherprobleme?
Neben den Leistungsproblemen, die wir weiter oben in diesem Modul erläutert haben, können gelegentlich Speicherprobleme bei Ihren Azure-VMs auftreten. Es gibt eine Reihe von häufigen Problemen, die auftreten können. Dazu gehören:
Ein verschlüsseltes Betriebssystemvolume kann unter Windows nicht erweitert werden
Fehler beim Löschen von Speicherressourcen
Ihre VHD wird nicht unterstützt, wenn Sie eine VM in Azure erstellen
Azure Disk Encryption-Probleme
Behandeln von Problemen bei der Erweiterung eines verschlüsselten Betriebssystemvolumes
Wenn Sie die Datenträgerverwaltung in Windows Server verwenden und versuchen, Ihr Betriebssystemvolume zu erweitern, stellen Sie möglicherweise fest, dass die Option Volume erweitern im Kontextmenü für den Datenträger nicht verfügbar ist.
Dies liegt daran, dass die Partitionsnummerierung von Windows Server-Setup falsch konfiguriert wird. In der Regel wird dem Betriebssystemvolume (als Startpartition bezeichnet) Partition 2 zugewiesen. Partition 1 sollte der EFI-Systempartition zugewiesen werden.
Wenn Sie jedoch VMs basierend auf einem benutzerdefinierten Image erstellt haben, das Partition 1 der Startpartition zuweist, kann ein Problem auftreten, wenn Sie später versuchen, Azure Disk Encryption zu aktivieren, da keine EFI-Systempartition vorhanden ist. Wenn Sie die Datenträgerverschlüsselung aktivieren, müssen Sie die EFI-Systempartition erstellen, und sie erhält die falsche Partitionsnummer.
Führen Sie zur Behebung des Problems die folgenden allgemeinen Schritte aus:
Zuweisen einer größeren Datenträger-SKU zum Betriebssystemdatenträger im Azure-Portal
Erweitern des vom System reservierten Volumes im nicht zugewiesenen Speicherplatz
Erstellen eines neuen Startvolumes im verbleibenden nicht zugewiesenen Speicherplatz
Löschen des vom System reservierten Volume und Erweitern des Windows-Volumes
Beheben von Fehlern beim Löschen von Speicherressourcen
Wenn Sie versuchen, folgende Ressourcen zu löschen, tritt bei einer Azure Resource Manager-Bereitstellung möglicherweise ein Fehler auf:
Ein Azure-Speicherkonto
einem Container
Ein Blob
Bei dem Fehler können die folgenden Meldungen ausgegeben werden:
Fehler beim Löschen von Speicherkonto 'StorageAccountName'. Fehler: Das Speicherkonto kann nicht gelöscht werden, da zugehörige Artefakte gerade verwendet werden.
Fehler beim Löschen von # von # Container(n): vhds: Es ist derzeit ein Lease für den Container vorhanden, und in der Anforderung wurde keine Lease-ID angegeben.
Fehler beim Löschen von # von # Blob(s): BlobName.vhd: Es ist derzeit ein Lease für das Blob vorhanden, und in der Anforderung wurde keine Lease-ID angegeben.
Azure verhindert das Löschen folgender Objekte:
An eine VM angefügte Datenträger, um Beschädigungen zu verhindern
Container und Speicherkonten, die über ein Seitenblob verfügen, das an eine VM angefügt ist
Wenn Sie einen der aufgeführten Fehler erhalten, befolgen Sie diese allgemeine Anleitung, um das Problem zu beheben:
Identifizieren von an eine VM angefügten Blobs
Löschen von VMs mit angefügtem Betriebssystemdatenträger
Trennen aller Datenträger von verbleibenden VMs
Versuchen Sie erneut, das Speicherkonto, den Container oder das Blob zu löschen.
Behandeln von Problemen mit der VHD-Unterstützung
Wenn Sie versuchen, eine Azure-VM durch Hochladen einer VHD zu erstellen, kann der Vorgang fehlschlagen, und Sie erhalten möglicherweise die folgende Meldung:
New-AzureRmVM: Fehler beim Vorgang mit langer Ausführungszeit mit dem Status „Fehler“.
ErrorCode: InvalidVhd
Fehlermeldung: The specified cookie value in VHD footer indicates that disk 'diskname' with blob https://xxxxxx.blob.core.windows.net/vhds/samplename.vhd is not a supported VHD. (Der angegebene Cookiewert in der VHD-Fußzeile deutet darauf hin, dass der Datenträger „Name des Datenträgers“ mit Blob „https://xxxxxx.blob.core.windows.net/vhds/samplename.vhd“ keine unterstützte VHD ist.) Disk is expected to have cookie value 'conectix'. (Es wird erwartet, dass der Datenträger den Cookiewert 'conectix' hat.)
Dieser Fehler kann zwei Ursachen haben:
Ihre VHD ist beschädigt oder wird nicht unterstützt. In diesem Fall sollten Sie die VHD neu erstellen.
Die VHD, die Sie hochladen, genügt nicht der 1-MB-Grenze. Die Datenträgergröße sollte 1 MB * N betragen. Der Datenträger sollte beispielsweise 102.401 MB groß sein.
Um das Problem mit der 1-MB-Grenze zu beheben, verwenden Sie das Windows PowerShell-Cmdlet Resize-VHD:
Installieren der Hyper-V-Rolle auf Windows Server
Konvertieren des virtuellen Datenträgers in eine VHD mit fester Größe
Beheben von Azure Disk Encryption-Problemen
Azure Disk Encryption ist eine in die Azure-Plattform integrierte Funktionalität, mit der Sie Dateisystemvolumes verschlüsseln können, die sich auf Datenträgern von Azure-VMs unter Windows und Linux befinden. Azure Disk Encryption verwendet vorhandene dateisystembasierte Verschlüsselungstechnologien. Unter Windows verwendet Azure Disk Encryption die BitLocker-Laufwerkverschlüsselung. Azure Disk Encryption kann automatisch Folgendes verschlüsseln:
Den Betriebssystem-Datenträger
Datenträger
Den temporären Datenträger
Außerdem werden verwaltete und nicht verwaltete Datenträger unterstützt. Wenn beim Aktivieren von Azure Disk Encryption auf ihren Windows Server-VMs Probleme auftreten, stellen Sie sicher, dass Ihre VMs die Anforderungen erfüllen. Diese sind in der folgenden Tabelle umrissen.
| Anforderung | Details |
|---|---|
| Größe des virtuellen Computers | Azure Disk Encryption ist für VMs der Typen „Basic, A-Serie“ und „Lsv2-Serie“ nicht verfügbar. |
| VM-Generation | Azure Disk Encryption ist nicht für VMs der 2. Generation verfügbar. |
| Arbeitsspeicher | Azure Disk Encryption ist auf VMs mit weniger als 2 Gigabyte (GB) Arbeitsspeicher nicht verfügbar. |
| Netzwerk | Um ein Token für die Verbindung mit Ihrem Schlüsseltresor zu erhalten, muss die Windows-VM eine Verbindung mit einem Microsoft Entra-Endpunkt, login.microsoftonline.com, herstellen können. Um die Verschlüsselungsschlüssel in Ihren Schlüsseltresor schreiben zu können, muss der virtuelle Windows-Computer eine Verbindung mit dem Schlüsseltresorendpunkt herstellen können. |
| Gruppenrichtlinie | Azure Disk Encryption verwendet für virtuelle Windows-Computer die externe Schlüsselschutzvorrichtung BitLocker. Übertragen Sie bei in Domänen eingebundenen VMs keine Einstellungen für Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) per Push, die TPM-Schutzvorrichtungen (Trusted Platform Module) erzwingen. Die BitLocker-Richtlinie auf in die Domäne eingebundenen VMs mit benutzerdefiniertem GPO muss die folgende Einstellung umfassen: Configure user storage of BitLocker recovery information -> Allow 256-bit recovery key. (Benutzerspeicher von BitLocker-Wiederherstellungsinformationen konfigurieren -> 256-Bit-Wiederherstellungsschlüssel zulassen). Bei Azure Disk Encryption tritt ein Fehler auf, wenn benutzerdefinierte GPO-Einstellungen nicht mit BitLocker kompatibel sind. Azure Disk Encryption schlägt auch fehl, wenn GPOs auf Domänenebene den AES-CBC-Algorithmus blockieren, der von BitLocker verwendet wird. |
| Speicherung des Verschlüsselungsschlüssels | Azure Disk Encryption erfordert einen Schlüsseltresor, um Verschlüsselungsschlüssel und Geheimnisse für Datenträger zu steuern und zu verwalten. Ihr Schlüsseltresor und die VMs müssen sich in derselben Azure-Region und im selben Azure-Abonnement befinden. |
Behandeln von Problemen mit Azure Disk Encryption hinter einer Firewall
Eine VM-Erweiterung auf Windows Server-VMs verwaltet die Datenträgerverschlüsselung. Die Fähigkeit der Erweiterung, erforderliche Aufgaben auszuführen, kann beeinträchtigt werden, wenn die Konnektivität mit Ihrer Ziel-VM durch Folgendes eingeschränkt wird:
Eine Firewall
Proxyanforderungen
Einstellungen einer Netzwerksicherheitsgruppe (NSG)
Möglicherweise wird die folgende Meldung angezeigt: .Extension status not available on the VM (Der Erweiterungsstatus ist auf der VM nicht verfügbar). Verwenden Sie in diesem Fall die Hinweise in der folgenden Tabelle, um das Problem zu beheben.
| Einschränkung | Lösung |
|---|---|
| NSG | Alle angewendeten NSG-Einstellungen müssen es dem Endpunkt weiterhin ermöglichen, die dokumentierten Voraussetzungen für die Netzwerkkonfiguration für die Datenträgerverschlüsselung zu erfüllen. |
| Azure Key Vault hinter einer Firewall | Wenn die Verschlüsselung mit Microsoft Entra-Anmeldeinformationen aktiviert wird, muss der virtuelle Zielcomputer die Konnektivität sowohl mit Microsoft Entra-Endpunkten als auch mit Key Vault-Endpunkten zulassen. |
| Azure-Instanzmetadatendienst | Ihre VM muss auf den Azure Instance Metadata Service-Endpunkt (169.254.169.254) und die virtuelle öffentliche IP-Adresse (168.63.129.16) zugreifen können, die für die Kommunikation mit Ressourcen der Azure-Plattform verwendet wird. Proxykonfigurationen, die den lokalen HTTP-Datenverkehr an diese Adressen ändern (z. B. durch Hinzufügen eines X-Forwarded-For-Headers), werden nicht unterstützt. |
Überprüfen des Verschlüsselungsstatus
Im Azure-Portal wird der Datenträgerverschlüsselungsstatus möglicherweise nicht korrekt angezeigt. Beispielsweise kann ein Datenträger als verschlüsselt angezeigt werden, auch nachdem er innerhalb der VM entschlüsselt wurde.
Dieser Statusfehler kann auftreten, wenn Sie Befehle auf niedriger Ebene verwenden, um den Datenträger innerhalb des virtuellen Computers direkt zu entschlüsseln. Wenn Sie jedoch die übergeordneten Verwaltungsbefehle von Azure Disk Encryption verwenden, führen sie die folgenden Befehle aus:
Entschlüsseln des Datenträgers innerhalb der VM
Aktualisieren wichtiger Verschlüsselungseinstellungen auf Plattformebene und der Erweiterungseinstellungen, die der VM zugeordnet sind
Hinweis
Wenn die Ausrichtung nicht eingehalten wird, kann die Plattform den Verschlüsselungsstatus nicht melden oder die VM nicht ordnungsgemäß bereitstellen.