Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Azure Files auf zwei Arten bereitstellen: indem Sie die serverlosen Azure Dateifreigaben direkt einbinden oder dateifreigaben lokal mithilfe von Azure-Dateisynchronisierung zwischenspeichern. Die Bereitstellungsüberlegungen unterscheiden sich je nach der von Ihnen ausgewählten Option.
Direkte Bereitstellung einer Azure Dateifreigabe: Da Azure Files entweder Server Message Block (SMB) oder NFS-Zugriff (Network File System) bereitstellt, können Sie Azure Dateifreigaben lokal oder in der Cloud bereitstellen, indem Sie die standardmäßigen SMB- oder NFS-Clients verwenden, die in Ihrem Betriebssystem verfügbar sind. Da Azure-Dateifreigaben serverlos sind, ist beim Einsatz in Produktionsumgebungen keine Verwaltung eines Dateiservers oder NAS-Geräts erforderlich. Diese Architektur bedeutet, dass Sie keine Softwarepatches anwenden oder physische Datenträger austauschen müssen. Sie können als Verwaltungsmodell entweder Azure Classic-Dateifreigaben (SMB und NFS) oder Microsoft.FileShares (nur NFS) wählen.
Cache Azure-Dateifreigaben lokal mit Azure-Dateisynchronisierung (nur SMB): Azure-Dateisynchronisierung ermöglicht, die Dateifreigaben Ihrer Organisation in Azure Files zu zentralisieren und dabei die Flexibilität, Leistung und Kompatibilität eines lokalen Dateiservers beizubehalten. Azure-Dateisynchronisierung verwandelt einen lokalen (oder cloudbasierten) Windows Server in einen schnellen Cache Ihrer SMB Azure-Dateifreigabe.
Dieser Artikel befasst sich hauptsächlich mit Bereitstellungsüberlegungen zum Bereitstellen einer Azure-Dateifreigabe, die direkt von einem lokalen oder cloudbasierten Client eingebunden werden soll. Wenn Sie Azure-Dateisynchronisierung verwenden möchten, lesen Sie Planning für eine Azure-Dateisynchronisierung Bereitstellung.
Verwaltungskonzepte
In Azure ist eine ressource ein verwaltbares Element, das Sie in Ihren Azure Abonnements und Ressourcengruppen erstellen und konfigurieren. Ressourcenanbieter sind Verwaltungsdienste, die bestimmte Arten von Ressourcen bereitstellen. Während Sie zum Bereitstellen einer Workload in Azure viele Ressourcen verwenden können, konzentriert sich Azure Files auf zwei zentrale Ressourcen:
Storage-Konten, die vom
Microsoft.Storage-Ressourcenanbieter angeboten werden. Speicherkonten sind Ressourcen auf oberster Ebene, die einen freigegebenen Speicherpool, IOPS und Durchsatz darstellen, in denen Sie klassische Dateifreigaben oder andere Speicherressourcen bereitstellen können, abhängig von der Art des Speicherkontos. Alle Speicherressourcen, die Sie in einem Speicherkonto bereitstellen, teilen die Grenzwerte, die für dieses Speicherkonto gelten. Klassische Dateifreigaben unterstützen sowohl das SMB- als auch das NFS-Dateifreigabeprotokoll.Dateifreigaben, die vom Ressourcenanbieter
Microsoft.FileSharesangeboten werden. Dateifreigaben sind eine neue Ressource auf oberster Ebene, die die Bereitstellung von Azure Files vereinfachen, indem die Notwendigkeit eines Speicherkontos eliminiert wird. Im Gegensatz zu klassischen Dateifreigaben, die Sie in einem Speicherkonto bereitstellen müssen, stellen Sie Dateifreigaben direkt in der Ressourcengruppe bereit – genau wie Speicherkonten selbst oder andere Azure-Ressourcen wie virtuelle Computer, Datenträger oder virtuelle Netzwerke. Derzeit unterstütztMicrosoft.FileSharesnur das NFS-Dateifreigabeprotokoll. Wenn Sie SMB benötigen, wählen Sie klassische Dateifreigaben aus.
Dieses Video bietet einen umfassenden Überblick über die Unterschiede zwischen speicherkonto und Dateifreigabeverwaltungsmodellen:
Klassische Dateifreigaben (Microsoft.Storage)
Klassische Dateifreigaben oder Dateifreigaben, die in Speicherkonten bereitgestellt werden, sind die herkömmliche Möglichkeit, Dateifreigaben für Azure Files bereitzustellen. Sie unterstützen alle wichtigen Features, die Azure Files unterstützen, einschließlich SMB- und NFS-, SSD- und HDD-Medienebenen, jeder Redundanztyp und Verfügbarkeit in jeder Region. Klassische Dateifreigaben unterstützen zwar die gesamte Breite der Azure Files Features, weisen jedoch wichtige Einschränkungen auf:
Kapazitätsplanung: Klassische Dateifreigaben sowie untergeordnete Objekte wie Blob-Container, die sich im selben Speicherkonto befinden, nutzen gemeinsam einen Pool von Speicher, IOPS und Durchsatz. Diese Architektur bedeutet, dass Sie sorgfältig planen müssen, um Kapazitätsengpässe zu vermeiden, wenn Sie mehrere klassische Dateifreigaben in einem Speicherkonto anlegen. Berücksichtigen Sie sowohl die aktuellen als auch zukünftigen Anforderungen jeder klassischen Dateifreigabe, die in einem Speicherkonto platziert wird, da das Wachstum einer klassischen Dateifreigabe andere Dateifreigaben verdrängen kann.
Freigegebene Einstellungen: Sie wenden viele wichtige Einstellungen wie Netzwerk- und Sicherheitsregeln auf Speicherkontoebene an. Daher müssen Sie sorgfältig überlegen, wie Sie klassische Dateifreigaben im selben Speicherkonto platzieren. Ziehen Sie das Speicherkonto als Vertrauensgrenze in Betracht, und platzieren Sie klassische Dateifreigaben nur im selben Speicherkonto, wenn Sie damit einverstanden sind, dass sie dieselben Sicherheitseinstellungen haben.
Skalierungskomplexität: Azure Files-Bereitstellungen im großen Maßstab können aufgrund der Beschränkungen für Speicherkonten des
Microsoft.Storage-Ressourcenanbieters die Verwaltung vieler Azure-Abonnements erfordern. Weitere Informationen finden Sie unter Speicherkontogrenzwerte.
Klassische Dateifreigabebereitstellungen verwenden zwei Arten von Speicherkonten:
Bereitgestellte Speicherkonten: Die Art des
FileStorageSpeicherkontos identifiziert bereitgestellte Speicherkonten. Sie können bereitgestellte klassische Dateifreigaben entweder auf SSD- oder HDD-basierter Hardware mithilfe von bereitgestellten Speicherkonten bereitstellen. Sie können nur bereitgestellte Speicherkonten verwenden, um klassische Dateifreigaben zu speichern. Sie können sie nicht für andere Speicherressourcen wie Blobcontainer, Warteschlangen und Tabellen verwenden. Verwenden Sie für alle neuen klassischen Dateifreigabebereitstellungen kontingentierte Speicherkonten.Pay-as-you-go-Speicherkonten: Die Art des
StorageV2Speicherkontos identifiziert Pay-as-you-go-Speicherkonten. Sie können nutzungsbasierte Dateifreigaben auf HDD-basierter Hardware bereitstellen, indem Sie nutzungsbasierte Speicherkonten verwenden. Sie können Pay-as-you-go-Speicherkonten verwenden, um klassische Dateifreigaben und andere Speicherressourcen wie Blob-Container, Warteschlangen oder Tabellen zu speichern.
Weitere Informationen finden Sie unter Erstellen einer klassischen Dateifreigabe.
Dateifreigaben (Microsoft.FileShares)
Der Microsoft.FileShares Ressourcenanbieter bietet Dateifreigaben als neue Azure Ressource auf oberster Ebene an. Diese Dateifreigaben bieten die folgenden Vorteile gegenüber klassischen Dateifreigaben:
Vereinfachte Verwaltung: Erstellen Sie Dateifreigaben direkt als Ressourcen auf oberster Ebene im Azure Portal oder über Verwaltungs-APIs. Bei diesem Ansatz wird die Anforderung zum Verwalten eines Speicherkontos entfernt und die Bereitstellungsumgebung optimiert.
Unabhängige Kapazität und Leistung: Jede Dateifreigabe verfügt über einen eigenen dedizierten Speicher, IOPS und Durchsatz. Dieses Design vermeidet die Notwendigkeit, die Kapazität anhand der begrenzten Ressourcen Ihres Speicherkontos zu planen, und ermöglicht es, dass Dateifreigaben mit steigenden Arbeitslastanforderungen frei wachsen können.
Granulare Konfiguration: Wenden Sie Netzwerk- und Sicherheitseinstellungen auf Dateifreigabeebene an, sodass Sie präzise Kontrolle über Zugriffsgrenzen und Isolation haben. Diese Konfiguration erleichtert das Erzwingen von Sicherheitsrichtlinien für bestimmte Apps, Teams oder Umgebungen.
Vorhersagbare, flexible Abrechnung: Dateifreigaben verwenden das bereitgestellte v2-Abrechnungsmodell, mit dem Sie Speicher, IOPS und Durchsatz pro Freigabe unabhängig voneinander bereitstellen können. Da Azure pro Azure-Ressource der obersten Ebene abrechnet, können Sie die Kosten jeder einzelnen Freigabe problemlos nachverfolgen, um sie dem Projekt, Team oder Kunden zuzuordnen, das bzw. der die Dateifreigabe verwendet.
Verbesserte Skalierung und Leistung: Dateifreigaben unterstützen höhere Grenzwerte und niedrigere Bereitstellungszeiten als klassische Dateifreigaben. Weitere Informationen finden Sie unter Azure Files Skalierbarkeit und Leistungsziele.
Regionale Verfügbarkeit
Derzeit können Sie in den folgenden Regionen eine Dateifreigabe mit Microsoft.FileShares erstellen. Unterstützung für private Endpunkte für die Dateifreigabe mit Microsoft.FileShares ist in allen öffentlichen Azure-Cloudregionen verfügbar.
- Australia Central
- Australia East
- Australia Southeast
- Brasilien Süd
- Brazilien, Südosten
- Canada Central
- Canada East
- Zentralindien
- Ostasien
- East US
- France Central
- France South
- Germany North
- Deutschland West Central
- Israel Central
- Italy North
- Japan East
- Japan Westen
- JIO Indien Zentral
- JIO Indien West
- Korea Central
- Korea South
- Nord-Mittel-USA
- Nordeuropa
- Norway East
- Westnorwegen
- Polen Zentral
- Südafrika Nord
- Südafrika, Westen
- Süd-Mittel-USA
- South India
- Südostasien
- Sweden Central
- UAE Central
- UAE North
- UK South
- UK West
- West Europe
- West US
Vergleich von Ressourcenanbietern: Microsoft. Speicher im Vergleich zu Microsoft. FileShares
Wir empfehlen Ihnen, die neue Dateifreigabefunktion mit Microsoft.FileShares für alle Ihre neuen Azure Files-Bereitstellungen mit dem NFS-Protokoll zu testen.
Wenn eine bestimmte Featureanforderung noch nicht in der neuen Dateifreigabeumgebung verfügbar ist oder die Workload SMB-Protokollunterstützung erfordert, verwenden Sie die klassische Dateifreigabeerfahrung. Mit der Abkündigung der klassischen Benutzererfahrung wird erst begonnen, wenn die verbleibenden Funktionslücken geschlossen sind. Derzeit gibt es keine Unterstützung für die Automatisierungsmigration von klassischen Dateifreigaben zu Dateifreigaben.
| Funktion | Klassische Dateifreigaben  |
Dateifreigaben (Microsoft.FileShares)  |
|---|---|---|
| Unterstützungsgarantie | Allgemein verfügbar | Allgemein verfügbar |
| Ressource der obersten Ebene für den Dienst | Speicherkonto  |
|
| SMB-Protokoll |
|
|
| NFS-Protokoll |
|
|
| Unterstützung für Azure-Dateisynchronisierung |
|
|
| Erfordern eines Speicherkontos |
|
|
| Nutzungsbasiertes Bezahlungsmodell |
|
|
| Bereitgestelltes v1-Abrechnungsmodell |
|
|
| Bereitgestelltes v2-Abrechnungsmodell |
|
|
| HDD-Unterstützungsfähigkeit |
|
|
| SSD-Unterstützung |
|
|
| LRS |
|
|
| ZRS |
|
|
| GRS |
|
|
| GZRS |
|
|
| Abrechnungs-, Netzwerk- und Sicherheitskonfigurationen pro Freigabeebene |
|
|
| Einzelne vnet-Konfigurationen für eine Dateifreigabe |
|
|
| Einzelne vnet-Konfiguration für mehrere Dateifreigaben |
|
|
| AKS CSI-Treiber |
|
|
| REST-APIs der Datenebene |
|
|
| Unterstützung für vorläufiges Löschen |
|
|
| Unterstützung für Snapshots |
|
|
| Verschlüsselung während der Übertragung |
|
|
| Vom Kunden verwaltete Schlüssel |
|
|
| Zonenfixierung |
|
|
Verfügbare Protokolle
Azure Files bietet zwei branchenübliche Dateisystemprotokolle zum Einbinden von Azure-Dateifreigaben: das Server Message Block (SMB)-Protokoll und das Network File System (NFS)-Protokoll. Wählen Sie das Protokoll aus, das am besten zu Ihrer Workload passt. Azure Dateifreigaben unterstützen nicht sowohl die SMB- als auch NFS-Protokolle für dieselbe Dateifreigabe, obwohl Sie SMB- und NFS-Azure Dateifreigaben innerhalb desselben Speicherkontos erstellen können.
Mit SMB- und NFS-Dateifreigaben bietet Azure Files Dateifreigaben auf Unternehmensniveau, die auf Ihre Speicheranforderungen skaliert werden können, und Tausende von Clients können gleichzeitig darauf zugreifen.
| Funktion | KMU | NFS |
|---|---|---|
| Unterstützte Protokollversionen | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4.1 |
| Empfohlenes Betriebssystem |
|
Linux-Kernelversion 4.3 und höher |
| Verfügbare Medienschichten | SSD und HDD | Nur SSD |
| Redundanz |
|
|
| Dateisystemsemantik | Win32 | POSIX |
| Authentifizierung | Identitätsbasierte Authentifizierung (Kerberos), Authentifizierung mit gemeinsam verwendeten Schlüsseln (NTLMv2) | Hostbasierte Authentifizierung |
| Autorisierung | Win32-Zugriffssteuerungslisten (Access Control Lists, ACLs) | Berechtigungen im UNIX-Format |
| Groß- und Kleinschreibung | Keine Beachtung von Groß-/Kleinschreibung, Schreibweise wird beibehalten | Groß-/Kleinschreibung beachten |
| Löschen oder Ändern geöffneter Dateien | Nur mit Sperre | Ja |
| Dateifreigabe | Windows Freigabemodus | Netzwerksperrungs-Manager im Bytebereich (Empfehlung) |
| Unterstützung fester Links | Nicht unterstützt | Unterstützt |
| Unterstützung von symbolischen Verknüpfungen | Nicht unterstützt | Unterstützt |
| Optional über das Internet zugänglich | Ja (nur SMB 3.0 und höher) | Nein |
| Unterstützt FileREST | Ja | Ja (nur Microsoft.Storage) |
| Obligatorische Byte-Bereichssperren | Unterstützt | Nicht unterstützt |
| Empfohlene Byte-Bereichssperren | Nicht unterstützt | Unterstützt |
| Erweiterte/benannte Attribute | Nicht unterstützt | Nicht unterstützt |
| Alternative Datenströme | Nicht unterstützt | – |
| Objektkennungen | Nicht unterstützt | – |
| Analysepunkte | Nicht unterstützt | – |
| Sparsedateien | Nicht unterstützt | – |
| Komprimierung | Nicht unterstützt | – |
| Named Pipes | Nicht unterstützt | – |
| SMB Direct | Nicht unterstützt | – |
| SMB-Verzeichnisleasing | Nicht unterstützt | – |
| Volumeschattenkopie-Dienst | Nicht unterstützt | – |
| Kurze Dateinamen (8.3-Alias) | Nicht unterstützt | – |
| Dateisystemtransaktionen (TxF) | Nicht unterstützt | – |
Identität
Um auf eine Azure-Dateifreigabe zuzugreifen, müssen Sie authentifiziert und zum Zugriff auf die Freigabe autorisiert sein. Verwenden Sie in fast allen Fällen die identitätsbasierte Authentifizierung anstelle des Speicherkontoschlüssels, um auf SMB-Azure Dateifreigaben zuzugreifen.
Azure Files unterstützt die folgenden Authentifizierungsmethoden für SMB-Freigaben:
- Lokal installierte Active Directory Domain Services (AD DS): Sie können Azure-Speicherkonten in eine kundeneigene Active Directory Domain Services-Domäne einbinden, genau wie einen Windows Server-Dateiserver oder ein NAS-Gerät. Sie können einen Domänencontroller lokal, in einer Azure VM oder sogar als VM in einem anderen Cloudanbieter bereitstellen. Azure Files ist unabhängig von der Stelle, an der Ihr Domänencontroller gehostet wird. Sobald Sie ein Speicherkonto in eine Domäne eingebunden haben, kann der Endbenutzer eine Dateifreigabe mit dem Benutzerkonto einbinden, mit dem er sich an seinem PC angemeldet hat. Bei der AD-basierten Authentifizierung wird das Kerberos-Authentifizierungsprotokoll verwendet.
- Microsoft Entra Domain Services: Microsoft Entra Domain Services stellt einen Microsoft verwalteten Domänencontroller bereit, den Sie für Azure Ressourcen verwenden können. Der Domänenbeitritt Ihres Speicherkontos zu Microsoft Entra Domain Services bietet ähnliche Vorteile wie der Domänenbeitritt zu einem kundeneigenen AD DS. Diese Bereitstellungsoption ist besonders nützlich für Lift-and-Shift-Anwendungsszenarien, die AD-basierte Berechtigungen erfordern. Da Domänendienste AD-basierte Authentifizierung bereitstellen, verwendet diese Option auch das Kerberos-Authentifizierungsprotokoll.
- Microsoft Entra Kerberos: mit Microsoft Entra Kerberos können Sie Microsoft Entra ID verwenden, um hybrid oder rein cloudbasierte Identitäten zu authentifizieren. Diese Konfiguration verwendet Microsoft Entra ID, um Kerberos-Tickets für den Zugriff auf die Dateifreigabe mit dem SMB-Protokoll auszugeben. Dies bedeutet, dass Ihre Endbenutzer über das Internet auf Azure-Dateifreigaben zugreifen können, die sowohl mit Microsoft Entra hybrid verbundenen als auch mit Microsoft Entra verbundenen VMs bereitgestellt werden.
- Active Directory Authentifizierung über SMB für Linux-Clients: Azure Files unterstützt die identitätsbasierte Authentifizierung über SMB für Linux-Clients mithilfe des Kerberos-Authentifizierungsprotokolls über AD DS oder Microsoft Entra Domain Services.
- Azure Speicherkontoschlüssel: Obwohl es aus Sicherheitsgründen nicht empfohlen wird, können Sie auch Azure Dateifreigaben bereitstellen, indem Sie einen Azure Speicherkontoschlüssel anstelle einer Identität verwenden. Wenn Sie eine Dateifreigabe mithilfe des Speicherkontoschlüssels einbinden möchten, verwenden Sie den Namen des Speicherkontos als Benutzernamen und den Speicherkontoschlüssel als Kennwort. Die Verwendung des Speicherkontoschlüssels zum Einbinden der Azure-Dateifreigabe ist praktisch ein Administratorvorgang, da die eingebundene Dateifreigabe vollständige Berechtigungen für sämtliche Dateien und Ordner auf der Freigabe hat – selbst wenn es Zugriffssteuerungslisten gibt. Wenn Sie den Speicherkontoschlüssel zum Bereitstellen über SMB verwenden, wird das NTLMv2-Authentifizierungsprotokoll verwendet. Wenn Sie den Speicherkontoschlüssel verwenden müssen, verwenden Sie private Endpunkte oder Dienstendpunkte, wie im Abschnitt "Netzwerk" beschrieben.
Für Kunden, die von lokalen Dateiservern migrieren oder neue Dateifreigaben in Azure Files erstellen, die sich wie Windows Server-Dateiserver oder NAS-Appliances verhalten sollen, binden Sie Ihr Speicherkonto in das kundeneigene AD DS ein. Weitere Informationen finden Sie unter Overview – lokale AD DS-Authentifizierung über SMB für Azure Dateifreigaben.
Netzwerk
Das direkte Einbinden Ihrer Azure-Dateifreigabe erfordert oft einige Überlegungen zur Netzwerkkonfiguration, und zwar aus folgenden Gründen:
- Viele Organisationen und Internetdienstanbieter (ISPs) blockieren Port 445, der von SMB-Dateifreigaben zur Kommunikation verwendet wird, für ausgehenden (Internet-)Datenverkehr.
- NFS-Dateifreigaben basieren auf der Authentifizierung auf Netzwerkebene und sind deshalb nur über eingeschränkte Netzwerke zugänglich. Die Verwendung einer NFS-Dateifreigabe erfordert immer eine Ebene von Netzwerkkonfiguration.
Um Netzwerke zu konfigurieren, bietet Azure Files einen öffentlich zugänglichen öffentlichen Endpunkt und eine Integration mit Azure Netzwerkfeatures wie Dienstendpunkten, die dazu beitragen, den öffentlichen Endpunkt auf angegebene virtuelle Netzwerke und private Endpunkte einzuschränken, die Ihrem Speicherkonto eine private IP-Adresse aus einem ip-Adressraum des virtuellen Netzwerks ergibt. Für die Nutzung von öffentlichen Endpunkten oder Dienstendpunkten fallen zwar keine zusätzlichen Gebühren an, aber für private Endpunkte gelten die Standarddatenverarbeitungsraten.
Berücksichtigen Sie die folgenden Netzwerkkonfigurationen:
- Wenn das erforderliche Protokoll SMB ist und der gesamte Zugriff über SMB von Clients in Azure stammt, ist keine spezielle Netzwerkkonfiguration erforderlich.
- Wenn das erforderliche Protokoll SMB ist und der Zugriff von lokalen Clients stammt, ist eine VPN- oder Azure ExpressRoute Verbindung von der lokalen zu Ihrem Azure Netzwerk erforderlich, wobei Azure Files über private Endpunkte im internen Netzwerk verfügbar gemacht werden.
- Wenn das erforderliche Protokoll NFS ist, können Sie entweder Dienstendpunkte oder private Endpunkte verwenden, um das Netzwerk auf angegebene virtuelle Netzwerke einzuschränken. Wenn Sie eine statische IP-Adresse benötigen und/oder Ihre Workload Hochverfügbarkeit erfordert, nutzen Sie einen privaten Endpunkt. Bei Dienstendpunkten kann ein seltenes Ereignis wie z. B. ein Zonenausfall dazu führen, dass sich die zugrunde liegende IP-Adresse des Speicherkontos ändert. Während die Daten weiterhin auf der Dateifreigabe verfügbar sind, erfordert der Client eine erneute Bereitstellung der Freigabe.
Weitere Informationen finden Sie unter Azure Files Netzwerküberlegungen.
Außer der direkten Verbindung mit der Dateifreigabe über den öffentlichen Endpunkt oder eine VPN/ExpressRoute-Verbindung mit einem privaten Endpunkt bietet SMB eine zusätzliche Clientzugriffsstrategie: SMB über QUIC. SMB über QUIC bietet zero-config „SMB VPN“ für SMB-Zugriff über das QUIC-Transportprotokoll. Obwohl Azure Files SMB über QUIC nicht direkt unterstützt, können Sie mithilfe von Azure-Dateisynchronisierung einen einfachen Cache Ihrer Azure Dateifreigaben auf einer Windows Server 2022 Azure Edition-VM erstellen. Weitere Informationen zu dieser Option finden Sie unter SMB over QUIC mit Azure-Dateisynchronisierung.
Verschlüsselung für Azure Files
Azure Files unterstützt zwei verschiedene Verschlüsselungstypen:
- Verschlüsselung während der Übertragung, die sich auf die Verschlüsselung bezieht, die beim Einbinden oder Zugreifen auf die Azure-Dateifreigabe verwendet wird
- Verschlüsselung ruhender Daten, was sich auf die Frage, wie die Daten verschlüsselt werden, wenn sie auf dem Datenträger gespeichert werden, bezieht
Verschlüsselung während der Übertragung
Standardmäßig ist die Verschlüsselung während der Übertragung bei allen Azure Storage-Konten aktiviert. Dieses Feature bedeutet, dass Azure Files die Verbindung nur dann zulässt, wenn Sie eine Dateifreigabe über SMB einbinden oder über das FileREST-Protokoll darauf zugreifen (beispielsweise über das Azure-Portal, PowerShell/CLI oder Azure SDKs) und die Verbindung mit SMB 3.x mit Verschlüsselung oder über HTTPS hergestellt wird. Clients, die SMB 3.x nicht unterstützen, oder Clients, die SMB 3.x unterstützen, aber keine SMB-Verschlüsselung unterstützen, können die Azure-Dateifreigabe nicht einbinden, wenn die Verschlüsselung bei der Übertragung aktiviert ist. Weitere Informationen dazu, welche Betriebssysteme SMB 3.x mit Verschlüsselung unterstützen, finden Sie in der Dokumentation zu Windows, macOS und Linux. Alle aktuellen PowerShell-, CLI- und SDK-Versionen unterstützen HTTPS.
Sie können die Verschlüsselung während der Übertragung für ein Azure Speicherkonto deaktivieren. Wenn Sie die Verschlüsselung deaktivieren, ermöglicht Azure Files auch SMB 2.1 und SMB 3.x ohne Verschlüsselung und unverschlüsselte FileREST-API-Aufrufe über HTTP. Der Hauptgrund für die Deaktivierung der Verschlüsselung bei der Übertragung ist die Unterstützung einer älteren Anwendung, die auf einem älteren Betriebssystem ausgeführt werden muss, z. B. Windows Server 2008 R2 oder einer älteren Linux-Verteilung. Azure Files lässt nur SMB 2.1-Verbindungen innerhalb derselben Azure-Region wie die Azure-Dateifreigabe zu. Ein SMB 2.1-Client außerhalb der Azure-Region, in der sich die Azure-Dateifreigabe befindet, z. B. in der lokalen Umgebung oder in einer anderen Azure-Region, kann nicht auf die Dateifreigabe zugreifen.
Stellen Sie sicher, dass die Verschlüsselung von Daten während der Übertragung aktiviert ist.
Weitere Informationen zur Verschlüsselung während der Übertragung finden Sie unter Anforderung einer sicheren Übertragung in Azure Storage und Verschlüsselung während der Übertragung für Azure NFS-Dateifreigaben.
Verschlüsselung ruhender Daten
Azure Files verwendet dasselbe Verschlüsselungsschema wie die anderen Azure Speicherdienste, z. B. Azure Blob Storage. Alle in Azure Files gespeicherten Daten werden über serviceseitige Verschlüsselung (SSE) verschlüsselt, was ähnlich wie BitLocker auf Windows funktioniert.
Da Daten unter dem Dateisystem der Azure-Dateifreigabe verschlüsselt sind, da sie auf den Datenträger codiert ist, benötigen Sie keinen Zugriff auf den zugrunde liegenden Schlüssel auf dem Client, um die Azure-Dateifreigabe zu lesen oder in die Azure-Dateifreigabe zu schreiben. Die Verschlüsselung ruhender Daten wird auf SMB- und NFS-Protokolle angewendet.
Standardmäßig werden in Azure Files gespeicherte Daten mit Microsoft verwalteten Schlüsseln verschlüsselt. Mit Microsoft verwalteten Schlüsseln enthält Microsoft die Schlüssel zum Verschlüsseln und Entschlüsseln der Daten. Microsoft ist dafür verantwortlich, diese Tasten regelmäßig zu drehen.
Für Azure Classic File Shares können Sie wählen, ob Sie Ihre Daten mit Kundenverwalteten Schlüsseln verschlüsseln möchten. Wenn Sie vom Kunden verwaltete Schlüssel auswählen, ist Azure Files berechtigt, auf Ihre Schlüssel zuzugreifen, um Lese- und Schreibanforderungen von Ihren Clients zu erfüllen. Mit vom Kunden verwalteten Schlüsseln können Sie diese Autorisierung jederzeit widerrufen. Ohne diese Autorisierung ist Ihre Azure-Dateifreigabe jedoch nicht mehr über SMB oder die FileREST-API zugänglich.
Sie können kundenseitig verwaltete Schlüssel für die Verschlüsselung im Ruhezustand nicht mit Azure-Dateifreigaben verwenden, die mit dem Microsoft.FileShares-Ressourcenanbieter erstellt wurden. Sie müssen von Microsoft verwaltete Schlüssel verwenden.
Schutz von Daten
Azure Files verwendet einen mehrschichtigen Ansatz, um sicherzustellen, dass Ihre Daten gesichert, wiederhergestellt und vor Sicherheitsbedrohungen geschützt sind. Siehe Azure Files Datenschutzübersicht.
Vorläufiges Löschen
Vorläufiges Löschen ist eine Einstellung auf der Ebene des Speicherkontos, mit der Sie Ihre Dateifreigabe wiederherstellen können, falls sie versehentlich gelöscht wurde. Wenn Sie eine Dateifreigabe löschen, geht sie in einen vorläufig gelöschten Zustand über, anstatt dauerhaft gelöscht zu werden. Sie können den Zeitraum konfigurieren, in dem vorläufig gelöschte Freigaben wiederhergestellt werden können, ehe sie dauerhaft gelöscht werden, und die Löschung der Freigabe während dieses Aufbewahrungszeitraums jederzeit rückgängig machen.
Das vorläufige Löschen ist für neue Speicherkonten standardmäßig aktiviert. Wenn Sie einen Arbeitsablauf haben, bei dem das Löschen von Freigaben üblich ist und erwartet wird, können Sie sich dafür entscheiden, einen kurzen Aufbewahrungszeitraum festzulegen oder das vorläufige Löschen nicht zu aktivieren.
Weitere Informationen zum vorläufigen Löschen finden Sie unter Verhindern eines versehentlichen Löschens von Azure-Dateifreigaben.
Datensicherung
Sichern Sie Ihre Azure-Dateifreigaben mithilfe von Freigabemomentaufnahmen, die schreibgeschützte, zeitpunktbezogene Kopien Ihrer Freigabe sind. Momentaufnahmen sind inkrementell, sodass sie nur Daten enthalten, die seit der vorherigen Momentaufnahme geändert wurden. Jede Dateifreigabe unterstützt bis zu 200 Momentaufnahmen, und Sie können sie bis zu 10 Jahre lang aufbewahren. Sie können Momentaufnahmen manuell im Azure Portal erstellen oder PowerShell oder die Befehlszeilenschnittstelle (CLI) verwenden. Sie können auch Azure Backup verwenden.
Im Artikel Azure Backup for SMB – Azure-Dateifreigaben finden Sie Informationen zum Planen und Aufbewahren von Momentaufnahmen. Durch die Generationenprinzipfunktionen (grandfather-father-son, GFS) können Sie täglich, wöchentlich, monatlich oder jährlich Momentaufnahmen machen, die jeweils einen eigenen Aufbewahrungszeitraum haben. Azure Backup orchestriert außerdem die Aktivierung des vorläufigen Löschens und übernimmt eine Löschsperre für ein Speicherkonto, sobald eine beliebige Dateifreigabe für die Sicherung konfiguriert ist. Azure Backup bietet bestimmte wichtige Überwachungs- und Warnungsfunktionen, mit denen Kunden eine konsolidierte Ansicht ihrer Sicherungsressourcen haben können.
Mit Azure Backup können Sie sowohl Wiederherstellungen auf Elementebene als auch auf der Ebene der Freigaben im Azure-Portal ausführen. Wählen Sie den Wiederherstellungspunkt (eine bestimmte Momentaufnahme), die jeweilige Datei oder das Verzeichnis aus, falls relevant, und wählen Sie dann den Speicherort (original oder alternativ) aus, auf den Sie wiederherstellen möchten. Der Sicherungsdienst übernimmt das Kopieren der Momentaufnahmedaten und zeigt den Wiederherstellungsfortschritt im Portal an.
Schützen von Azure Files mit Microsoft Defender für Speicher
Microsoft Defender für den Speicher ist eine Azure native Ebene von Sicherheitsintelligenz, die potenzielle Bedrohungen für Ihre Speicherkonten erkennt. Sie bietet umfassende Sicherheit durch Analysieren der Datenebenen- und Steuerungsebenen-Telemetrie, die von Azure Files generiert wird. Es verwendet erweiterte Bedrohungserkennungsfunktionen, die von Microsoft Threat Intelligence unterstützt werden, um Kontextsicherheitswarnungen bereitzustellen, einschließlich der Schritte zur Entschärfung der erkannten Bedrohungen und zum Verhindern zukünftiger Angriffe.
Defender für den Speicher analysiert kontinuierlich den von Azure Files generierten Telemetriedatenstrom. Bei Erkennung von potenziell schädlichen Aktivitäten werden Sicherheitswarnungen generiert. Diese Warnungen werden in Microsoft Defender for Cloud zusammen mit den Details zu verdächtigen Aktivitäten, Untersuchungsschritten, Abhilfemaßnahmen und Sicherheitsempfehlungen angezeigt.
Defender für Speicher erkennt bekannte Schadsoftware, z. B. Ransomware, Viren, Spyware und andere Schadsoftware, die auf ein Speicherkonto basierend auf vollständigem Dateihash hochgeladen wurde (nur für REST-API unterstützt). Dadurch wird verhindert, dass Schadsoftware in die Organisation eindringt und sich auf mehr Benutzende und Ressourcen ausbreitet. Weitere Informationen finden Sie unter Grundlegendes zu den Unterschieden zwischen Malware Scanning und Hash-Reputationsanalyse.
Defender für den Speicher greift nicht auf die Speicherkontodaten zu und wirkt sich nicht auf die Leistung aus. Sie können Microsoft Defender für Speicher aktivieren auf Abonnementebene (empfohlen) oder auf Ressourcenebene.
Speicherebenen
Azure Files bietet zwei Medienebenen: Solid-State Disk (SSD) und Festplattenlaufwerk (HDD). Mit diesen Stufen können Sie Ihre Aktien auf die Leistungs- und Preisanforderungen Ihres Szenarios anpassen:
SSD (Premium):SSD-Dateifreigaben bieten für die meisten E/A-Vorgänge für E/A-intensive Workloads eine konsistente hohe Leistung und geringe Latenz innerhalb von einstelligen Millisekunden. SSD-Dateifreigaben eignen sich für eine Vielzahl von Workloads wie Datenbanken, Websitehosting und Entwicklungsumgebungen.
Sie können SSD-Dateifreigaben sowohl mit den SMB- als auch mit NFS-Protokollen verwenden. SSD-Dateifreigaben sind in den bereitgestellten v2 - und bereitgestellten v1-Abrechnungsmodellen verfügbar. SSD-Dateifreigaben bieten eine höhere Verfügbarkeit von SLA als HDD-Dateifreigaben.
HDD (Standard): HDD-Dateifreigaben stellen eine kostengünstige Speicheroption für universelle Dateifreigaben bereit. HDD-Dateifreigaben sind mit den bereitgestellten v2 - und pay-as-you-go-Abrechnungsmodellen verfügbar, obwohl wir das bereitgestellte v2-Modell für neue Bereitstellungen von Dateifreigaben empfehlen. Informationen zur SLA finden Sie auf der Azure-SLA-Seite für Online-Dienste.
Wenn Sie eine Medienebene für Ihre Workload auswählen, sollten Sie ihre Leistungs- und Nutzungsanforderungen berücksichtigen. Wenn Ihre Workload eine einstellige Latenz erfordert oder Sie lokale SSD-Speichermedien verwenden, sind SSD-Dateifreigaben wahrscheinlich die beste Lösung. Wenn die geringe Latenz nicht so groß ist wie ein Problem, sind HDD-Dateifreigaben aus Kostenperspektive möglicherweise besser geeignet. So kann es z. B. weniger Problem mit Teamfreigaben sein, die lokal aus Azure bereitgestellt oder lokal über Azure-Dateisynchronisierung zwischengespeichert werden.
Nachdem Sie eine Dateifreigabe in einem Speicherkonto erstellt haben, können Sie sie nicht direkt auf eine andere Medienebene verschieben. Um beispielsweise eine HDD-Dateifreigabe auf die SSD-Medienebene zu verschieben, müssen Sie eine neue SSD-Dateifreigabe erstellen und die Daten aus Ihrer ursprünglichen Freigabe in die neue Dateifreigabe kopieren.
Weitere Informationen zu den SSD- und HDD-Medienebenen finden Sie in Verstehen der Azure Files Abrechnungsmodelle und Verstehen und Optimieren der Leistung von Azure-Dateifreigaben.
Redundanz
Um Daten in Ihren Azure-Dateifreigaben vor Datenverlust oder -beschädigung zu schützen, speichert Azure Files mehrere Kopien jeder Datei, während sie geschrieben werden. Je nach Ihren Anforderungen können Sie Redundanzgrade auswählen. Azure Files unterstützt derzeit die folgenden Optionen für Datenredundanz:
Locally redundant storage (LRS): Mit lokaler Redundanz wird jede Datei dreimal in einem Azure Speichercluster gespeichert. Dieser Ansatz trägt zum Schutz vor Datenverlust aufgrund von Hardwarefehlern bei, z. B. einem fehlerhaften Datenträgerlaufwerk. Wenn jedoch eine Katastrophe wie Feuer oder Überschwemmungen im Rechenzentrum auftritt, gehen möglicherweise alle Replikate eines Speicherkontos, das LRS verwendet, verloren oder kann nicht wiederhergestellt werden.
Zonenredundanter Speicher (ZRS): Bei Zonenredundanz werden drei Kopien jeder Datei gespeichert. Diese Kopien werden jedoch in drei unterschiedlichen Speicherclustern in Azure verfügbarkeitszonen physisch isoliert. Verfügbarkeitszonen sind eindeutige physische Standorte in einer Azure Region. Jede Zone besteht aus mindestens einem Datencenter mit eigener Stromversorgung, Kühlung und Netzwerk. Ein Schreibvorgang in den Speicher wird erst akzeptiert, wenn die Daten in allen drei Verfügbarkeitszonen in die Speichercluster geschrieben wurden.
Georedundanter Speicher (GRS): Mit Georedundanz verfügen Sie über eine primäre Region und eine sekundäre Region. Dateien werden dreimal in einem Azure Speichercluster in der primären Region gespeichert. Schreibvorgänge werden asynchron in einen Microsoft definierten sekundären Bereich repliziert.
Georedundanz stellt sechs Kopien Ihrer Daten zwischen den beiden Azure Regionen bereit. Wenn eine große Katastrophe auftritt, z. B. der dauerhafte Verlust einer Azure Region aufgrund einer Naturkatastrophe oder eines anderen ähnlichen Ereignisses, führt Microsoft ein Failover aus. In diesem Fall wird die Sekundäre zur primären und dient allen Vorgängen.
Da die Replikation zwischen den primären und sekundären Regionen asynchron ist, gehen daten, die noch nicht in die sekundäre Region repliziert wurden, verloren. Sie können auch ein manuelles Failover eines georedundanten Speicherkontos ausführen.
Geozonenredundanter Speicher (GZRS): Bei Geozonenredundanz werden Dateien dreimal in drei unterschiedlichen Speicherclustern in der primären Region gespeichert. Alle Schreibvorgänge werden dann asynchron in einen Microsoft definierten sekundären Bereich repliziert. Der Failoverprozess für Geozonenredundanz funktioniert genauso wie bei Georedundanz.
HDD-Dateifreigaben unterstützen alle vier Redundanztypen. SSD-Dateifreigaben unterstützen nur LRS und ZRS.
Pay-as-you-go-Speicherkonten bieten zwei weitere Redundanzoptionen, die Azure Files nicht unterstützt: read-access geo-redundant storage (RA-GRS) und read-access geo-zone-redundant storage (RA-GZRS). Sie können Azure Dateifreigaben in Speicherkonten bereitstellen, wobei diese Optionen festgelegt sind, aber Azure Files das Lesen aus der sekundären Region nicht unterstützt. Azure-Dateifreigaben, die in RA-GRS- oder RA-GZRS Speicherkonten bereitgestellt werden, werden als redundante georedundante oder geozonen-redundante Konten in Rechnung gestellt.
Weitere Informationen zur Redundanz finden Sie unter Azure Files Datenredundanz.
Verfügbarkeit zonenredundanter SSD-Dateifreigaben
Zonenredundante SSD-Dateifreigaben sind in einigen Azure-Regionen verfügbar.
Notfallwiederherstellung und Failover
Im Falle eines nicht geplanten regionalen Dienstausfalls sollten Sie über einen Notfallwiederherstellungsplan (DR) für Ihre Azure Dateifreigaben verfügen. Informationen zu den Konzepten und Prozessen, die mit dem DR- und Speicherkontofailover verbunden sind, finden Sie unter Disasterwiederherstellung und Failover für Azure Files.
Migration
In vielen Fällen richten Sie keine gänzlich neue Dateifreigabe für Ihre Organisation ein, sondern migrieren stattdessen eine vorhandene Dateifreigabe von einem lokalen Dateiserver oder NAS-Gerät zu Azure Files. Die Auswahl der richtigen Migrationsstrategie und des richtigen Tools ist für den Erfolg Ihrer Migration wichtig.
Informationen zu SMB-Migrationen finden Sie in der Übersicht über die SMB-Migration , die eine Tabelle enthält, die Sie zu Migrationshandbüchern führt, die wahrscheinlich Ihr Szenario abdecken.
Informationen zu NFS-Migrationen finden Sie unter Migrate to NFS Azure file shares.