Hybride Dateidienste

Microsoft Entra ID
Azure ExpressRoute
Azure Files
Azure-Speicherkonten

Diese Referenzarchitektur veranschaulicht, wie Sie die Azure-Dateisynchronisierung und Azure Files verwenden, um die Hostingfunktionen von Dateidiensten auf cloudbasierte und lokale Dateifreigaberessourcen zu erweitern.

Aufbau

An Azure hybrid file services topology diagram.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

Die Architektur umfasst die folgenden Komponenten:

  • Azure-Speicherkonto. Ein Speicherkonto, das zum Hosten von Dateifreigaben verwendet wird
  • Azure Files : Eine serverlose Clouddateifreigabe, die den Cloudendpunkt einer Synchronisierungsbeziehung mit der Azure-Dateisynchronisierung bereitstellt. Auf Dateien in einer Azure-Dateifreigabe kann mit dem SMB-Protokoll (Server Message Block) oder dem FileREST-Protokoll direkt zugegriffen werden.
  • Synchronisierungsgruppen: Logische Gruppierungen von Azure-Dateifreigaben und -Servern, auf denen Windows Server ausgeführt wird. Synchronisierungsgruppen werden im Speichersynchronisierungsdienst bereitgestellt. Dieser registriert Server für die Verwendung mit der Azure-Dateisynchronisierung und enthält die Synchronisierungsgruppenbeziehungen.
  • Azure-Dateisynchronisierungs-Agent: Dieser wird auf Windows Server-Computern installiert, um die Synchronisierung mit Cloudendpunkten zu aktivieren und zu konfigurieren.
  • Windows-Server: Lokale oder cloudbasierte Windows Server-Computer, auf denen eine Dateifreigabe gehostet wird, die mit einer Azure-Dateifreigabe synchronisiert wird.
  • Microsoft Entra ID. Der Microsoft Entra-Mandant, der für die Identitätssynchronisierung in Azure-basierten und lokalen Umgebungen verwendet wird.

Komponenten

Szenariodetails

Typische Einsatzmöglichkeiten für diese Architektur sind:

  • Hosten von Dateifreigaben, die den Zugriff über cloudbasierte und lokale Umgebungen unterstützen
  • Synchronisieren von Daten zwischen mehreren lokalen Datenspeichern mit einer einzelnen cloudbasierten Quelle

Empfehlungen

Die folgenden Empfehlungen gelten für die meisten Szenarios. Sofern Sie keine Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.

Nutzung und Bereitstellung von Azure Files

Sie speichern Ihre Dateien in der Cloud in serverlosen Azure-Dateifreigaben. Sie können sie auf zwei Arten verwenden: durch direktes Einbinden (SMB) oder durch lokales Zwischenspeichern mithilfe der Azure-Dateisynchronisierung. Was Sie bei der Planung Ihrer Bereitstellung berücksichtigen müssen, hängt davon ab, welche der beiden Methoden Sie auswählen.

  • Direktes Einbinden einer Azure-Dateifreigabe: Da Azure Files SMB-Zugriff bietet, können Sie Azure-Dateifreigaben lokal oder in der Cloud mithilfe des standardmäßigen SMB-Clients einbinden, der unter den Betriebssystemen Windows, macOS und Linux verfügbar ist. Da Azure-Dateifreigaben serverlos sind, muss für die Bereitstellung in Produktionsszenarien kein Dateiserver oder NAS-Gerät (Network-Attached Storage) verwaltet werden. Dies bedeutet, dass Sie keine Softwarepatches anwenden oder physische Datenträger austauschen müssen.
  • Lokales Zwischenspeichern von Azure-Dateifreigaben mit Azure-Dateisynchronisierung: Die Azure-Dateisynchronisierung ermöglicht Ihnen das Zentralisieren der Dateifreigaben Ihrer Organisation in Azure Files, ohne auf die Flexibilität, Leistung und Kompatibilität eines lokalen Dateiservers verzichten zu müssen. Die Azure-Dateisynchronisierung transformiert Ihre lokalen Windows Server-Computer in einen schnellen Cache für Ihre Azure-Dateifreigabe.

Bereitstellen des Speichersynchronisierungsdiensts

Starten Sie die Bereitstellung der Azure-Dateisynchronisierung, indem Sie eine Ressource für den Speichersynchronisierungsdienst in einer Ressourcengruppe Ihres ausgewählten Abonnements bereitstellen. Es wird empfohlen, so wenig Speichersynchronisierungsdienst-Objekte wie möglich bereitzustellen. Sie schaffen eine Vertrauensstellung zwischen Ihren Servern und dieser Ressource, und ein Server kann nur bei einem Speichersynchronisierungsdienst registriert werden. Wir empfehlen daher, so viele Speichersynchronisierungsdienste bereitzustellen, wie Sie benötigen, um Gruppen von Servern zu trennen. Bedenken Sie, dass Server aus verschiedenen Speichersynchronisierungsdiensten nicht miteinander synchronisiert werden können.

Registrieren von Windows Server-Computern beim Azure-Dateisynchronisierungs-Agent

Um die Synchronisierungsfunktion unter Windows Server zu aktivieren, müssen Sie den herunterladbaren Azure-Dateisynchronisierungs-Agent installieren. Der Azure-Dateisynchronisierungs-Agent besteht aus zwei Hauptkomponenten:

  • FileSyncSvc.exe. Dem Windows-Hintergrunddienst, der für das Überwachen von Änderungen an Serverendpunkten und das Einleiten von Synchronisierungssitzungen zuständig ist.
  • StorageSync.sys. Einem Dateisystemfilter, der das Cloudtiering und eine schnellere Notfallwiederherstellung ermöglicht.

Sie können den Agent von der Downloadseite für den Azure-Dateisynchronisierungs-Agent im Microsoft Download Center herunterladen.

Betriebssystemanforderungen

Die Azure-Dateisynchronisierung wird von den in der folgenden Tabelle aufgeführten Windows Server-Versionen unterstützt:

Version Unterstützte SKUs Unterstützte Bereitstellungsoptionen
Windows Server 2019 Datacenter, Standard und IoT Vollständig und Core
Windows Server 2016 Datacenter, Standard und Storage Server Vollständig und Core
Windows Server 2012 R2 Datacenter, Standard und Storage Server Vollständig und Core

Weitere Informationen finden Sie unter Überlegungen zu Windows-Dateiservern.

Konfigurieren von Synchronisierungsgruppen und Cloudendpunkten

Eine Synchronisierungsgruppe definiert die Synchronisierungstopologie für eine Gruppe von Dateien. Endpunkte innerhalb einer Synchronisierungsgruppe bleiben miteinander synchron. Eine Synchronisierungsgruppe muss einen Cloudendpunkt enthalten, der eine Azure-Dateifreigabe und mindestens einen Serverendpunkt darstellt. Ein Serverendpunkt stellt einen Pfad auf einem registrierten Server dar. Ein Server kann in mehreren Synchronisierungsgruppen über Serverendpunkte verfügen. Sie können so viele Synchronisierungsgruppen erstellen, wie Sie für die angemessene Beschreibung Ihrer gewünschten Synchronisierungstopologie benötigen.

Ein Cloudendpunkt ist ein Zeiger auf eine Azure-Dateifreigabe. Alle Serverendpunkte werden mit einem Cloudendpunkt synchronisiert, sodass der Cloudendpunkt zum Hub wird. Das Speicherkonto für die Azure-Dateifreigabe muss sich in der gleichen Region wie der Speichersynchronisierungsdienst befinden. Mit einer Ausnahme wird die gesamte Azure-Dateifreigabe synchronisiert: Ein besonderer Ordner, vergleichbar mit dem ausgeblendeten Ordner System Volume Information auf einem NTFS-Volume (NT File System, NT-Dateisystem), wird bereitgestellt. Dieses Verzeichnis heißt .SystemShareInformation und enthält wichtige Synchronisierungsmetadaten, die nicht mit anderen Endpunkten synchronisiert werden.

Konfigurieren von Serverendpunkten

Ein Serverendpunkt stellt einen bestimmten Speicherort auf einem registrierten Server dar, z. B. einen Ordner auf einem Servervolume. Ein Serverendpunkt muss ein Pfad auf einem registrierten Server sein (statt einer eingebundenen Freigabe) und Cloudtiering verwenden. Der Pfad des Serverendpunkts darf sich nicht auf einem Systemvolume befinden. NAS wird nicht unterstützt.

Beziehung zwischen Azure-Dateifreigaben und Windows-Dateifreigaben

Sie sollten Azure-Dateifreigaben möglichst immer im Verhältnis 1:1 zu Windows-Dateifreigaben bereitstellen. Das Serverendpunktobjekt bietet Ihnen ein hohes Maß an Flexibilität bei der Einrichtung der Synchronisierungstopologie auf der Serverseite der Synchronisierungsbeziehung. Um die Verwaltung zu vereinfachen, sollte der Pfad des Serverendpunkts mit dem Pfad der Windows-Dateifreigabe übereinstimmen.

Verwenden von so wenig Speichersynchronisierungsdiensten wie möglich. Dadurch wird die Verwaltung vereinfacht, wenn Synchronisierungsgruppen mehrere Serverendpunkte enthalten, da ein Windows-Server jeweils nur bei einem Speichersynchronisierungsdienst registriert sein kann.

Beachten Sie beim Bereitstellen von Azure-Dateifreigaben die IOPS-Einschränkungen (I/O Operations per Second, E/A-Vorgänge pro Sekunde) eines Speicherkontos. Ideal ist eine Zuordnung von Dateifreigaben zu Speicherkonten im Verhältnis 1:1. Dies ist jedoch aufgrund verschiedener Beschränkungen und Einschränkungen in Ihrer Organisation oder in Azure nicht immer möglich. Wenn es nicht möglich ist, nur eine Dateifreigabe in einem Speicherkonto bereitzustellen, stellen Sie sicher, dass sich die aktivsten Dateifreigaben nicht im selben Speicherkonto befinden.

Topologieempfehlungen: Firewalls, Umkreisnetzwerke und Proxykonnektivität

Beachten Sie die folgenden Empfehlungen für die Lösungstopologie.

Firewall und Filtern von Datenverkehr

Basierend auf den Richtlinien Ihrer Organisation oder auf gesetzlichen Anforderungen müssen Sie möglicherweise die Kommunikation mit Azure einschränken. Aus diesem Grund bietet die Azure-Dateisynchronisierung mehrere Mechanismen für die Netzwerkkonfiguration. Basierend auf Ihren Anforderungen können Sie Folgendes ausführen:

  • Tunneln der Synchronisierung und des Datenverkehrs für Uploads und Downloads über Azure ExpressRoute oder ein Azure-VPN (virtuelles privates Netzwerk)
  • Nutzen von Azure Files- und Azure-Netzwerkfeatures, z. B. von Dienstendpunkten und privaten Endpunkten.
  • Konfigurieren der Azure-Dateisynchronisierung zur Unterstützung Ihres Proxys in Ihrer Umgebung.
  • Drosseln der Netzwerkaktivität aus der Azure-Dateisynchronisierung.

Weitere Informationen zu Azure-Dateisynchronisierung und -Netzwerken finden Sie unter Netzwerküberlegungen zur Azure-Dateisynchronisierung.

Konfigurieren von Proxyservern

Viele Organisationen verwenden einen Proxyserver als Vermittler zwischen Ressourcen innerhalb Ihres lokalen Netzwerks und Ressourcen außerhalb Ihres Netzwerks, z. B. in Azure. Proxyserver sind für viele Anwendungsbereiche wie Netzwerkisolation und Sicherheit sowie Überwachung und Protokollierung nützlich. Die Azure-Dateisynchronisierung kann vollständig mit einem Proxyserver zusammenarbeiten. Sie müssen jedoch die Proxyendpunkt-Einstellungen für Ihre Umgebung mit der Azure-Dateisynchronisierung manuell konfigurieren. Dazu verwenden Sie die Server-Cmdlets der Azure-Dateisynchronisierung in Azure PowerShell.

Weitere Informationen zum Konfigurieren der Azure-Dateisynchronisierung mit einem Proxyserver finden Sie unter Proxy- und Firewalleinstellungen der Azure-Dateisynchronisierung.

Überlegungen

Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Zuverlässigkeit

Zuverlässigkeit stellt sicher, dass die Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie in der Überblick über die Säule „Zuverlässigkeit“.

  • Sie sollten den Typ und die Leistung des Speicherkontos berücksichtigen, das zum Hosten von Azure-Dateifreigaben verwendet wird. Für alle Speicherressourcen, die in einem Speicherkonto bereitgestellt werden, treffen die für dieses Speicherkonto geltenden Grenzwerte zu. Weitere Informationen dazu, wie Sie die aktuellen Grenzwerte für ein Speicherkonto ermitteln, finden Sie unter Skalierbarkeits- und Leistungsziele für Azure Files.
  • Es gibt zwei Haupttypen von Speicherkonten für Azure Files-Bereitstellungen:
    • Speicherkonten vom Typ „Universell Version 2 (GPv2)“. GPv2-Speicherkonten ermöglichen Ihnen die Bereitstellung von Azure-Dateifreigaben auf Standard- bzw. festplattenbasierter Hardware (HDD-basiert). Neben Azure-Dateifreigaben können in GPv2-Speicherkonten auch andere Speicherressourcen wie Blobcontainer, Warteschlangen und Tabellen gespeichert werden.
    • FileStorage-Speicherkonten: FileStorage-Speicherkonten ermöglichen Ihnen die Bereitstellung von Azure-Dateifreigaben auf SSD-basierter (Solid State Drive) Premium-Hardware. FileStorage-Konten können nur zum Speichern von Azure-Dateifreigaben verwendet werden. Sie können keine anderen Speicherressourcen wie Blobcontainer, Warteschlangen und Tabellen in einem FileStorage-Konto bereitstellen.
  • Standarddateifreigaben können grundsätzlich nicht mehr als 5 TiB (Terabytes) umfassen. Das Freigabelimit kann jedoch auf 100 TiB erhöht werden. Zu diesem Zweck muss das Feature für große Dateifreigaben auf Speicherkontoebene aktiviert werden. Storage Premium-Konten (FileStorage-Speicherkonten) verfügen nicht über das Featureflag für große Dateifreigaben, da alle Premium-Dateifreigaben bereits für die Bereitstellung bis zur gesamten 100-TiB-Kapazität aktiviert sind. Sie können große Dateifreigaben nur für lokal redundante oder zonenredundante Standardspeicherkonten aktivieren. Nachdem Sie das Featureflag für große Dateifreigaben aktiviert haben, können Sie die Redundanzebene nicht mehr in georedundanten oder geozonenredundanten Speicher ändern. Um große Dateifreigaben für ein vorhandenes Speicherkonto zu aktivieren, aktivieren Sie in der Konfigurationsansicht des zugehörigen Speicherkontos die Option für große Dateifreigaben.
  • Sie sollten sicherstellen, dass die Azure-Dateisynchronisierung in den Regionen unterstützt wird, in denen Sie Ihre Lösung bereitstellen. Weitere Informationen finden Sie unter Regionale Verfügbarkeit der Azure-Dateisynchronisierung.
  • Sie sollten darauf achten, dass die Dienste, auf die im Abschnitt Architektur verwiesen wird, in der Region unterstützt werden, in der Sie die hybride Dateidienstarchitektur bereitstellen.
  • Um die Daten in Ihren Azure-Dateifreigaben vor Datenverlusten oder Beschädigungen zu schützen, werden für alle Azure-Dateifreigaben beim Schreiben mehrere Kopien der einzelnen Dateien gespeichert. Abhängig von den Anforderungen Ihrer Workload können Sie weitere Redundanzgrade auswählen.
  • Vorherige Versionen ist ein Windows-Feature, mit dem Sie serverseitige Momentaufnahmen des Volumeschattenkopie-Diensts (Volume Shadow Copy Service, VSS) eines Volumes nutzen können, um wiederherstellbare Versionen einer Datei auf einem SMB-Client darzustellen. VSS-Momentaufnahmen und Vorherige Versionen funktionieren unabhängig von der Azure-Dateisynchronisierung. Das Cloudtiering muss aber auf einen kompatiblen Modus festgelegt werden. Auf einem Volume können mehrere Serverendpunkte der Azure-Dateisynchronisierung angeordnet sein. Sie müssen den folgenden PowerShell-Aufruf für jedes Volume durchführen. Dies gilt auch, wenn nur ein Serverendpunkt vorhanden ist, für den Sie das Cloudtiering nutzen möchten bzw. bereits nutzen. Weitere Informationen zu „Vorherige Versionen“ und VSS finden Sie unter Self-Service-Wiederherstellung mit „Vorherige Versionen“ und VSS (Volumeschattenkopie-Dienst).

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

  • Die Azure-Dateisynchronisierung funktioniert mit Ihrer AD DS-Standardidentität (Active Directory Domain Services), ohne dass über die Einrichtung der Azure-Dateisynchronisierung hinaus weitere spezielle Einrichtungsschritte erforderlich sind. Wenn Sie die Azure-Dateisynchronisierung verwenden, erfolgt der Dateizugriff in der Regel über die Cacheserver der Azure-Dateisynchronisierung und nicht über die Azure-Dateifreigabe. Da sich die Serverendpunkte auf Windows Server-Computern befinden, besteht die einzige Anforderung für die Identitätsintegration darin, für die Registrierung beim Speichersynchronisierungsdienst Windows-Dateiserver zu verwenden, die in die Domäne eingebunden sind. Die Azure-Dateisynchronisierung speichert ACLs (Access Control Lists, Zugriffssteuerungslisten) für die Dateien in der Azure-Dateifreigabe und repliziert sie auf allen Serverendpunkten.
  • Auch wenn die Synchronisierung von Änderungen, die direkt an der Azure-Dateifreigabe vorgenommen werden, auf die Serverendpunkte in der Synchronisierungsgruppe länger dauert, können Sie ebenfalls sicherstellen, dass Ihre AD DS-Berechtigungen für Ihre Dateifreigabe auch direkt in der Cloud durchgesetzt werden. Zu diesem Zweck müssen Sie Ihr Speicherkonto in Ihre lokale AD DS-Domäne einbinden, genauso wie Ihre Windows-Dateiserver in die Domäne eingebunden werden. Weitere Informationen dazu, wie Sie Ihr Speicherkonto in die Domäne einer kundeneigenen AD DS-Instanz einbinden, erfahren Sie unter Übersicht über die Optionen der identitätsbasierten Authentifizierung mit Azure Files für den SMB-Zugriff.
  • Bei Verwendung der Azure-Dateisynchronisierung müssen drei verschiedene Verschlüsselungsebenen berücksichtigt werden:
    • Verschlüsselung ruhender Daten, die in Windows Server gespeichert sind. Es gibt zwei Strategien für die Verschlüsselung von Daten unter Windows Server, die in der Regel mit der Azure-Dateisynchronisierung funktionieren: Verschlüsselung unterhalb des Dateisystems, sodass das Dateisystem und alle Daten, die in das Dateisystem geschrieben werden, verschlüsselt sind, und Verschlüsselung im Dateiformat selbst. Diese Methoden können bei Bedarf zusammen verwendet werden, da sich ihr Zweck unterscheidet.
    • Verschlüsselung von Daten während der Übertragung zwischen dem Azure-Dateisynchronisierungs-Agent und Azure. Der Azure-Dateisynchronisierungs-Agent kommuniziert mit dem Speichersynchronisierungsdienst und der Azure-Dateifreigabe unter Verwendung des Azure-Dateisynchronisierungs-REST-Protokolls und des FileREST-Protokolls. Beide Protokolle verwenden immer HTTPS über Port 443. Die Azure-Dateisynchronisierung sendet keine unverschlüsselten Anforderungen über HTTP.
    • Verschlüsselung ruhender Daten, die auf der Azure-Dateifreigabe gespeichert sind. Alle in Azure Files gespeicherten Daten werden im Ruhezustand mithilfe der Azure-Speicherdienstverschlüsselung (Storage Service Encryption, SSE) verschlüsselt. Die Speicherdienstverschlüsselung funktioniert ganz ähnlich wie BitLocker unter Windows: Daten werden unterhalb der Dateisystemebene verschlüsselt. Da Daten durch die Codierung auf dem Datenträger unterhalb des Dateisystems der Azure-Dateifreigabe verschlüsselt werden, benötigen Sie keinen Zugriff auf den zugrunde liegenden Schlüssel auf dem Client, um aus der Azure-Dateifreigabe zu lesen oder in diese zu schreiben.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

Optimaler Betrieb

Die Säule „Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie unter Übersicht über die Säule „Optimaler Betrieb“.

  • Der Azure-Dateisynchronisierungs-Agent wird regelmäßig aktualisiert, um neue Funktionalität hinzuzufügen und Probleme zu beheben. Microsoft empfiehlt, Microsoft Update zu konfigurieren, um Updates für den Azure-Dateisynchronisierungs-Agent bereitzustellen, sobald diese verfügbar sind. Weitere Informationen finden Sie unter Updaterichtlinie für den Azure-Dateisynchronisierungs-Agent.
  • Azure Storage bietet vorläufiges Löschen für Dateifreigaben, damit Sie Ihre Daten wiederherstellen können, wenn diese irrtümlich von einer Anwendung oder von einem anderen Benutzer des Speicherkontos gelöscht wurden. Weitere Informationen zum vorläufigen Löschen finden Sie unter Aktivieren des vorläufigen Löschens für Azure-Dateifreigaben.
  • Cloudtiering ist ein optionales Feature der Azure-Dateisynchronisierung, bei dem häufig verwendete Dateien lokal auf dem Server zwischengespeichert und alle anderen Dateien gemäß Richtlinieneinstellungen in Azure Files ausgelagert werden. Beim Tiering einer Datei ersetzt der Azure-Dateisynchronisierungs-Dateisystemfilter (StorageSync.sys) die Datei lokal durch einen Zeiger auf die Datei in Azure Files. Eine Tieringdatei weist sowohl das offline-Attribut als auch das in NTFS festgelegte FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS-Attribut auf, sodass Tieringdateien von Drittanwendungen sicher identifiziert werden können. Weitere Informationen finden Sie unter Übersicht über Cloudtiering.

Nächste Schritte

Verwandte Hybridleitfäden:

Verwandte Architekturen: