Einführung in verwaltete Azure-Datenträger

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen

Verwaltete Azure-Datenträger sind Speichervolumes auf Blockebene, die von Azure verwaltet und mit Azure-Virtual Machines verwendet werden. Verwaltete Datenträger sind wie physische Datenträger in einem lokalen Server, aber der Unterschied besteht darin, dass sie virtualisiert sind. Bei verwalteten Datenträgern müssen Sie lediglich die Datenträgergröße sowie den Datenträgertyp angeben und den Datenträger bereitstellen. Nachdem Sie den Datenträger bereitgestellt haben, übernimmt Azure den Rest.

Die verfügbaren Datenträgertypen sind Ultra-Datenträger, SSD Premium, SSD Standard und Standard Hard Disk Drives (HDD). Informationen zu den einzelnen Datenträgertypen finden Sie unter Auswählen eines Datenträgertyps für virtuelle IaaS-Computer.

Alternativ können Sie eine Azure Elastic SAN als VM-Speicher verwenden. Ein Elastic SAN ermöglicht es Ihnen, den Speicher für alle Ihre Workloads in einem einzelnen Speicher-Back-End zu konsolidieren. Diese Lösung kann kostengünstiger sein, wenn Sie über eine beträchtliche Menge an umfangreichen E/A-intensiven Workloads und Datenbanken der obersten Ebene verfügen. Weitere Informationen finden Sie unter Was ist Azure Elastic SAN?.

Vorteile von verwalteten Datenträgern

Hier werden einige Vorteile beschrieben, in deren Genuss Sie bei der Verwendung von verwalteten Datenträgern kommen.

Hoch verfügbar und stabil

Verwaltete Datenträger sind auf eine Verfügbarkeit von 99,999% ausgelegt. Hierzu stellen verwaltete Datenträger drei Replikate Ihrer Daten für Sie bereit, um eine hohe Dauerhaftigkeit zu garantieren. Wenn bei einem oder sogar bei zwei Ihrer Replikate Probleme auftreten, stellen Sie mit den übrigen Replikaten die Persistenz Ihrer Daten und eine hohe Fehlertoleranz sicher. Mit dieser Architektur konnte Azure für Infrastructure-as-a-Service-Datenträger (IaaS) durchgängig eine Dauerhaftigkeit auf Unternehmensniveau mit einer branchenweit führenden auf das Jahr umgerechneten Fehlerrate von 0% bereitstellen. LRS-Datenträger (Lokal Redundanter Speicher) bieten eine Dauerhaftigkeit von mindestens 99,999999999 % (11 Neunen) über ein Jahr und ZRS-Datenträger (Zonenredundanter Speicher) bieten eine Dauerhaftigkeit von mindestens 99,9999999999 % (12 Neunen) über ein Jahr.

Einfache und skalierbare VM-Bereitstellung

Mit verwalteten Datenträgern können Sie für ein Abonnement pro Region bis zu 50.000VM-Datenträger eines Typs erstellen – Sie können also Tausende von VMs in einem einzigen Abonnement erstellen. Außerdem wird mit diesem Feature die Skalierbarkeit von VM-Skalierungsgruppen weiter erhöht, sodass Sie mit einem Marketplace-Image oder einer Azure Compute Gallery bis zu 1.000 VMs in einer VM-Skalierungsgruppe erstellen können.

Integration in Verfügbarkeitsgruppen

Verwaltete Datenträger werden in Verfügbarkeitsgruppen integriert, um sicherzustellen, dass die Datenträger von VMs in einer Verfügbarkeitsgruppe ausreichend voneinander isoliert sind, um einzelne Fehlerquellen zu vermeiden. Datenträger werden automatisch in unterschiedliche Speicherskalierungseinheiten („Stamps“) platziert. Wenn ein Stamp aufgrund eines Hardware- oder Softwarefehlers ausfällt, treten nur für die VM-Instanzen mit Datenträgern auf diesen Stamps Fehler auf. Angenommen, Sie führen eine Anwendung auf fünf VMs aus, und die VMs sind in einer Verfügbarkeitsgruppe enthalten. Die Datenträger für diese VMs werden nicht alle auf demselben Stamp gespeichert, damit die anderen Instanzen der Anwendung weiter ausgeführt werden, wenn ein Stamp ausfällt.

Integration in Verfügbarkeitszonen

Verwaltete Datenträger unterstützen Verfügbarkeitszonen. Diese sind ein Hochverfügbarkeitsangebot, das Anwendungen vor Ausfällen von Rechenzentren schützt. Verfügbarkeitszonen sind eindeutige physische Standorte in einer Azure-Region. Jede Zone besteht aus mindestens einem Rechenzentrum, dessen Stromversorgung, Kühlung und Netzwerkbetrieb unabhängig funktionieren. Zur Gewährleistung der Resilienz sind in allen aktivierten Regionen mindestens drei separate Zonen vorhanden. Mit Verfügbarkeitszonen bietet Azure die branchenweit beste Betriebszeit-SLA von 99,99 % für VMs.

Azure Backup-Unterstützung

Zum Schutz vor regionalen Katastrophen kann mit Azure Backup ein Sicherungsauftrag mit zeitbasierten Sicherungen und Richtlinien zur Sicherungsaufbewahrung erstellt werden. So können Sie nach Belieben Wiederherstellungen von virtuellen Computern oder verwalteten Datenträgern ausführen. Azure Backup unterstützt derzeit Datenträgergrößen von bis zu 32 Tebibyte (TiB). Weitere Informationen zur Unterstützung der Azure-VM-Sicherung.

Azure Disk Backup

Azure Backup bietet Azure Disk Backup als native, cloudbasierte Sicherungslösung, die Ihre Daten auf verwalteten Datenträgern schützt. Es handelt sich um eine einfache, sichere und kostengünstige Lösung, mit der Sie den Schutz für verwaltete Datenträger in wenigen Schritten konfigurieren können. Azure Disk Backup bietet eine schlüsselfertige Lösung, die eine Verwaltung des Lebenszyklus von Momentaufnahmen für verwaltete Datenträger durch Automatisierung einer periodischen Erstellung von Momentaufnahmen und Aufbewahrung der Momentaufnahmen für eine konfigurierte Dauer unter Verwendung der Sicherungsrichtlinie bereitstellt. Weitere Informationen zu Azure Disk Backup finden Sie unter Übersicht über Azure Disk Backup.

Genau abgestimmte Zugriffssteuerung

Sie können die Rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) verwenden, um die spezifischen Berechtigungen für einen verwalteten Datenträger einem oder mehreren Benutzern zuzuweisen. Verwaltete Datenträger bieten viele verschiedene Vorgänge, z.B. Lesen, Schreiben (Erstellen/Aktualisieren), Löschen und Abrufen eines SAS-URI (Shared Access Signature) für den Datenträger. Sie haben die Möglichkeit, Personen nur Zugriff auf die Vorgänge zu gewähren, die sie jeweils benötigen, um ihre Aufgaben zu erledigen. Wenn Sie es für eine Person beispielsweise nicht zulassen möchten, dass sie einen verwalteten Datenträger auf ein Speicherkonto kopiert, können Sie festlegen, dass der Zugriff auf die Exportaktion für diesen verwalteten Datenträger nicht gewährt wird. Wenn Sie nicht möchten, dass eine Person einen SAS-URI zum Kopieren eines verwalteten Datenträgers verwendet, können Sie auch festlegen, dass diese Berechtigung für den verwalteten Datenträger nicht gewährt wird.

Hochladen der VHD

Mit dem direkten Upload ist es einfach, Ihre VHD auf einen verwalteten Azure-Datenträger zu übertragen. Bisher war die Übertragung Ihrer Daten eher umständlich und umfasste das Staging der Daten in einem Speicherkonto. Jetzt sind weniger Schritte erforderlich. Es ist einfacher, lokale VMs in Azure hochzuladen (Upload auf große verwaltete Datenträger), und der Sicherungs- und Wiederherstellungsvorgang wurde vereinfacht. Außerdem werden hierdurch die Kosten gesenkt, weil Sie Daten direkt auf verwaltete Datenträger hochladen können, ohne diese an VMs anfügen zu müssen. Sie können direkte Uploads nutzen, um VHDs mit einer Größe von bis zu 32 TiB hochzuladen.

Informationen zur Übertragung Ihrer VHD in Azure finden Sie im Artikel zur CLI bzw. zu PowerShell.

Sicherheit

Die Private Link-Unterstützung für verwaltete Datenträger kann zum Importieren und Exportieren eines verwalteten Datenträgers innerhalb Ihres Netzwerks verwendet werden. Mit privaten Links können Sie einen zeitgebundenen SAS-URI (Shared Access Signature) für nicht angefügte verwaltete Datenträger und Momentaufnahmen generieren, um die Daten zur regionalen Erweiterung, zur Notfallwiederherstellung und für die forensische Analyse in eine andere Region zu exportieren. Sie können den SAS-URI auch verwenden, um eine VHD aus der lokalen Umgebung direkt auf einen leeren Datenträger hochzuladen. Jetzt können Sie Private Links verwenden, um den Export und Import von verwalteten Datenträgern einzuschränken, sodass er nur innerhalb Ihres virtuellen Azure-Netzwerks erfolgen kann. Mit privaten Links können Sie sicherstellen, dass Ihre Daten nur innerhalb des sicheren Microsoft-Backbone-Netzwerks übertragen werden.

Wie Sie private Links zum Importieren oder Exportieren eines verwalteten Datenträgers aktivieren können, erfahren Sie in den Artikeln zur CLI oder zum Portal.

Verschlüsselung

Verwaltete Datenträger bieten zwei verschiedene Arten der Verschlüsselung. Die erste ist die serverseitige Verschlüsselung (Server Side Encryption, SSE), die vom Speicherdienst durchgeführt wird. Die zweite ist Azure Disk Encryption (ADE), die Sie für Datenträger für das Betriebssystem und die Daten Ihrer virtuellen Computer aktivieren können.

Serverseitige Verschlüsselung

Die serverseitige Verschlüsselung bietet eine Verschlüsselung ruhender Daten und schützt Ihre Daten, um die Sicherheits- und Compliancevorgaben Ihrer Organisation zu erfüllen. Die serverseitige Verschlüsselung ist standardmäßig für alle verwalteten Datenträger, Momentaufnahmen und Images in allen Regionen aktiviert, in denen Managed Disks verfügbar ist. (Temporäre Datenträger werden dagegen nicht durch serverseitige Verschlüsselung verschlüsselt, es sei denn, Sie aktivieren die Verschlüsselung beim Host. Siehe Datenträgerrollen: temporäre Datenträger).

Sie können zulassen, dass Azure die Schlüssel für Sie verwaltet. Dies sind von der Plattform verwaltete Schlüssel. Alternativ können Sie die Schlüssel selbst verwalten. Dabei handelt es sich um vom Kunden verwaltete Schlüssel. Weitere Informationen finden Sie im Artikel Serverseitige Verschlüsselung von Azure Disk Storage.

Azure Disk Encryption

Mit Azure Disk Encryption können Sie die Betriebssystemdatenträger und andere Datenträger verschlüsseln, die von einem virtuellen IaaS-Computer verwendet werden. Diese Verschlüsselung umfasst verwaltete Datenträger. Unter Windows werden Laufwerke mit branchenüblicher BitLocker-Verschlüsselung verschlüsselt. Unter Linux werden Datenträger mit der DM-Crypt-Technologie verschlüsselt. Dieser Verschlüsselungsvorgang ist in Azure Key Vault integriert, damit Sie die Datenträger-Verschlüsselungsschlüssel steuern und verwalten können. Weitere Informationen finden Sie unter Azure Disk Encryption für Linux-VMs und Azure Disk Encryption für virtuelle Windows-Computer.

Datenträgerrollen

Es gibt drei Hauptdatenträgerrollen in Azure: der Datenträger, der BS-Datenträger und der temporäre Datenträger. Diese Rollen werden den Datenträgern zugeordnet, die an Ihren virtuelle Computer angefügt sind.

Disk roles in action

Datenträger

Ein Datenträger für Daten ist ein verwalteter Datenträger, der zum Speichern von Anwendungsdaten oder anderen Daten, die Sie aufbewahren müssen, an einen virtuellen Computer angebunden ist. Datenträger werden als SCSI-Laufwerke registriert und mit einem von Ihnen ausgewählten Buchstaben gekennzeichnet. Die Größe des virtuellen Computers bestimmt die Anzahl der Datenträger, die Sie anfügen können, und den Typ des Speichers, den Sie zum Hosten der Datenträger verwenden können.

Betriebssystem-Datenträger

Jedem virtuellen Computer ist ein Betriebssystem-Datenträger zugeordnet. Dieser Betriebssystem-Datenträger verfügt über ein vorinstalliertes Betriebssystem, das beim Erstellen des virtuellen Computers ausgewählt wurde. Dieser Datenträger enthält das Startvolume.

Dieser Datenträger weist eine maximale Kapazität von 4.095 GiB auf. Viele Betriebssysteme werden jedoch standardmäßig mit einem Master Boot Record (MBR) partitioniert. Der MBR beschränkt die nutzbare Größe auf 2 TiB. Wenn Sie mehr als 2 TiB benötigen, erstellen Sie Datenträger, fügen sie an und verwenden sie für die Datenspeicherung. Wenn Sie Daten auf dem Betriebssystemdatenträger speichern müssen und den zusätzlichen Speicherplatz benötigen, konvertieren Sie ihn in GPT (GUID Partition Table). Informationen zu den Unterschieden zwischen MBR und GPT für Windows-Bereitstellungen finden Sie unter Häufig gestellte Fragen zu Windows und GPT.

Temporärer Datenträger

Die meisten VMs enthalten einen temporären Datenträger, der kein verwalteter Datenträger ist. Der temporäre Datenträger bietet kurzfristigen Speicher für Anwendungen und Prozesse und ist ausschließlich dafür ausgelegt, Daten wie z. B. Seiten- oder Auslagerungsdateien oder SQL Server-tempdb-Dateien zu speichern. Daten auf dem temporären Datenträger können während eines Wartungsereignisses, beim Erneuten Bereitstellen einer VM oder beim Beenden der VM verloren gehen. Während eines erfolgreichen standardmäßigen Neustarts der VM bleiben die Daten auf dem temporären Datenträger erhalten. Weitere Informationen zu VMs ohne temporäre Datenträger finden Sie unter Azure-VM-Größen ohne lokalen temporären Datenträger.

Bei Azure Linux-VMs ist der temporäre Datenträger standardmäßig „/dev/sdb“, und bei Windows-VMs wird standardmäßig „D:“ verwendet. Der temporäre Datenträger wird nur in zwei Fällen verschlüsselt: Für die serverseitige Verschlüsselung aktivieren Sie die Verschlüsselung auf dem Host. Für Azure Disk Encryption aktivieren Sie die Verschlüsselung unter Windows mit auf „All“ festgelegtem VolumeType-Parameter oder unter Linux mit EncryptFormatAll.

Momentaufnahmen eines verwalteten Datenträgers

Bei einer Momentaufnahme eines verwalteten Datenträgers handelt es sich um eine absturzkonsistente, schreibgeschützte vollständige Kopie eines verwalteten Datenträgers, die standardmäßig als verwalteter Standarddatenträger gespeichert wird. Mit Momentaufnahmen können Sie Ihre verwalteten Datenträger jederzeit sichern. Diese Momentaufnahmen existieren unabhängig vom Quelldatenträger und können zum Erstellen neuer verwalteter Datenträger verwendet werden.

Momentaufnahmen werden auf Basis der verwendeten Größe in Rechnung gestellt. Wenn Sie beispielsweise eine Momentaufnahme eines verwalteten Datenträgers mit einer bereitgestellten Kapazität von 64GiB und einer tatsächlichen Datengröße von 10GiB erstellen, wird die Momentaufnahme nur für die in Anspruch genommene Datengröße von 10GiB in Rechnung gestellt. Sie können die verwendete Größe Ihrer Momentaufnahmen im Azure-Nutzungsbericht ansehen. Beispiel: Beträgt die verwendete Datengröße einer Momentaufnahme 10 GiB, wird im täglichen Nutzungsbericht als verbrauchte Menge Folgendes angezeigt: 10 GiB/(31 Tage) = 0,3226.

Weitere Informationen zur Erstellung von Momentaufnahmen für verwaltete Datenträger finden Sie im Artikel Erstellen einer Momentaufnahme für einen verwalteten Datenträger.

Bilder

Für verwaltete Datenträger wird auch die Erstellung eines verwalteten benutzerdefinierten Image unterstützt. Sie können ein Image aus Ihrer benutzerdefinierten VHD in einem Speicherkonto oder direkt von einer generalisierten VM (mit Systemvorbereitung) erstellen. Dieser Prozess erfasst ein einzelnes Image. Dieses Image enthält alle verwalteten Datenträger, die einer VM zugeordnet sind, einschließlich der Datenträger für das Betriebssystem und für die Daten. Dieses verwaltete benutzerdefinierte Image ermöglicht die Erstellung von Hunderten von VMs mit Ihrem benutzerdefinierten Image, ohne dass Sie Speicherkonten kopieren oder verwalten müssen.

Informationen zum Erstellen von Images finden Sie in den folgenden Artikeln:

Vergleich von Images und Momentaufnahmen

Es ist wichtig, den Unterschied zwischen Images und Momentaufnahmen zu verstehen. Bei verwalteten Datenträgern können Sie ein Image einer generalisierten VM erstellen, deren Zuordnung aufgehoben wurde. Dieses Image umfasst alle Datenträger, die der VM angefügt sind. Sie können dieses Image verwenden, um eine VM mit allen Datenträgern zu erstellen.

Eine Momentaufnahme ist eine Kopie eines Datenträgers zum Zeitpunkt der Erstellung der Momentaufnahme. Sie gilt nur für einen einzigen Datenträger. Wenn Sie eine VM mit einem einzigen Datenträger (Betriebssystem-Datenträger) verwenden, können Sie eine Momentaufnahme oder ein Image davon erstellen und dann entweder aus der Momentaufnahme oder dem Image eine VM erstellen.

Eine Momentaufnahme bezieht sich nur auf den Datenträger, von dem sie erstellt wurde. Darum ist ihre Verwendung problematisch in Szenarien, die die Koordination mehrerer Datenträger erfordern, z.B. Striping. Momentaufnahmen müssten sich miteinander abstimmen, und dies wird derzeit nicht unterstützt.

Datenträgerzuordnung und Leistung

Das folgende Diagramm zeigt die Echtzeitzuordnung von Bandbreite und IOPS für Datenträger mit drei verschiedenen Pfaden, die eine E/A verwenden kann:

Diagram of a three level provisioning system showing bandwidth and IOPS allocation.

Der erste E/A-Pfad ist der Pfad des nicht zwischengespeicherten verwalteten Datenträgers. Dieser Pfad wird verwendet, wenn Sie einen verwalteten Datenträger verwenden und die Hostzwischenspeicherung auf „Keine“ festlegen. Eine E/A, die diesen Pfad verwendet, wird basierend auf der Bereitstellung auf Datenträgerebene und dann auf VM-Netzwerkebene für IOPs und Durchsatz ausgeführt.

Der zweite E/A-Pfad ist der zwischengespeicherte Pfad für verwaltete Datenträger. Zwischengespeicherte verwaltete E/A-Datenträger verwenden einen SSD-Datenträger in der Nähe der VM, für den eigene IOPs und ein eigener Durchsatz bereitgestellt sind. Im Diagramm wird dies als Bereitstellung auf SSD-Ebene bezeichnet. Wenn ein zwischengespeicherter verwalteter Datenträger einen Lesevorgang initiiert, überprüft die Anforderung zunächst, ob sich die Daten auf der Server-SSD-Datei befinden. Wenn die Daten nicht vorhanden sind, erzeugt dies einen Cachefehler, und die E/A wird dann basierend auf der Bereitstellung auf SSD-Ebene, der Bereitstellung auf Datenträgerebene und der anschließenden Bereitstellung auf VM-Netzwerkebene für IOPS und Durchsatz ausgeführt. Wenn die Server-SSD Leseanweisungen für zwischengespeicherte E/A initiiert, die auf der Server-SSD vorhanden sind, wird ein Cachetreffer erstellt, und die E/A wird dann basierend auf der Bereitstellung auf SSD-Ebene ausgeführt. Schreibvorgänge, die von einem zwischengespeicherten verwalteten Datenträger initiiert werden, folgen immer dem Pfad eines Cachefehlers und müssen die Bereitstellung auf SSD-Ebene, Datenträgerebene und VM-Netzwerkebene durchgehen.

Der dritte Pfad ist für den lokalen/temporären Datenträger. Dies ist nur auf VMs verfügbar, die lokale/temporäre Datenträger unterstützen. Eine E/A, die diesen Pfad verwendet, wird basierend auf der Bereitstellung auf SSD-Ebene für IOPS und Durchsatz ausgeführt.

Als Beispiel für diese Einschränkungen wird ein Standard_D2s_v3-VM aufgrund von Einschränkungen auf SSD- und Netzwerkebene daran gehindert, das Potenzial von 5.000 IOPS eines P30-Datenträgers (unabhängig davon, ob ein Cache verwendet wird) zu erreichen:

Diagram of three level provisioning system with Standard_D2s_v3 example allocation.

Azure verwendet einen priorisierten Netzwerkkanal für den Datenverkehr des Datenträgers, der eine höhere Priorität gegenüber anderen niedrigen Prioritäten des Netzwerkdatenverkehrs erhält. Dies hilft den Datenträgern, ihre erwartete Leistung im Falle von Netzwerkkonflikten aufrechtzuerhalten. Ebenso behandelt Azure Storage Ressourcenkonflikte und andere Probleme im Hintergrund durch den automatischen Lastenausgleich. Azure Storage weist die erforderlichen Ressourcen zu, wenn Sie einen Datenträger erstellen, und wendet einen proaktiven und reaktiven Ausgleich der Ressourcen an, um den Datenverkehr zu bewältigen. Dies stellt weiterhin sicher, dass die Datenträger ihre erwarteten IOPS- und Durchsatzziele einhalten können. Sie können die Metriken auf VM- und Datenträgerebene verwenden, um die Leistungs- und Setupwarnungen bei Bedarf zu verfolgen.

Lesen Sie unseren Artikel Entwerfen für hohe Leistung, um die bewährten Methoden zur Optimierung von VM- und Datenträgerkonfigurationen kennenzulernen, damit Sie die gewünschte Leistung erreichen können.

Nächste Schritte

Ein Video mit ausführlichen Informationen zu verwalteten Datenträgern finden Sie hier: Better Azure VM Resiliency with Managed Disks (Bessere Resilienz von Azure-VMs mit verwalteten Datenträgern).

Erfahren Sie in unserem Artikel über Datenträgertypen mehr über die einzelnen Datenträgertypen, die Azure bietet, welcher Typ sich gut für Ihre Anforderungen eignet, und erhalten Sie Informationen über deren Leistungsziele.