Azure Enterprise Cloud-Dateifreigabe

Diese Referenzarchitektur veranschaulicht eine Lösung für die Clouddateifreigabe auf Unternehmensebene, die Azure-Dienste wie Azure Files, die Azure-Dateisynchronisierung, Privates DNS und private Azure-Endpunkte verwendet. Diese Lösung führt zu Kosteneinsparungen bei gleicher Kontrolle über die Daten, indem die Verwaltung von Dateiservern und der Infrastruktur ausgelagert wird.

Aufbau

Die folgende Abbildung zeigt, wie Clients auf Azure-Dateifreigaben zugreifen können:

• lokal über einen Cloudtieringdateiserver
• remote über privates ExpressRoute-Peering oder VPN-Tunnel in einer privaten Netzwerkumgebung

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

Die Lösung für die Clouddateifreigabe auf Unternehmensebene verwendet die folgenden Methoden, um im Zusammenhang mit Azure-Dateifreigaben die gleichen Benutzerfunktionen wie herkömmliche Dateifreigaben bereitstellen zu können:

• Die Azure-Dateisynchronisierung wird verwendet, um Zugriffssteuerungslisten (ACL) für Dateien und Ordner zwischen lokalen Dateiservern und Azure-Dateifreigaben zu synchronisieren.
• Das Cloudtieringfeature des Azure-Dateisynchronisierungs-Agents wird verwendet, um häufig verwendete Dateien lokal zwischenzuspeichern.
• Die AD DS-Authentifizierung für Azure-Dateifreigaben wird erzwungen.
• Der Zugriff auf Dateifreigabe- und Dateisynchronisierungsdienste erfolgt über private IP-Adressen über Private Link und private Endpunkte über privates ExpressRoute-Peering oder VPN-Tunnel.

Durch die Implementierung privater Azure-Endpunkte in Azure Files und der Azure-Dateisynchronisierung wird der Zugriff auf öffentliche Endpunkte deaktiviert, sodass der Zugriff auf Azure Files und die Azure-Dateisynchronisierung vom virtuellen Azure-Netzwerk aus eingeschränkt wird.

Der Standort-zu-Standort-Tunnel des VPN im Rahmen des privaten ExpressRoute-Peerings erweitert das lokale Netzwerk um das virtuelle Azure-Netzwerk. Der Datenverkehr im Zusammenhang mit der Azure-Dateisynchronisierung und Server Message Block (SMB) vom lokalen Standort zu Azure Files und privaten Endpunkten in der Azure-Dateisynchronisierung ist nur auf eine private Verbindung beschränkt. Während des Übergangs lässt Azure Files die Verbindung nur dann zu, wenn sie mit SMB 3.0 oder höher hergestellt wurde. Verbindungen, die zwischen dem Azure-Dateisynchronisierungs-Agent und einer Azure-Dateifreigabe oder einem Speichersynchronisierungsdienst hergestellt werden, sind immer verschlüsselt. Im Ruhezustand werden Ihre Daten beim Speichern in der Cloud von Azure Storage automatisch verschlüsselt (wie von Azure Files).

Ein DNS-Resolver (Domain Name System) ist eine wichtige Komponente der Lösung. Jeder Azure-Dienst (hier Azure Files und die Azure-Dateisynchronisierung) verfügt über einen vollqualifizierten Domänennamen (FQDN). Die FQDNs dieser Dienste werden in den folgenden Fällen in ihre öffentlichen IP-Adressen aufgelöst:

• Ein Client greift auf eine Azure Files-Freigabe zu.
• Ein auf einem lokalen Dateiserver bereitgestellter Azure-Dateisynchronisierungs-Agent greift auf den Azure-Dateisynchronisierungs-Dienst zu.

Nach dem Aktivieren eines privaten Endpunkts werden private IP-Adressen im virtuellen Azure-Netzwerk zugeordnet. Diese Adressen ermöglichen den Zugriff auf diese Dienste über eine private Verbindung, und die gleichen FQDNs müssen jetzt in private IP-Adressen aufgelöst werden. Hierzu erstellen Azure Files und die Azure-Dateisynchronisierung einen DNS-Eintrag vom Typ CNAME (kanonischer Name), um die Auflösung an einen privaten Domänennamen umzuleiten:

• Der öffentliche Domänenname der Azure-Dateisynchronisierung (*.afs.azure.net) erhält eine CNAME-Umleitung zum privaten Domänennamen *.<region>.privatelink.afs.azure.net.
• Der öffentliche Azure Files-Domänenname (<name>.file.core.windows.net) erhält eine CNAME-Umleitung zum privaten Domänennamen <name>.privatelink.file.core.windows.net.

Die in dieser Architektur gezeigte Lösung konfiguriert lokale DNS-Einstellungen ordnungsgemäß, sodass diese mithilfe der folgenden Methoden private Domänennamen in private IP-Adressen auflösen können:

• Private DNS-Zonen (Komponenten 11 und 12) werden in Azure erstellt, um eine private Namensauflösung für die Azure-Dateisynchronisierung und Azure Files bereitzustellen.
• Private DNS-Zonen sind mit dem virtuellen Azure-Netzwerk verknüpft, damit ein im virtuellen Netzwerk bereitgestellter DNS-Server oder private Azure-DNS-Resolver (Komponente 8) private Domänennamen auflösen kann.
• DNS-A-Einträge werden für Azure Files und die Azure-Dateisynchronisierung in privaten DNS-Zonen erstellt. Informationen zu den Schritten für die Endpunktkonfiguration finden Sie unter Konfigurieren von Azure Files-Netzwerkendpunkten und Konfigurieren von Netzwerkendpunkten für die Azure-Dateisynchronisierung.
• Der lokale DNS-Server (Komponente 3) richtet die bedingte Weiterleitung ein, um die DNS-Abfrage von domain afs.azure.net und file.core.windows.net an den DNS-Server im virtuellen Azure-Netzwerk (Komponente 8) weiterzuleiten.
• Nachdem der DNS-Server (Komponente 8) im privaten Azure-Netzwerk die weitergeleitete DNS-Abfrage vom lokalen DNS-Server erhalten hat, verwendet er den rekursiven Azure DNS-Resolver, um private Domänennamen aufzulösen und private IP-Adressen an den Client zurückzugeben.

Komponenten

Für die in der Architekturabbildung dargestellte Lösung werden die folgenden Komponenten verwendet:

• Client (Komponente 1 oder 2): In der Regel handelt es sich bei dem Client um einen Windows-, Linux- oder Mac OSX-Desktop, der über das SMB-Protokoll mit einem Dateiserver oder Azure Files kommunizieren kann.

• DC und DNS-Server (Komponente 3): Ein Domänencontroller (DC) ist ein Server, der auf Authentifizierungsanforderungen antwortet und Benutzer in Computernetzwerken überprüft. Ein DNS-Server bietet Dienste zum Auflösen von Computernamen in IP-Adressenzuordnungsnamen für Computer und Benutzer. Domänencontroller und DNS-Server können zu einem einzelnen Server zusammengefasst oder in verschiedene Server aufgeteilt werden.

• Dateiserver (Komponente 4): Dies ist ein Server, der Dateifreigaben hostet und Dateifreigabedienste über das SMB-Protokoll bereitstellt.

• CE/VPN-Gerät (Komponente 5): Ein Kundenedgerouter (CE) oder VPN-Gerät wird verwendet, um eine ExpressRoute- oder VPN-Verbindung mit dem virtuellen Azure-Netzwerk herzustellen.

• Azure ExpressRoute oder Azure VPN Gateway (Komponente 6): Azure ExpressRoute ist ein Dienst, mit dem Sie Ihr lokales Netzwerk über eine private Verbindung, die von einem Konnektivitätsanbieter bereitgestellt wird, auf die Cloud von Microsoft ausweiten. Azure VPN Gateway ist eine spezielle Art von Gateway für virtuelle Netzwerke, das verwendet wird, um verschlüsselten Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet zu senden. ExpressRoute oder VPN Gateway stellt eine ExpressRoute- oder VPN-Verbindung mit Ihrem lokalen Netzwerk her.

• Privater Azure-Endpunkt (Komponente 7): Dies ist eine Netzwerkschnittstelle, die Sie privat und sicher mit einem von Azure Private Link betriebenen Dienst verbindet. In dieser Lösung stellt ein privater Azure-Dateisynchronisierungs-Endpunkt eine Verbindung mit der Azure-Dateisynchronisierung her (9), und ein privater Azure Files-Endpunkt stellt eine Verbindung mit Azure Files her (10).

• DNS-Server / privater Azure-DNS-Resolver (Komponente 8 ) in der Azure Virtual Network-Instanz verwendet den rekursiven Azure DNS-Resolver, um den privaten Domänennamen aufzulösen und eine private IP-Adresse an den Client zurückzugeben, nachdem eine weitergeleitete DNS-Abfrage von einem lokalen DNS-Server empfangen wurde.

• Azure-Dateisynchronisierung und Cloudtiering (Komponente 9): Die Azure-Dateisynchronisierung ist eine Funktion von Azure Storage zum Zentralisieren der Dateifreigaben Ihrer Organisation in Azure, ohne dabei auf die Flexibilität, Leistung und Kompatibilität eines lokalen Dateiservers verzichten zu müssen. Cloudtiering ist ein optionales Feature der Azure-Dateisynchronisierung, bei dem häufig verwendete Dateien lokal auf dem Server zwischengespeichert werden, während alle anderen Dateien gemäß Richtlinieneinstellungen in Azure Files ausgelagert werden.

• Azure Files (Komponente 10): Dieser vollständig verwaltete Dienst bietet Dateifreigaben in der Cloud, auf die über das SMB-Branchenstandardprotokoll (SMB) zugegriffen werden kann. Azure Files implementiert das SMB v3-Protokoll und unterstützt die Authentifizierung über lokale Active Directory Domain Services (AD DS) und Microsoft Entra Domain Services. Dateifreigaben aus Azure Files können gleichzeitig über die Cloud oder lokale Bereitstellungen von Windows, Linux und macOS eingebunden werden. Außerdem können Azure-Dateifreigaben auf Windows-Servern mit der Azure-Dateisynchronisierung für den schnellen Zugriff näher dort zwischengespeichert werden, wo die Daten verwendet werden.

• Privates Azure-DNS (Komponenten 11 und 12): Privates DNS, ein DNS-Dienst von Azure, verwaltet Domänennamen und löst diese in ein virtuelles Netzwerk auf, ohne dass eine benutzerdefinierte DNS-Lösung hinzugefügt werden muss.

• Azure Backup (Komponente 13): Azure Backup ist ein Azure-Dateifreigabesicherungsdienst, der Dateifreigabemomentaufnahmen verwendet, um eine cloudbasierte Sicherungslösung bereitzustellen. Überlegungen hierzu finden Sie unter Datenverlust und -sicherung.

Szenariodetails

Diese Lösung ermöglicht den Zugriff auf Azure-Dateifreigaben in einer Hybridarbeitsumgebung über ein virtuelles privates Netzwerk zwischen lokalen Standorten und virtuellen Azure-Netzwerken, ohne dass der Datenverkehr das Internet durchläuft. Außerdem können Sie den Dateizugriff über die AD DS-Authentifizierung (Microsoft Entra Domain Services) steuern und einschränken.

Mögliche Anwendungsfälle

Die Lösung für die Clouddateifreigabe unterstützt die folgenden potenziellen Anwendungsfälle:

• Lift & Shift-Vorgänge im Zusammenhang mit Dateiservern oder Dateifreigaben: Durch Lift & Shift-Vorgänge entfällt die Notwendigkeit, Daten neu strukturieren oder formatieren zu müssen. Außerdem können Sie Legacyanwendungen lokal nutzen, während Sie vom Cloudspeicher profitieren.
• Beschleunigen von Cloudinnovationen durch erhöhte Betriebseffizienz: Die Kosten für die Verwaltung der Hardware und des physischen Raums werden reduziert, und Sie sind vor Datenbeschädigung und Datenverlust geschützt.
• Privater Zugriff auf Azure-Dateifreigaben: Sie profitieren vom Schutz vor Datenexfiltration.

Datenverkehrsfluss

Nach dem Aktivieren der Azure-Dateisynchronisierung und von Azure Files können Sie in zwei Modi auf Azure-Dateifreigaben zugreifen: im lokalen Cachemodus oder im Remotemodus. In beiden Modi verwendet der Client vorhandene AD DS-Anmeldeinformationen, um sich selbst zu authentifizieren.

• Lokaler Cachemodus: Der Client greift über einen lokalen Dateiserver mit aktiviertem Cloudtiering auf Dateien und Dateifreigaben zu. Wenn ein Benutzer eine Datei auf dem lokalen Dateiserver öffnet, werden Dateidaten entweder aus dem lokalen Cache des Dateiservers bereitgestellt, oder der Azure-Dateisynchronisierungs-Agent ruft die Dateidaten problemlos aus Azure Files ab. In der Architekturabbildung für diese Lösung wird der Datenverkehr über die Komponenten 1 und 4 gesendet.

• Remotemodus: Der Client greift direkt über eine Azure-Remotedateifreigabe auf Dateien und Dateifreigaben zu. In der Architekturabbildung für diese Lösung erfolgt der Datenverkehrsfluss über die Komponenten 2, 5, 6, 7 und 10.

Der Datenverkehr der Azure-Dateisynchronisierung wird mithilfe einer ExpressRoute-Leitung für eine zuverlässige Verbindung über die Komponenten 4, 5, 6 und 7 gesendet.

Abfragen für die private Domänennamensauflösung durchlaufen mithilfe der folgenden Sequenz die Komponenten 3, 5, 6, 8, 11 und 12:

1. Der Client sendet eine Abfrage an einen lokalen DNS-Server, um einen DNS-Namen im Zusammenhang mit Azure Files- oder der Azure-Dateisynchronisierung aufzulösen.
2. Der lokale DNS-Server verfügt über eine bedingte Weiterleitung, die DNS-Namensauflösungen im Zusammenhang mit Azure Files und der Azure-Dateisynchronisierung an einen DNS-Server im virtuellen Azure-Netzwerk verweist.
3. Die Abfrage wird an einen DNS-Server oder einen privaten Azure DNS-Resolver im virtuellen Azure-Netzwerk umgeleitet.
4. Abhängig von der DNS-Konfiguration des virtuellen Netzwerks:
   • Wenn ein benutzerdefinierter DNS-Server konfiguriert ist, sendet der DNS-Server im virtuellen Azure-Netzwerk eine Namensanfrage an den von Azure bereitgestellten rekursiven DNS-Resolver (168.63.129.16).
   • Wenn der private Azure DNS-Resolver konfiguriert ist und die Abfrage den privaten DNS-Zonen entspricht, die mit dem virtuellen Netzwerk verknüpft sind, werden diese Zonen konsultiert.
5. Der DNS-Server / private Azure DNS-Resolver gibt eine private IP zurück, nachdem der Name der privaten Domäne in die jeweilige private DNS-Zone aufgelöst wurde. Er verwendet die Verknüpfungen des virtuellen Azure-Netzwerks mit der Azure Files DNS-Zone und der privaten Azure File Sync DNS-Zone.

Überlegungen

Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Beachten Sie bei der Implementierung dieser Lösung die folgenden Punkte.

Planung

• Weitere Informationen zur Planung einer Azure-Dateisynchronisierung finden Sie unter Planung für die Bereitstellung einer Azure-Dateisynchronisierung.
• Informationen zur Azure Files-Planung finden Sie unter Planung für eine Azure Files-Bereitstellung.

Netzwerk

• Überlegungen zum Azure-Dateisynchronisierungs-Netzwerk finden Sie unter Azure-Dateisynchronisierung – Überlegungen zum Netzwerkbetrieb.
• Überlegungen zum Azure Files-Netzwerk finden Sie unter Azure Files – Überlegungen zum Netzwerkbetrieb.

DNS

Beim Verwalten der Namensauflösung für private Endpunkte werden die privaten Domänennamen aus Azure Files und der Azure-Dateisynchronisierung wie folgt aufgelöst:

Azure-Seite:

• Wenn die von Azure bereitgestellte Namensauflösung verwendet wird, muss das virtuelle Azure-Netzwerk mit den bereitgestellten privaten DNS-Zonen verknüpft werden.
• Wenn „Bring Your Own DNS-Server“ (Verwenden eines eigenen DNS-Servers) verwendet wird, muss das virtuelle Netzwerk, in dem Ihr eigener DNS-Server bereitgestellt ist, mit den bereitgestellten privaten DNS-Zonen verknüpft werden.

Auf der Seite des lokalen Standorts wird der private Domänenname auf eine der folgenden Weisen einer privaten IP-Adresse zugeordnet:

• Durch die DNS-Weiterleitung an einen im virtuellen Azure-Netzwerk oder privaten Azure DNS-Resolver bereitgestellten DNS-Server (wie in der Abbildung gezeigt).
• über den lokalen DNS-Server, der Zonen für die privaten Domänen <region>.privatelink.afs.azure.net und privatelink.file.core.windows.net einrichtet Der Server registriert die IP-Adressen der privaten Endpunkte von Azure Files und in der Azure-Dateisynchronisierung als DNS-A-Einträge in den jeweiligen DNS-Zonen. Der private Domänenname wird vom lokalen Client direkt aus dem lokalen DNS-Server aufgelöst.

Verteiltes Dateisystem (Distributed File System, DFS)

Bei einer lokalen Dateifreigabelösung verwenden viele Administratoren ein DFS anstelle eines herkömmlichen eigenständigen Dateiservers. Mithilfe eines DFS können Administratoren Dateifreigaben konsolidieren, die möglicherweise auf mehreren Servern vorhanden sind, sodass sie so angezeigt werden, als würden sie sich alle am selben Speicherort befinden, damit Benutzer von einem einzigen Punkt im Netzwerk aus darauf zugreifen können. Beim Umstieg auf eine Lösung für die Clouddateifreigabe kann die herkömmliche DFS-R-Bereitstellung durch eine Azure-Dateisynchronisierungs-Bereitstellung ersetzt werden. Weitere Informationen finden Sie unter Migrieren einer DFS-R-Bereitstellung (DFS-Replikation) zur Azure-Dateisynchronisierung.

Datenverlust und -sicherung

Datenverlust ist ein schwerwiegendes Problem für Unternehmen aller Größen. Bei der Sicherung von Azure-Dateifreigaben werden Momentaufnahmen von Dateifreigaben verwendet, um eine cloudbasierte Sicherungslösung bereitzustellen, die Ihre Daten in der Cloud schützt und den zusätzlichen Wartungsaufwand bei lokalen Sicherungslösungen eliminiert. Dies sind die wichtigsten Vorteile der Sicherung einer Azure-Dateifreigabe:

• keine Infrastrukturanforderungen
• benutzerdefinierte Aufbewahrung
• integrierte Verwaltungsfunktionen
• sofortige Wiederherstellung
• Warnungen und Berichte
• Schutz vor versehentlichem Löschen von Dateifreigaben

Weitere Informationen finden Sie unter Informationen zum Sichern von Azure-Dateifreigaben.

Unterstützung für Hybrididentitäten auf Azure Files

Obwohl in diesem Artikel Active Directory für die Authentifizierung bei Azure Files beschrieben wird, ist es möglich, Microsoft Entra ID für die Authentifizierung von Hybridbenutzeridentitäten zu verwenden. Azure Files unterstützt die identitätsbasierte Authentifizierung über Server Message Block (SMB) mithilfe des Kerberos-Authentifizierungsprotokolls mit den folgenden drei Methoden:

• Lokale Active Directory Domain Services (AD DS)
• Microsoft Entra Domain Services
• Microsoft Entra Kerberos (Microsoft Entra ID) nur für Hybridbenutzeridentitäten

Weitere Informationen finden Sie unter Aktivieren der Kerberos-Authentifizierung von Microsoft Entra für Hybrididentitäten in Azure Files (Vorschau).

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

Azure DDoS Protection, kombiniert mit bewährten Methoden für den Anwendungsentwurf, bietet erweiterte Features zur DDoS-Risikominderung, um besser vor DDoS-Angriffen zu schützen. Sie sollten Azure DDOS Protection in allen virtuellen Umkreisnetzwerken aktivieren.

Die Sicherheitsüberwachung ist eine erforderliche Voraussetzung für die Aufrechterhaltung der Sicherheit eines Unternehmens. Branchenstandards erfordern, dass Unternehmen strenge Regeln in Bezug auf die Datensicherheit und den Datenschutz befolgen.

Dateizugriffsüberwachung

Die Dateizugriffsüberwachung kann lokal und remote aktiviert werden:

• lokal mithilfe der dynamischen Zugriffssteuerung: Weitere Informationen finden Sie unter Planen der Dateizugriffsüberwachung.
• remote mithilfe von Azure Storage-Protokollen in Azure Monitor für Azure Files: Azure Storage-Protokolle enthalten die Klassen „StorageRead“, „StorageWrite“, „StorageDelete“ sowie Transaktionsprotokolle. Der Azure-Dateizugriff kann in einem Speicherkonto oder einem Log Analytics-Arbeitsbereich protokolliert oder separat an einen Event Hub gestreamt werden. Weitere Informationen finden Sie unter Überwachen von Azure Blob Storage.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Yingting Huang | Senior Cloud Solution Architect

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte

• Planung für eine Azure Files-Bereitstellung
• Bereitstellen von Azure Files
• Azure Files – Überlegungen zum Netzwerkbetrieb
• Konfigurieren von Azure Files-Netzwerkendpunkten
• Überwachen von Azure Storage
• Planen der Dateizugriffsüberwachung
• Sichern von Azure-Dateifreigaben
• Übersicht – lokale Active Directory Domain Services-Authentifizierung über SMB für Azure-Dateifreigaben
• Bereitstellen der Azure-Dateisynchronisierung
• Konfigurieren von Netzwerkendpunkten für die Azure-Dateisynchronisierung
• Übersicht über Cloudtiering
• Erstellen einer Site-to-Site-Verbindung im Azure-Portal
• ExpressRoute-Verbindungen und Peering
• Erstellen und Ändern des Peerings für eine ExpressRoute-Verbindung
• Informationen zum Sichern von Azure-Dateifreigaben
• Was ist Azure DNS Private Resolver?
• Aktivieren der Kerberos-Authentifizierung von Microsoft Entra für Hybrididentitäten in Azure Files (Vorschau)

Zugehörige Ressourcen

• Azure Enterprise Cloud-Dateifreigabe
• Zugriff auf lokale und durch AD DS geschützte Azure-Dateien
• Hybride Dateidienste
• Verwenden von Azure-Dateifreigaben in einer Hybridumgebung
• Hybride Dateifreigabe mit Notfallwiederherstellung für Mitarbeiter an Remote- und lokalen Standorten