Azure Files – Überlegungen zum NetzwerkbetriebAzure Files networking considerations

Sie können auf zwei Arten eine Verbindung mit einer Azure-Dateifreigabe herstellen:You can connect to an Azure file share in two ways:

  • Direkter Zugriff auf die Freigabe über das SMB-Protokoll (Server Message Block), das NFS-Protokoll (Network File System, Vorschau) oder das REST-Protokoll „File“.Accessing the share directly via the Server Message Block (SMB), Network File System (NFS) (preview), or FileREST protocols. Dieses Zugriffsmuster kommt primär dann zum Einsatz, wenn so wenige lokale Server wie möglich einbezogen werden sollen.This access pattern is primarily employed when to eliminate as many on-premises servers as possible.
  • Sie erstellen mithilfe der Azure-Dateisynchronisierung einen Cache der Azure-Dateifreigabe auf einem lokalen Server (oder in einer Azure-VM) und greifen auf dem lokalen Server über ein Protokoll Ihrer Wahl (SMB, NFS, FTPS usw.) auf die gewünschten Daten der Dateifreigabe zu.Creating a cache of the Azure file share on an on-premises server (or on an Azure VM) with Azure File Sync, and accessing the file share's data from the on-premises server with your protocol of choice (SMB, NFS, FTPS, etc.) for your use case. Dieses Zugriffsmuster ist praktisch, weil es die Vorteile einer lokalen Leistung mit serverlos anfügbaren Diensten im Cloudmaßstab – z. B. Azure Backup – kombiniert.This access pattern is handy because it combines the best of both on-premises performance and cloud scale and serverless attachable services, such as Azure Backup.

In diesem Artikel wird beschrieben, wie Sie das Netzwerk konfigurieren, wenn Ihr Anwendungsfall einen direkten Zugriff auf die Azure-Dateifreigabe statt der Nutzung der Azure-Dateisynchronisierung erfordert. Weitere Informationen zu Überlegungen zum Netzwerkbetrieb für eine Bereitstellung mit der Azure-Dateisynchronisierung finden Sie unter Azure Files – Überlegungen zum Netzwerkbetrieb.This article focuses on how to configure networking for when your use case calls for accessing the Azure file share directly rather than using Azure File Sync. For more information about networking considerations for an Azure File Sync deployment, see Azure File Sync networking considerations.

Die Netzwerkkonfiguration für Azure-Dateifreigaben wird im Azure-Speicherkonto vorgenommen.Networking configuration for Azure file shares is done on the Azure storage account. Ein Speicherkonto ist ein Verwaltungskonstrukt, das einen gemeinsam genutzten Pool mit Speicherplatz darstellt, in dem Sie mehrere Dateifreigaben sowie weitere Speicherressourcen wie Blobcontainer oder Warteschlangen bereitstellen können.A storage account is a management construct that represents a shared pool of storage in which you can deploy multiple file shares, as well as other storage resources, such as blob containers or queues. Speicherkonten machen verschiedene Einstellungen verfügbar, die zum Schutz des Netzwerkzugriffs auf Ihre Dateifreigaben beitragen. Hierzu zählen Netzwerkendpunkte, Speicherkonto-Firewalleinstellungen sowie Verschlüsselung während der Übertragung.Storage accounts expose multiple settings that help you secure network access to your file shares: network endpoints, storage account firewall settings, and encryption in transit.

Wir empfehlen Ihnen, vor diesem konzeptionellen Leitfaden den Artikel Planung für eine Azure Files-Bereitstellung zu lesen.We recommend reading Planning for an Azure Files deployment prior to reading this conceptual guide.

Zugreifen auf Ihre Azure-DateifreigabenAccessing your Azure file shares

Wenn Sie eine Azure-Dateifreigabe innerhalb eines Speicherkontos bereitstellen, kann über den öffentlichen Endpunkt des Speicherkontos sofort auf die Dateifreigabe zugegriffen werden.When you deploy an Azure file share within a storage account, your file share is immediately accessible via the storage account's public endpoint. Das bedeutet, dass authentifizierte Anforderungen (etwa Anforderungen, die durch die Anmeldeidentität eines Benutzers autorisiert wurden) auf sichere Weise verwendet werden können – ganz gleich, ob ihr Ursprung innerhalb oder außerhalb von Azure liegt.This means that authenticated requests, such as requests authorized by a user's logon identity, can originate securely from inside or outside of Azure.

In vielen Kundenumgebungen ist die Einbindung der Azure-Dateifreigabe in die lokale Arbeitsstation zunächst nicht erfolgreich, obwohl Einbindungen von virtuellen Azure-Computern problemlos funktionieren.In many customer environments, an initial mount of the Azure file share on your on-premises workstation will fail, even though mounts from Azure VMs succeed. Das liegt daran, dass viele Organisationen und Internetdienstanbieter (Internet Service Providers, ISPs) den Port 445 blockieren, der von SMB für die Kommunikation verwendet wird.The reason for this is that many organizations and internet service providers (ISPs) block the port that SMB uses to communicate, port 445. Für NFS-Freigaben besteht dieses Problem nicht.NFS shares do not have this issue. Diese Praxis geht auf Sicherheitsempfehlungen im Zusammenhang mit alten und veralteten Versionen des SMB-Protokolls zurück.This practice originates from security guidance about legacy and deprecated versions of the SMB protocol. SMB 3.0 ist zwar ein internetsicheres Protokoll, das gilt jedoch nicht für ältere Versionen (insbesondere SMB 1.0).Although SMB 3.0 is an internet-safe protocol, older versions of SMB, especially SMB 1.0 are not. Der externe Zugriff auf Azure-Dateifreigaben über den öffentlichen Endpunkt ist nur über SMB 3.0 und das FileREST-Protokoll (ebenfalls ein internetsicheres Protokoll) zulässig.Azure file shares may only be externally accessed via SMB 3.0 and the FileREST protocol (which is also an internet safe protocol) via the public endpoint.

In der lokalen Umgebung kann am einfachsten auf die SMB-Dateifreigabe in Azure zugegriffen werden, wenn das lokale Netzwerk für den Port 445 geöffnet wird. Daher empfiehlt Microsoft die folgenden Schritte, um SMB 1.0 aus Ihrer Umgebung zu entfernen:Since the easiest way to access your Azure SMB file share from on-premises is to open your on-premises network to port 445, Microsoft recommends the following steps to remove SMB 1.0 from your environment:

  1. Stellen Sie sicher, dass SMB 1.0 auf den Geräten Ihrer Organisation entfernt oder deaktiviert wurde.Ensure that SMB 1.0 is removed or disabled on your organization's devices. Alle derzeit unterstützten Versionen von Windows und Windows Server unterstützen das Entfernen oder Deaktivieren von SMB 1.0. Ab Windows 10, Version 1709, ist SMB 1.0 nicht mehr standardmäßig im Betriebssystem installiert.All currently supported versions of Windows and Windows Server support removing or disabling SMB 1.0, and starting with Windows 10, version 1709, SMB 1.0 is not installed on the Windows by default. Weitere Informationen zum Deaktivieren von SMB 1.0 finden Sie auf den Seiten zum jeweiligen Betriebssystem:To learn more about how to disable SMB 1.0, see our OS-specific pages:
  2. Stellen Sie sicher, dass keine Produkte in Ihrer Organisation SMB 1.0 benötigen, und entfernen Sie diejenigen Produkte, die diese Version verwenden.Ensure that no products within your organization require SMB 1.0 and remove the ones that do. Im Blog SMB1 Product Clearinghouse finden Sie alle Erst- und Drittanbieterprodukte, von denen Microsoft bekannt ist, dass sie SMB 1.0 erfordern.We maintain an SMB1 Product Clearinghouse, which contains all the first and third-party products known to Microsoft to require SMB 1.0.
  3. (Optional) Verwenden Sie eine Drittanbieterfirewall im lokalen Netzwerk Ihrer Organisation, um zu verhindern, dass SMB 1.0-Datenverkehr Ihre Organisation verlässt.(Optional) Use a third-party firewall with your organization's on-premises network to prevent SMB 1.0 traffic from leaving your organizational boundary.

Wenn der Port 445 in Ihrer Organisation aufgrund einer Richtlinie oder gesetzlichen Vorgabe blockiert werden oder Datenverkehr für Azure einem deterministischen Pfad folgen muss, können Sie Azure VPN Gateway oder ExpressRoute verwenden, um Datenverkehr an Ihre Azure-Dateifreigabe zu tunneln.If your organization requires port 445 to be blocked per policy or regulation, or your organization requires traffic to Azure to follow a deterministic path, you can use Azure VPN Gateway or ExpressRoute to tunnel traffic to your Azure file shares. Für NFS-Freigaben ist dies alles nicht erforderlich, da sie Port 445 nicht benötigen.NFS shares do not require any of this, as they do not need port 445.

Wichtig

Selbst wenn Sie sich beim Zugriff auf Ihre Azure-Dateifreigaben für eine alternative Methode entscheiden, empfiehlt es sich dennoch, SMB 1.0 aus Ihrer Umgebung zu entfernen.Even if you decide use an alternate method to access your Azure file shares, Microsoft still recommends removing SMB 1.0 from your environment.

Tunneln von Datenverkehr über ein virtuelles privates Netzwerk oder über ExpressRouteTunneling traffic over a virtual private network or ExpressRoute

Wenn Sie einen Netzwerktunnel zwischen Ihrem lokalen Netzwerk und Azure einrichten, entsteht eine Peeringbeziehung zwischen Ihrem lokalen Netzwerk und mindestens einem virtuellen Netzwerk in Azure.When you establish a network tunnel between your on-premises network and Azure, you are peering your on-premises network with one or more virtual networks in Azure. Ein virtuelles Netzwerk (VNET) ähnelt einem herkömmlichen Netzwerk in Ihrer lokalen Umgebung.A virtual network, or VNet, is similar to a traditional network that you'd operate on-premises. Ähnlich wie ein Azure-Speicherkonto oder eine Azure-VM ist ein VNET eine Azure-Ressource, die in einer Ressourcengruppe bereitgestellt wird.Like an Azure storage account or an Azure VM, a VNet is an Azure resource that is deployed in a resource group.

Azure Files unterstützt folgende Mechanismen, um Datenverkehr zwischen Ihren lokalen Arbeitsstationen und Servern und SMB-/NFS-Dateifreigaben in Azure zu tunneln:Azure Files supports the following mechanisms to tunnel traffic between your on-premises workstations and servers and Azure SMB/NFS file shares:

  • Azure VPN Gateway: Ein VPN-Gateway ist eine spezielle Art von Gateway für virtuelle Netzwerke, das verwendet wird, um verschlüsselten Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem anderen Standort (beispielsweise einer lokalen Umgebung) über das Internet zu senden.Azure VPN Gateway: A VPN gateway is a specific type of virtual network gateway that is used to send encrypted traffic between an Azure virtual network and an alternate location (such as on-premises) over the internet. Azure VPN Gateway ist eine Azure-Ressource, die neben einem Speicherkonto oder anderen Azure-Ressourcen in einer Ressourcengruppe bereitgestellt werden kann.An Azure VPN Gateway is an Azure resource that can be deployed in a resource group along side of a storage account or other Azure resources. VPN-Gateways machen zwei Arten von Verbindungen verfügbar:VPN gateways expose two different types of connections:
  • ExpressRoute ermöglicht die Erstellung einer definierten Route zwischen Azure und Ihrem lokalen Netzwerk, die nicht über das Internet läuft.ExpressRoute, which enables you to create a defined route between Azure and your on-premises network that doesn't traverse the internet. Da ExpressRoute einen dedizierten Pfad zwischen Ihrem lokalen Rechenzentrum und Azure bereitstellt, ist dieser Dienst sehr nützlich, wenn die Netzwerkleistung ein wichtiger Aspekt ist.Because ExpressRoute provides a dedicated path between your on-premises datacenter and Azure, ExpressRoute may be useful when network performance is a consideration. ExpressRoute ist auch dann eine gute Option, wenn die Richtlinie Ihrer Organisation oder gesetzliche Vorschriften einen deterministischen Pfad zu den Ressourcen in der Cloud erfordern.ExpressRoute is also a good option when your organization's policy or regulatory requirements require a deterministic path to your resources in the cloud.

Unabhängig von der Tunnelingmethode, die Sie für den Zugriff auf Ihre Azure-Dateifreigaben verwenden, benötigen Sie einen Mechanismus, der sicherstellt, dass der für Ihr Speicherkonto bestimmte Datenverkehr über den Tunnel und nicht über Ihre reguläre Internetverbindung geleitet wird.Regardless of which tunneling method you use to access your Azure file shares, you need a mechanism to ensure the traffic to your storage account goes over the tunnel rather than your regular internet connection. Es ist zwar technisch möglich, Datenverkehr an den öffentlichen Endpunkt des Speicherkontos weiterzuleiten, dies erfordert jedoch die Hartcodierung aller IP-Adressen für die Azure-Speichercluster in einer Region, da Speicherkonten jederzeit zwischen Speicherclustern verschoben werden können.It is technically possible to route to the public endpoint of the storage account, however this requires hard-coding all of the IP addresses for the Azure storage clusters in a region, since storage accounts may be moved between storage clusters at any time. Darüber hinaus müssen in diesem Fall ständig die IP-Adresszuordnungen aktualisiert werden, da immer wieder neue Cluster hinzukommen.This also requires constantly updating the IP address mappings since new clusters are added all the time.

Wir empfehlen daher die Verwendung privater Endpunkte, anstatt die IP-Adressen Ihrer Speicherkonten in VPN-Routingregeln hartzucodieren. Durch die privaten Endpunkte erhält Ihr Speicherkonto eine IP-Adresse aus dem Adressraum eines virtuellen Azure-Netzwerks.Rather than hard-coding the IP address of your storage accounts into your VPN routing rules, we recommend using private endpoints, which give your storage account an IP address from the address space of an Azure virtual network. Da durch die Einrichtung eines Tunnels mit Azure eine Peeringbeziehung zwischen Ihrem lokalen Netzwerk und mindestens einem virtuellen Netzwerk entsteht, sorgt diese Methode dauerhaft für eine korrekte Weiterleitung.Since creating a tunnel to Azure establishes peering between your on-premises network and one or more virtual network, this enables the correct routing in a durable way.

Private EndpunktePrivate endpoints

Neben dem standardmäßigen öffentlichen Endpunkt für ein Speicherkonto ermöglicht Azure Files die Verwendung privater Endpunkte.In addition to the default public endpoint for a storage account, Azure Files provides the option to have one or more private endpoints. Ein privater Endpunkt ist ein Endpunkt, auf den nur innerhalb eines virtuellen Azure-Netzwerks zugegriffen werden kann.A private endpoint is an endpoint that is only accessible within an Azure virtual network. Wenn Sie einen privaten Endpunkt für Ihr Speicherkonto erstellen, erhält Ihr Speicherkonto eine private IP-Adresse aus dem Adressraum Ihres virtuellen Netzwerks. Dies ist vergleichbar mit einem lokalen Dateiserver oder NAS-Gerät, der bzw. das eine IP-Adresse aus dem dedizierten Adressraum Ihres lokalen Netzwerks erhält.When you create a private endpoint for your storage account, your storage account gets a private IP address from within the address space of your virtual network, much like how an on-premises file server or NAS device receives an IP address within the dedicated address space of your on-premises network.

Ein privater Endpunkt ist einem bestimmten Subnetz des virtuellen Azure-Netzwerks zugeordnet.An individual private endpoint is associated with a specific Azure virtual network subnet. Ein Speicherkonto kann über private Endpunkte in mehreren virtuellen Netzwerken verfügen.A storage account may have private endpoints in more than one virtual network.

Die Verwendung privater Endpunkte mit Azure Files ermöglicht Folgendes:Using private endpoints with Azure Files enables you to:

  • Herstellen einer sicheren Verbindung mit Ihren Azure-Dateifreigaben aus lokalen Netzwerken über eine VPN- oder ExpressRoute-Verbindung mit privatem PeeringSecurely connect to your Azure file shares from on-premises networks using a VPN or ExpressRoute connection with private-peering.
  • Schützen Ihrer Azure-Dateifreigaben, indem Sie die Speicherkontofirewall so konfigurieren, dass alle Verbindungen am öffentlichen Endpunkt blockiert werden.Secure your Azure file shares by configuring the storage account firewall to block all connections on the public endpoint. Durch die Erstellung eines privaten Endpunkts werden Verbindungen mit dem öffentlichen Endpunkt nicht standardmäßig blockiert.By default, creating a private endpoint does not block connections to the public endpoint.
  • Erhöhen der Sicherheit für das virtuelle Netzwerk durch die Möglichkeit zum Blockieren der Exfiltration von Daten aus dem virtuellen Netzwerk (und Peeringgrenzen)Increase security for the virtual network by enabling you to block exfiltration of data from the virtual network (and peering boundaries).

Informationen zum Erstellen eines privaten Endpunkts finden Sie unter Konfigurieren von privaten Endpunkten für Azure Files.To create a private endpoint, see Configuring private endpoints for Azure Files.

Private Endpunkte und DNSPrivate endpoints and DNS

Wenn Sie einen privaten Endpunkt erstellen, wird standardmäßig auch eine private DNS-Zone erstellt, die der Unterdomäne privatelink entspricht, oder es wird eine vorhandene private DNS-Zone entsprechend aktualisiert.When you create a private endpoint, by default we also create a (or update an existing) private DNS zone corresponding to the privatelink subdomain. Streng genommen muss keine private DNS-Zone erstellt werden, um einen privaten Endpunkt für Ihr Speicherkonto zu verwenden. Es wird jedoch im Allgemeinen dringend empfohlen und ist explizit erforderlich, wenn Sie Ihre Azure-Dateifreigabe mit einem Active Directory Benutzerprinzipal einbinden oder über die FileREST-API zugreifen.Strictly speaking, creating a private DNS zone is not required to use a private endpoint for your storage account, but it is highly recommended in general and explicitly required when mounting your Azure file share with an Active Directory user principal or accessing from the FileREST API.

Hinweis

In diesem Artikel wird das Speicherkonto-DNS-Suffix für die öffentlichen Azure-Regionen (core.windows.net) verwendet.This article uses the storage account DNS suffix for the Azure Public regions, core.windows.net. Dieser Kommentar gilt auch für Azure Sovereign Clouds wie etwa die Azure US Government-Cloud und die Azure China-Cloud. Verwenden Sie einfach die entsprechenden Suffixe für Ihre Umgebung.This commentary also applies to Azure Sovereign clouds such as the Azure US Government cloud and the Azure China cloud - just substitute the the appropriate suffixes for your environment.

In Ihrer privaten DNS-Zone werden ein A-Eintrag für storageaccount.privatelink.file.core.windows.net und ein CNAME-Eintrag für den regulären Namen des Speicherkontos im Format storageaccount.file.core.windows.net erstellt.In your private DNS zone, we create an A record for storageaccount.privatelink.file.core.windows.net and a CNAME record for the regular name of the storage account, which follows the pattern storageaccount.file.core.windows.net. Da Ihre private Azure-DNS-Zone mit dem virtuellen Netzwerk verbunden ist, das den privaten Endpunkt enthält, können Sie sich die DNS-Konfiguration ansehen, indem Sie das Cmdlet Resolve-DnsName über PowerShell auf einem virtuellen Azure-Computer aufrufen (oder nslookup unter Windows und Linux):Since your Azure private DNS zone is connected to the virtual network containing the private endpoint, you can observe the DNS configuration when by calling the Resolve-DnsName cmdlet from PowerShell in an Azure VM (alternately nslookup in Windows and Linux):

Resolve-DnsName -Name "storageaccount.file.core.windows.net"

In diesem Beispiel wird das Speicherkonto storageaccount.file.core.windows.net in die private IP-Adresse des privaten Endpunkts (192.168.0.4) aufgelöst.For this example, the storage account storageaccount.file.core.windows.net resolves to the private IP address of the private endpoint, which happens to be 192.168.0.4.

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4


Name                   : privatelink.file.core.windows.net
QueryType              : SOA
TTL                    : 269
Section                : Authority
NameAdministrator      : azureprivatedns-host.microsoft.com
SerialNumber           : 1
TimeToZoneRefresh      : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration       : 2419200
DefaultTTL             : 300

Wenn Sie den gleichen Befehl lokal ausführen, sehen Sie, dass der gleiche Speicherkontoname stattdessen in die öffentliche IP-Adresse des Speicherkontos aufgelöst wird. storageaccount.file.core.windows.net ist ein CNAME-Eintrag für storageaccount.privatelink.file.core.windows.net, was wiederum ein CNAME-Eintrag für den Azure-Speichercluster ist, von dem das Speicherkonto gehostet wird:If you run the same command from on-premises, you'll see that the same storage account name resolves to the public IP address of the storage account instead; storageaccount.file.core.windows.net is a CNAME record for storageaccount.privatelink.file.core.windows.net, which in turn is a CNAME record for the Azure storage cluster hosting the storage account:

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  60    Answer     storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME  60    Answer     file.par20prdstr01a.store.core.windows.net
ore.windows.net

Name       : file.par20prdstr01a.store.core.windows.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 52.239.194.40

Dies zeigt, dass das Speicherkonto sowohl den öffentlichen Endpunkt als auch einen oder mehrere private Endpunkte verfügbar machen kann.This reflects the fact that the storage account can expose both the public endpoint and one or more private endpoints. Um sicherzustellen, dass der Speicherkontoname in die private IP-Adresse des privaten Endpunkts aufgelöst wird, müssen Sie die Konfiguration auf Ihren lokalen DNS-Servern ändern.To ensure that the storage account name resolves to the private endpoint's private IP address, you must change the configuration on your on-premises DNS servers. Hierzu gibt es verschiedene Möglichkeiten:This can be accomplished in several ways:

  • Ändern der Datei „hosts“ auf Ihren Clients, damit storageaccount.file.core.windows.net in die private IP-Adresse des gewünschten privaten Endpunkts aufgelöst wird:Modifying the hosts file on your clients to make storageaccount.file.core.windows.net resolve to the desired private endpoint's private IP address. Hiervon wird in Produktionsumgebungen dringend abgeraten, da Sie diese Änderungen für jeden Client vornehmen müssen, von dem Ihre Azure-Dateifreigaben eingebunden werden sollen, und Änderungen am Speicherkonto oder am privaten Endpunkt nicht automatisch behandelt werden.This is strongly discouraged for production environments, since you will need make these changes to every client that wants to mount your Azure file shares and changes to the storage account or private endpoint will not be automatically handled.
  • Erstellen eines A-Eintrags für storageaccount.file.core.windows.net auf Ihren lokalen DNS-Servern:Creating an A record for storageaccount.file.core.windows.net in your on-premises DNS servers. Diese Lösung hat den Vorteil, dass Clients in Ihrer lokalen Umgebung das Speicherkonto automatisch auflösen können, ohne dass jeder Client einzeln konfiguriert werden muss. Sie ist jedoch ähnlich fehleranfällig wie das Ändern der Hostdatei, da Änderungen nicht berücksichtigt werden.This has the advantage that clients in your on-premises environment will be able to automatically resolve the storage account without needing to configure each client, however this solution is similarly brittle to modifying the hosts file because changes are not reflected. Für einige Umgebungen ist diese Lösung trotz ihrer Fehleranfälligkeit die beste Wahl.Although this solution is brittle, it may be the best choice for some environments.
  • Weiterleiten der Zone core.windows.net von Ihren lokalen DNS-Servern an Ihre private Azure-DNS-Zone:Forward the core.windows.net zone from your on-premises DNS servers to your Azure private DNS zone. Der private Azure-DNS-Host ist über eine spezielle IP-Adresse (168.63.129.16) erreichbar, auf die nur innerhalb von virtuellen Netzwerken zugegriffen werden kann, die mit der privaten Azure-DNS-Zone verknüpft sind.The Azure private DNS host can be reached through a special IP address (168.63.129.16) that is only accessible inside virtual networks that are linked to the Azure private DNS zone. Um diese Einschränkung zu umgehen, können Sie zusätzliche DNS-Server in Ihrem virtuellen Netzwerk ausführen, die core.windows.net an die private Azure-DNS-Zone weiterleiten.To workaround this limitation, you can run additional DNS servers within your virtual network that will forward core.windows.net on to the Azure private DNS zone. Zur Vereinfachung dieser Einrichtung stehen PowerShell-Cmdlets zur Verfügung, die automatisch DNS-Server in Ihrem virtuellen Azure-Netzwerk bereitstellen und wie gewünscht konfigurieren.To simplify this set up, we have provided PowerShell cmdlets that will auto-deploy DNS servers in your Azure virtual network and configure them as desired. Informationen zum Einrichten der DNS-Weiterleitung finden Sie unter Konfigurieren von DNS mit Azure Files.To learn how to set up DNS forwarding, see Configuring DNS with Azure Files.

Speicherkonto-FirewalleinstellungenStorage account firewall settings

Eine Firewall ist eine Netzwerkrichtlinie, die steuert, von welchen Anforderungen auf den öffentlichen Endpunkt für ein Speicherkonto zugegriffen werden darf.A firewall is a network policy which controls which requests are allowed to access the public endpoint for a storage account. Mithilfe der Speicherkontofirewall können Sie den Zugriff auf den öffentlichen Endpunkt des Speicherkontos auf bestimmte IP-Adressen oder -Bereiche oder auf ein virtuelles Netzwerk beschränken.Using the storage account firewall, you can restrict access to the storage account's public endpoint to certain IP addresses or ranges or to a virtual network. Im Allgemeinen beschränken die meisten Firewallrichtlinien für Speicherkonten den Netzwerkzugriff auf ein virtuelles Netzwerk (oder auf mehrere).In general, most firewall policies for a storage account will restrict networking access to one or more virtual networks.

Der Speicherkontozugriff kann auf zwei Arten auf ein virtuelles Netzwerk beschränkt werden:There are two approaches to restricting access to a storage account to a virtual network:

  • Erstellen eines oder mehrerer privater Endpunkte für das Speicherkonto und Beschränken des gesamten Zugriffs auf den öffentlichen Endpunkt:Create one or more private endpoints for the storage account and restrict all access to the public endpoint. Dadurch wird sichergestellt, dass nur von Datenverkehr aus den gewünschten virtuellen Netzwerken auf die Azure-Dateifreigaben im Speicherkonto zugegriffen werden kann.This ensures that only traffic originating from within the desired virtual networks can access the Azure file shares within the storage account.
  • Beschränken des öffentlichen Endpunkts auf ein einzelnes virtuelles Netzwerk (oder auf mehrere):Restrict the public endpoint to one or more virtual networks. Hierzu werden sogenannte Dienstendpunkte des virtuellen Netzwerks verwendet.This works by using a capability of the virtual network called service endpoints. Wenn Sie den Datenverkehr für ein Speicherkonto über einen Dienstendpunkt beschränken, erfolgt der Zugriff auf das Speicherkonto weiterhin über die öffentliche IP-Adresse.When you restrict the traffic to a storage account via a service endpoint, you are still accessing the storage account via the public IP address.

Hinweis

NFS-Freigaben können nicht über die öffentliche IP-Adresse auf den öffentlichen Endpunkt des Speicherkontos zugreifen, sie können auf den öffentlichen Endpunkt des Speicherkontos nur mithilfe virtueller Netzwerke zugreifen.NFS shares cannot access the storage account's public endpoint via the public IP address, they can only access the storage account's public endpoint using virtual networks. NFS-Freigaben können auf das Speicherkonto auch mithilfe privater Endpunkte zugreifen.NFS shares may also access the storage account using private endpoints.

Weitere Informationen zum Konfigurieren der Speicherkontofirewall finden Sie unter Konfigurieren von Azure Storage-Firewalls und virtuellen Netzwerken.To learn more about how to configure the storage account firewall, see configure Azure storage firewalls and virtual networks.

Verschlüsselung während der ÜbertragungEncryption in transit

Wichtig

In diesem Abschnitt wird die Verschlüsselung während der Übertragung für SMB-Freigaben behandelt.This section covers encryption in transit details for SMB shares. Ausführliche Informationen zur Verschlüsselung während der Übertragung mit NFS-Freigaben finden Sie unter Sicherheit.For details regarding encryption in transit with NFS shares, see Security.

Standardmäßig ist in allen Azure-Speicherkonten die Verschlüsselung während der Übertragung aktiviert.By default, all Azure storage accounts have encryption in transit enabled. Das bedeutet Folgendes: Wenn Sie eine Dateifreigabe über SMB einbinden oder über FileREST darauf zugreifen (per Azure-Portal, PowerShell/CLI oder Azure-SDKs), lässt Azure Files die Verbindung nur dann zu, wenn sie über SMB 3.0 oder höher mit Verschlüsselung oder über HTTPS hergestellt wird.This means that when you mount a file share over SMB or access it via the FileREST protocol (such as through the Azure portal, PowerShell/CLI, or Azure SDKs), Azure Files will only allow the connection if it is made with SMB 3.0+ with encryption or HTTPS. Clients, die SMB 3.0 nicht unterstützen, oder Clients, die zwar SMB 3.0, aber nicht die SMB-Verschlüsselung unterstützen, können die Azure-Dateifreigabe nicht einbinden, wenn die Verschlüsselung während der Übertragung aktiviert ist.Clients that do not support SMB 3.0 or clients that support SMB 3.0 but not SMB encryption will not be able to mount the Azure file share if encryption in transit is enabled. Weitere Informationen dazu, welche Betriebssysteme SMB 3.0 mit Verschlüsselung unterstützen, finden Sie in der ausführlichen Dokumentation zu Windows, macOS und Linux.For more information about which operating systems support SMB 3.0 with encryption, see our detailed documentation for Windows, macOS, and Linux. Alle aktuellen PowerShell-, CLI- und SDK-Versionen unterstützen HTTPS.All current versions of the PowerShell, CLI, and SDKs support HTTPS.

Sie können die Verschlüsselung während der Übertragung für ein Azure-Speicherkonto deaktivieren.You can disable encryption in transit for an Azure storage account. Wenn die Verschlüsselung deaktiviert ist, lässt Azure Files auch SMB 2.1, SMB 3.0 ohne Verschlüsselung und nicht verschlüsselte FileREST-API-Aufrufe über HTTP zu.When encryption is disabled, Azure Files will also allow SMB 2.1, SMB 3.0 without encryption, and un-encrypted FileREST API calls over HTTP. Der Hauptgrund für die Deaktivierung der Verschlüsselung während der Übertragung ist die Unterstützung einer älteren Anwendung, die unter einem älteren Betriebssystem wie z. B. Windows Server 2008 R2 oder einer älteren Linux-Distribution ausgeführt werden muss.The primary reason to disable encryption in transit is to support a legacy application that must be run on an older operating system, such as Windows Server 2008 R2 or older Linux distribution. Azure Files lässt nur SMB 2.1-Verbindungen innerhalb der gleichen Region zu, in der sich auch die Azure-Dateifreigabe befindet. Ein SMB 2.1-Client außerhalb der Azure-Region der Azure-Dateifreigabe – z. B. ein lokales System oder eine andere Azure-Region – kann nicht auf die Dateifreigabe zugreifen.Azure Files only allows SMB 2.1 connections within the same Azure region as the Azure file share; an SMB 2.1 client outside of the Azure region of the Azure file share, such as on-premises or in a different Azure region, will not be able to access the file share.

Weitere Informationen zur Verschlüsselung während der Übertragung finden Sie unter Vorschreiben einer sicheren Übertragung in Azure Storage.For more information about encryption in transit, see requiring secure transfer in Azure storage.

Weitere InformationenSee also