Diese Architektur veranschaulicht eine Möglichkeit, Dateifreigaben in der Cloud für lokale Benutzer und Anwendungen bereitzustellen, die über einen privaten Endpunkt auf Dateien auf Windows Server zugreifen.
Aufbau
Laden Sie eine Visio-Datei dieser Architektur herunter.
Workflow
Diese Lösung synchronisiert den lokalen AD DS und die cloudbasierte Microsoft Entra ID-Instanz. Die Integration steigert auch die Produktivität Ihrer Benutzer, da für den Zugriff auf die Cloud und lokale Ressourcen nur eine Identität benötigt wird.
Microsoft Entra Connect ist die lokale Microsoft-Anwendung, die die Synchronisierung übernimmt. Weitere Informationen zu Microsoft Entra Connect finden Sie unter Was ist Microsoft Entra Connect? und Microsoft Entra Connect-Synchronisierung: Grundlagen und Anpassung der Synchronisierung.
Azure Virtual Network stellt ein sicheres privates Netzwerk in der Cloud bereit. Für diese Lösung verfügt es über mindestens zwei Subnetze, eines für Azure DNS und eines für einen privaten Endpunkt zum Zugriff auf die Dateifreigabe.
Entweder das VPN oder Azure ExpressRoute stellt sichere Verbindungen zwischen dem lokalen Netzwerk und dem virtuellen Netzwerk in der Cloud her. Wenn Sie ein VPN verwenden, erstellen Sie ein Gateway mithilfe von Azure VPN Gateway. Wenn Sie ExpressRoute verwenden, erstellen Sie ein virtuelles ExpressRoute-Netzwerkgateway. Weitere Informationen finden Sie unter Was ist VPN Gateway? und Informationen zu ExpressRoute-Gateways für virtuelle Netzwerke.
Azure Files stellt eine Dateifreigabe in der Cloud bereit. Dafür ist ein Azure-Speicherkonto erforderlich. Weitere Informationen zu Dateifreigaben finden Sie unter Was ist Azure Files?.
Ein privater Endpunkt ermöglicht den Zugriff auf die Dateifreigabe. Ein privater Endpunkt ist wie eine Netzwerkkarte (NIC) in einem Subnetz, die an einen Azure-Dienst angeschlossen ist. In diesem Fall ist der Dienst die Dateifreigabe. Weitere Informationen zu privaten Endpunkten finden Sie unter Verwenden privater Endpunkte für Azure Storage.
Der lokale DNS-Server löst IP-Adressen auf. Allerdings löst Azure DNS den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) der Azure-Dateifreigabe auf. Alle DNS-Abfragen an Azure DNS stammen aus dem virtuellen Netzwerk. Im virtuellen Netzwerk ist ein DNS-Proxy, um diese Abfragen an Azure DNS weiterzuleiten. Weitere Informationen finden Sie unter Lokale Workloads mit DNS-Weiterleitung.
Sie können den DNS-Proxy auf einem Windows- oder Linux-Server bereitstellen, oder Sie können Azure Firewall verwenden. Azure Firewall hat den Vorteil, dass Sie keine VM verwalten müssen. Informationen dazu finden Sie unter DNS-Einstellungen für Azure Firewall.
Der lokale kundenspezifische DNS ist so konfiguriert, dass der DNS-Datenverkehr über eine bedingte Weiterleitung an Azure DNS geleitet wird. Informationen zur bedingten Weiterleitung finden Sie auch in Lokale Workloads mit DNS-Weiterleitung.
Die lokale AD DS authentifiziert den Zugriff auf die Dateifreigabe. Dies ist ein vierstufiger Prozess, wie in Teil 1: Aktivieren der AD DS-Authentifizierung für Ihre Dateifreigaben in Azure beschrieben wird.
Komponenten
- Bei Azure Storage handelt es sich um eine Reihe hochgradig skalierbarer und sicherer Clouddienste für Daten, Apps und Workloads. Dazu gehören Azure Files, Azure Table Storage und Azure Queue Storage.
- Azure Files bietet vollständig verwaltete Dateifreigaben in einem Azure Storage-Konto. Auf die Dateien kann von der Cloud oder der lokalen Umgebung aus zugegriffen werden. Windows-, Linux- und macOS-Bereitstellungen können Azure-Dateifreigaben gleichzeitig einbinden. Für den Dateizugriff wird das Standardprotokoll Server Message Block (SMB) verwendet.
- Azure Virtual Network ist der grundlegende Baustein für private Netzwerke in Azure. Sie bietet die Umgebung für Azure-Ressourcen wie VMs, um sicher miteinander, mit dem Internet und mit lokalen Netzwerken zu kommunizieren.
- Azure ExpressRoute erweitert lokale Netzwerke über eine private Verbindung in die Microsoft-Cloud.
- Azure VPN Gateway verbindet lokale Netzwerke über Site-to-Site-VPNs mit Azure in etwa so, wie wenn Sie eine Verbindung mit einer Remote-Geschäftsstelle herstellen. Die Konnektivität ist sicher und verwendet die Standardprotokolle Internet Protocol Security (IPsec) und Internet Key Exchange (IKE).
- Azure Private Link stellt private Konnektivität zwischen einem virtuellen Netzwerk und Platform-as-a-Service(PaaS)-Diensten in Azure, kundeneigenen Diensten oder Diensten von Microsoft-Partnern her. Dadurch wird die Netzwerkarchitektur vereinfacht und die Verbindung zwischen Endpunkten in Azure wird geschützt, indem die Offenlegung von Daten im öffentlichen Internet verhindert wird.
- Ein privater Endpunkt ist eine Netzwerkschnittstelle, die eine private IP-Adresse aus Ihrem virtuellen Netzwerk verwendet. Sie können private Endpunkte für Ihre Azure Storage-Konten verwenden, um Clients in einem virtuellen Netzwerk den Zugriff auf Daten über eine private Verbindung zu ermöglichen.
- Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst zum Schutz Ihrer Azure Virtual Network-Ressourcen. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Sie haben auch die Möglichkeit, Azure Firewall als DNS-Proxy zu konfigurieren. Ein DNS-Proxy ist ein Vermittler für DNS-Anforderungen von virtuellen Clientcomputern an einen DNS-Server.
Szenariodetails
Beachten Sie das folgende häufige Szenario: Ein lokaler Computer, auf dem Windows Server ausgeführt wird, wird verwendet, um Dateifreigaben für Benutzer und Anwendungen bereitzustellen. Active Directory-Domäne Services (AD DS) wird verwendet, um die Dateien zu schützen, und ein lokaler DNS-Server verwaltet Netzwerkressourcen. Alles funktioniert innerhalb desselben privaten Netzwerks.
Gehen Sie nun davon aus, dass Sie Dateifreigaben in die Cloud erweitern müssen.
Die hier beschriebene Architektur veranschaulicht, wie Azure diese Anforderung kosteneffizient erfüllen kann und gleichzeitig die Nutzung Ihres lokalen Netzwerks, AD DS und DNS aufrechterhalten kann.
In diesem Setup wird Azure Files verwendet, um die Dateifreigaben zu hosten. Ein Standort-zu-Standort-VPN oder Azure ExpressRoute bietet erweiterte Sicherheitsverbindungen zwischen dem lokalen Netzwerk und dem virtuellen Azure-Netzwerk. Benutzer und Anwendungen greifen über diese Verbindungen auf die Dateien zu. Microsoft Entra ID und Azure DNS arbeiten mit lokalen AD DS und DNS zusammen, um den sicheren Zugriff zu gewährleisten.
Wenn dieses Szenario für Sie gilt, können Sie cloudbasierte Dateifreigaben für Ihre lokalen Benutzer zu geringen Kosten bereitstellen und gleichzeitig den erweiterten Sicherheitszugriff über Ihre vorhandene AD DS- und DNS-Infrastruktur beibehalten.
Mögliche Anwendungsfälle
- Der Dateiserver wird in die Cloud verlagert, aber die Benutzer müssen lokal bleiben.
- Anwendungen, die in die Cloud migriert werden, müssen auf lokale Dateien sowie auf Dateien zugreifen, die in die Cloud migriert werden.
- Sie müssen die Kosten senken, indem Sie Dateien in der Cloud speichern.
Überlegungen
Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.
Zuverlässigkeit
Zuverlässigkeit stellt sicher, dass Ihre Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie in der Überblick über die Säule „Zuverlässigkeit“.
- Azure Storage speichert immer mehrere Kopien Ihrer Daten in derselben Zone, sodass sie vor geplanten und ungeplanten Ausfällen geschützt sind. Es gibt Optionen zum Erstellen zusätzlicher Kopien in anderen Zonen oder Regionen. Weitere Informationen finden Sie unter Azure Storage-Redundanz.
- Azure Firewall bietet integrierte Hochverfügbarkeit. Weitere Informationen finden Sie unter Azure Firewall Standard-Features.
Sicherheit
Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.
Diese Artikel enthalten Informationen zur Sicherheit für Azure-Komponenten:
- Azure-Sicherheitsbaseline für Azure Storage
- Azure-Sicherheitsbaseline für Azure Private Link
- Azure-Sicherheitsbaseline für Virtual Network
- Azure-Sicherheitsbaseline für Azure Firewall
Kostenoptimierung
Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.
Nutzen Sie den Azure-Preisrechner, falls Sie eine Kostenschätzung für Azure-Produkte und -Konfigurationen benötigen.
Diese Artikel enthalten Informationen zu den Kosten von Azure-Komponenten:
- Azure Files – Preise
- Azure Private Link: Preise
- Azure Virtual Network – Preise
- Azure Firewall – Preise
Effiziente Leistung
Leistungseffizienz ist die Fähigkeit Ihrer Workload, auf effiziente Weise eine den Anforderungen der Benutzer entsprechende Skalierung auszuführen. Weitere Informationen finden Sie unter Übersicht über die Säule „Leistungseffizienz“.
- Ihre Azure Storage-Konten enthalten alle Ihre Azure Storage-Datenobjekte, einschließlich Dateifreigaben. Ein Speicherkonto stellt einen eindeutigen Namespace für seine Daten bereit, auf den von jedem Ort der Welt aus über HTTP oder HTTPS zugegriffen werden kann. Für diese Architektur enthält Ihr Speicherkonto Dateifreigaben, die von Azure Files bereitgestellt werden. Für eine optimale Leistung wird Folgendes empfohlen:
- Speichern Sie Datenbanken, Blobs und so weiter nicht in Speicherkonten, die Dateifreigaben enthalten.
- Verwenden Sie nicht mehr als eine hochaktive Dateifreigabe pro Speicherkonto. Sie können Dateifreigaben, die weniger aktiv sind, in demselben Speicherkonto gruppieren.
- Wenn Ihre Arbeitslast große Mengen an IOPS, extrem schnelle Datenübertragungsgeschwindigkeiten oder sehr niedrige Latenzzeiten erfordert, sollten Sie sich für Premium-Storage-Konten (FileStorage) entscheiden. Ein allgemeines v2-Standardkonto ist für die meisten SMB-Dateifreigabe-Arbeitslasten geeignet. Informationen zu Skalierbarkeits- und Leistungsvon Dateifreigaben finden Sie unter Skalierbarkeits- und Leistungsziele für Azure Files.
- Verwenden Sie kein Universell V1-Speicherkonto, da diesem wichtige Funktionen fehlen. Führen Sie stattdessen ein Upgrade auf ein Universell V2-Speicherkonto durch. Die Speicherkontotypen werden in der Speicherkontoübersicht beschrieben.
- Achten Sie auf Größe, Geschwindigkeit und andere Einschränkungen. Weitere Informationen finden Sie unter Grenzwerte für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.
- Sie können nur wenig tun, um die Leistung von Nicht-Speicherkomponenten zu verbessern, außer sicherzustellen, dass Ihre Bereitstellung die Grenzwerte, Kontingente und Einschränkungen einhält, die unter Limits, Kontingente und Einschränkungen für Azure-Abonnements und -Dienste beschrieben sind.
- Informationen zur Skalierbarkeit für Azure-Komponenten finden Sie unter Limits, Kontingente und Einschränkungen für Azure-Abonnements und -Dienste.
Beitragende
Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:
Hauptautor:
- Rudnei Oliveira | Senior Azure Security Engineer
Nächste Schritte
- Schnellstart: Erstellen eines virtuellen Netzwerks im Azure-Portal
- Was ist VPN Gateway?
- Tutorial: Erstellen und Verwalten eines VPN-Gateways über das Azure-Portal
- Azure Enterprise Cloud-Dateifreigabe
- Azure Virtual Network – Konzepte und bewährte Methoden
- Planung für eine Azure Files-Bereitstellung
- Verwenden privater Endpunkte für Azure Storage
- DNS-Konfiguration für private Azure-Endpunkte
- DNS-Einstellungen für Azure Firewall
- Vergleichen von selbstverwalteten Active Directory Domain Services, Microsoft Entra ID und verwalteten Microsoft Entra Domain Services