Azure Files im Unternehmen einsetzen (1)

Lesezeit
4 Minuten
Bis jetzt gelesen

Azure Files im Unternehmen einsetzen (1)

04.07.2022 - 00:00
Veröffentlicht in:
Azure Files unterstützt Einsatzszenarien, in denen klassische SMB-Dateifreigaben zugänglich gemacht werden sollen. In der Cloud gelagert sind diese Daten dann per verbundenem Laufwerk nutzbar und Dateioperationen lassen sich wie gewohnt vom Dateiexplorer oder Finder ausführen. Wir zeigen mögliche Einsatzgebiete von Azure Files und deren Einrichtung. Im ersten Teil der Workshopserie werfen wir einen Blick auf die Grundlagen des Diensts und wie Sie ihn einrichten.
Azure Storage ist seit einigen Jahren mit den bekannten Speichertypen am Markt: Blob Storage wird für hochskalierende text- oder binärbasierte Dateien genutzt und dient primär als objektorientierter Speicher. Queues bilden die Grundlage der Kommunikation zwischen Applikationen und Tables sind NoSQL-Speicher für schemaloses Speichern von strukturierten Daten.

Blob Storage ist der zentrale Service, der im Hintergrund weiterer Dienste wie zum Beispiel Azure Disks steht. VM-Daten werden wie gewohnt in einer virtuellen Harddisk gespeichert und dann in einem Storage-Account im Blob-Speicher abgelegt. Blob Storage wird ebenfalls ausgiebig von Applikationen oder Webdiensten genutzt, um Daten wie Bilder zugänglich zu machen.

Die Erreichbarkeit des Blob Storage für interne Zwecke, als Ersatz für einen Dateiserver für Endbenutzer lässt allerdings etwas zu wünschen übrig, da der Dateizugriff, wenn nicht selbst automatisiert, nur versierten Endbenutzern zugänglich ist. Meist erfordert das weitere Tools, die den Blob Storage dann endbenutzerfreundlich darstellen. Natürlich gibt es Projekte wie Storage Explorer oder AzCopy, die Einsicht und Kopieren der Dateien ermöglichen und keine Einführung in das Azure-Portal bedingen. Komfortabel und vor allem benutzerfreundlich ist das trotzdem nicht – das ist aber auch nicht Sinn und Zweck dieser Storage-Variante.

Wie lokal gespeichert
Doch Blob hat einen Bruder, der für diese Einsatzzwecke eine Lösung verspricht: Azure Files [1]. Microsoft ermöglicht es so, Dateien in Azure auf Cloud-Storage zu kopieren und diese Dateien über Dateifreigaben zu nutzen. Gespeicherte Dateien sind dabei über das SMB-Protokoll erreichbar, was in Windows, macOS und Linux das Einbinden über klassische, verbundene Laufwerke einfach macht.

Dabei werden übliche Dateioperationen, wie das Lesen und Schreiben von Dateien, das Einbinden der Freigabe als Laufwerk und die Nutzung über Dateiexplorer, CMD oder die PowerShell in Windows sowie erweiterte Funktionen wie die Dateihistorie im Dateiexplorer unterstützt. Für Endbenutzer fühlt es sich so an, als arbeiteten sie mit einem normalen Dateiserver.


Bild 1: Die Dateifreigaben sind in den Eigenschaften des Storage-Accounts im Azure-Portal zu konfigurieren.

Die Einsatzszenarien und die Unterscheidung zur Verwendung vom klassischen Blob Storage sind damit klar: Endbenutzern oder auch Entwicklern wird Zugriff auf Nutzdaten inklusive der eingebauten Windows-Funktionen für Dateifreigaben, Dateihistorie und Drag-and-Drop gegeben. Für Azure Files sind ebenfalls hierarchische Ordnerstrukturen erlaubt, die das Sortieren und Ordnen von Dateien ermöglichen.

Azure Files unterstützt das SMB-Protokoll, das in der Windows-Welt bestens bekannt ist und in macOS und Linux via CIFS angesprochen und genutzt wird. Die Cloud unterstützt dabei die SMB-Versionen 2.1 und 3.0, was eine effiziente Anbindung von Windows oder Linux erlaubt. Neben SMB lassen sich Daten auch über die REST-API schreiben, lesen und anderweitig modifizieren. Für jeden Fileshare erlaubt Microsoft eine Kapazität von maximal 5 TByte an Daten, wobei eine einzelne Datei maximal 1 TByte groß sein darf.

Besonders viel Performance in Form von IOPS verspricht das im Moment im Preview-Stadium befindliche Azure Files Premium. Wo Azure Files bei 1000 IOPS den Datenhahn nach unten reguliert, lässt Microsoft bei der Premiumvariante die Leitung offen. Für I/O-intensive Applikationen betreibt Microsoft die Premium-Variante auf SSDs der neuesten Generation – und kitzelt dabei eine bis zu 100fach höhere IOPS-Rate heraus. Damit wird Azure File Premium auch ein interessanter Kandidat für weitere, I/O-intensive Szenarien.


Azure Files einrichten
Die Einrichtung von Azure Files könnte einfacher nicht sein: Die PowerShell, das Azure Command Line Interface (CLI) und das Azure-Portal sind gleichermaßen hierfür nutzbar. Azure Files lassen sich in einem bestehenden oder neuen Storage-Account anlegen. Dieser Account dient dann als logischer Container für den Speicherdienst und muss vorgängig angelegt sein.

Wie bei Azure üblich wird der Fileshare, wie auch der Storage-Account, einer Resource Group zugewiesen. Die Resource Group ist entscheidend, da sie über den Erstellungsort und damit die Beheimatung der Dateien im Fileshare entscheidet. Liegt die Resource Group in "West Europe", werden auch die resultierenden Datei-Container dort liegen. Die Region ist entscheidend, wenn Sie die Daten vorwiegend regional nutzen wollen und lange Ladezeiten oder Latenzen vermeiden wollen.

Sind Sie so weit, müssen Sie, wie bereits beim Storage Account, auch den Namen für den Fileshare in Kleinbuchstaben eingeben. Als zweite Option können Sie noch eine Speicherquota zwischen 0 und 5120 GByte definieren. Ohne Eingrenzung stehen die gesamten 5 TByte zur freien Verfügung – dies ist zwar nett, kann aber wiederum zu unerwünschten Kosten führen, wenn die Dateifreigabe vollständig gefüllt wird.

Bild 2: Die Eigenschaften der Dateifreigabe sowie die Quota-Einstellungen sind im Azure-Portal hinterlegt.

In der PowerShell sind die Cmdlets des "Azure Resource Manager" (ARM) erforderlich, die alle Kommandos für das Erstellen einer Azure-basierten Dateifreigabe beinhalten. Der folgende Satz an Kommandos erstellt die Freigabe "devtools" im existierenden Storage-Account mit dem Namen "filesharedevstoracc":
$storageContext = New-AzureStorageContext "filesharedevstoracc" 
"+VeGcAYxD+hg/DIE1rchAcwu0Wh1ZZpUksueEDh/wd8PQTpKeczssM5v7Enlvrhcvu65D81eomQ=="

$share = New-AzureStorageShare "devtools" -Context $storageContext
Der Access Key für den Storage-Account, der für die Erstellung notwendig ist, findet sich im Azure-Portal unter "Storage Account / Settings / Access Keys". Die Navigation dahin erfolgt über "All Services" mit der Suche nach "Storage Accounts". Haben Sie die Azure-PowerShell-Module nicht installiert, können Sie die Befehle im Übrigen auch über die Azure Cloud Shell direkt im Portal ausführen.

Ist die Dateifreigabe in Azure erstellt, sollten Sie diese auch gleich nützlich einsetzen und im Dateiexplorer verbinden. Um die Verbindung herzustellen, benötigen Sie lediglich die Adresse, einen Benutzernamen und ein gültiges Passwort in Form des Azure-Storage-Keys. Die Adresse – in diesem Fall die URL des Fileshares – können Sie jedoch nicht vollständig beliebig wählen. Sie ist stets wie folgt aufgebaut: "https://<Storage-Account-Name>.file.core.windows.net/<File-Share-Name>".

Es ist nicht möglich, die Ressource über einen Custom Domain Name aufzurufen, wie Sie es von lokalen Dateiservern gewohnt sind. Beim Erstellen des Fileshares sollten Sie sich den Storage-Account-Key und den eindeutigen Namen des Storage-Accounts merken. Wenn Sie den Storage-Account für brisante Daten nutzen, etwa Logdateien oder Skripte, die VMs provisionieren, sollten Sie daran denken, den Key des Storage-Accounts regelmäßig zu wechseln. Der Storage-Key ist am Ende nichts anderes als ein sehr langes Passwort.

Nun wählen Sie im Dateiexplorer über "This PC" unter dem "Computer"-Menü den Punkt "Map Network Drive". Im "Map Network Drive"-Assistenten wählen Sie den Laufwerksbuchstaben aus und kopieren den Pfad, unter dem ihre Dateifreigabe erstellt wurde. Als Benutzernamen für die Verbindung geben Sie "AZURE\<Storage-Account-Name>" ein, in unserem Beispiel wäre dies "filesharedevstoracc". Als Passwort nutzen Sie den entsprechenden (langen) Key für den Storage-Account und sind bereits fertig. Das Laufwerk wird unter dem gewünschten Laufwerksbuchstaben eingebunden und die Arbeit kann beginnen. Der Fileshare lässt sich ganz normal über den Windows Explorer oder auch PowerShell einbinden:
New-SmbMapping -LocalPath F: -RemotePath 
"\\filesharedevstoracc.file.core.windows.net\devtools"
-UserName "filesharedevstoracc"
-Password "+VeGcAYxD+hg/DIE1rchAcwu0Wh1ZZpUksueEDh/
wd8PQTpKeczssM5v7Enlvrhcvu65D81eomQ=="
Sie können hier aber auch auf das altbewährte "net use" zurückgreifen:
Net use F: "\\filesharedevstoracc. file.core.windows.net\devtools"
/u: "+VeGcAYxD+hg/DIE1rchAcwu0 Wh1ZZpUksueEDh/
d8PQTpKeczssM5v7Enlvrhcvu65D81eomQ=="
Mittels "mount" lässt sich der Fileshare auch unter Linux entsprechend einbinden. Zuvor müssen Sie allerdings die entsprechenden cifs-util-Pakete auf der Linux-Maschine installieren, damit der SMB-Zugriff erfolgreich ist:
sudo mount -t cifs filesharedevstoracc.file.core.windows.net\devtools 
<mount-point> -o vers=<smbversion>,username=<storage-accountname>,
password=<storage-accountkey>,dir_mode=0777,file_mode=0777, serverino
Im ersten Teil der Workshopserie werfen wir einen Blick auf die Grundlagen des Diensts und wie Sie ihn einrichten. In der zweiten Folge geht es um mögliche Einsatzszenarien und wie Sie Files in Windows einbinden und synchronisieren. Im dritten Teil des Workshops befassen wir uns mit dem Erzeugen von Snapshots und schildern, wie Sie Zugriffe über Azure AD Identities absichern.


jp/ln

[1] https://docs.microsoft.com/en-us/azure/storage/common/storage-introduction

Ähnliche Beiträge

Im Test: Heimdal Patch & Asset Management

Ein zeitgemäßes Patchmanagement darf sich angesichts der vielfältigen Bedrohungen nicht allein auf die Microsoft-Produkte konzentrieren, sondern muss sich auch verbreiteten Drittanbieteranwendungen widmen. Der dänische Anbieter Heimdal Security geht noch einen Schritt weiter und hat eine ganze Suite zum Schutz vor Cyberbedrohungen im Programm. Mit dem Fokus auf das Patchen haben wir uns das cloudbasierte Angebot genauer angesehen.

Device-Management mit Microsoft Intune und Office 365 - Zwei Wege, ein Ziel

Um Geräte im Netzwerk oder mobile Geräte, die auf das Netzwerk zugreifen, zu verwalten, bietet sich für Unternehmen entweder Office 365 Mobile Device Management oder Microsoft Intune an. Ein Unterschied zwischen den beiden Lösungen besteht vor allem im Preis. Während das Device-Management zu vielen Abonnements in Office 365 gehört, muss Microsoft Intune gesondert abonniert werden. In diesem Beitrag stellen wir beide Ansätze vor.