Einführung in verwaltete Azure-Datenträger

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen

Verwaltete Azure-Datenträger sind Speichervolumes auf Blockebene, die von Azure verwaltet und mit Azure-Virtual Machines verwendet werden. Verwaltete Datenträger sind wie physische Datenträger in einem lokalen Server, aber der Unterschied besteht darin, dass sie virtualisiert sind. Bei verwalteten Datenträgern müssen Sie lediglich die Datenträgergröße sowie den Datenträgertyp angeben und den Datenträger bereitstellen. Nachdem Sie den Datenträger bereitgestellt haben, übernimmt Azure den Rest.

Die verfügbaren Typen verwalteter Datenträger sind Ultra Disks, SSD Premium (SSDs), SSD Standard und Standard-Festplattenlaufwerke (Hard Disk Drives, HDDs). Weitere Informationen zu jedem Datenträgertyp finden Sie unter Von Azure verwaltete Datenträgertypen.

Eine Alternative besteht darin, Azure Elastic SAN als Speicher für Ihren virtuellen Computer (VM) zu verwenden. Mit Elastic SAN können Sie den Speicher für alle Workloads in einem einzigen Speicher-Back-End konsolidieren. Diese Wahl kann kostengünstiger sein, wenn Sie viele umfangreiche, E/A-intensive Workloads und Datenbanken auf oberster Ebene haben. Weitere Informationen finden Sie unter Was ist Azure Elastic SAN?.

Vorteile von verwalteten Datenträgern

Sehen wir uns einige der Vorteile an, in deren Genuss Sie bei der Verwendung von verwalteten Datenträgern kommen.

Hohe Dauerhaftigkeit und Verfügbarkeit

Verwaltete Datenträger sind auf eine Verfügbarkeit von 99,999% ausgelegt. Verwaltete Datenträger erreichen diese Verfügbarkeit, indem drei Replikate Ihrer Daten bereitgestellt werden. Wenn bei einem oder sogar bei zwei Ihrer Replikate Probleme auftreten, stellen Sie mit den verbleibenden Replikaten die Persistenz Ihrer Daten und eine hohe Fehlertoleranz sicher.

Mit dieser Architektur konnte Azure für Infrastructure-as-a-Service-Datenträger (IaaS) durchgängig eine hohe Dauerhaftigkeit mit einer auf das Jahr umgerechneten Fehlerrate von 0 % bereitstellen. LRS-Datenträger (Lokal redundanter Speicher) bieten eine Dauerhaftigkeit von mindestens 99.999999999 % (11 Neunen) über ein Jahr. ZRS-Datenträger (Zonenredundanter Speicher) bieten eine Dauerhaftigkeit von mindestens 99.9999999999 % (12 Neunen) über ein Jahr.

Einfache und skalierbare VM-Bereitstellung

Mithilfe von verwalteten Datenträgern können Sie bis zu 50.000 VM-Datenträger eines Typs in einem Abonnement pro Region erstellen. Sie können dann Tausende von virtuellen Computern in einem einzigen Abonnement erstellen.

Verwaltete Datenträger erhöhen die Skalierbarkeit von VM-Skalierungsgruppen. Sie können bis zu 1.000 virtuelle Computer in einer VM-Skalierungsgruppe erstellen, indem Sie ein Azure Marketplace-Image oder ein Azure Compute Gallery-Image mit verwalteten Datenträgern verwenden.

Integration in Verfügbarkeitsgruppen

Verwaltete Datenträger werden in Verfügbarkeitsgruppen integriert, um sicherzustellen, dass die Datenträger von virtuellen Computern in einer Verfügbarkeitsgruppe ausreichend voneinander isoliert sind, um einzelne Fehlerquellen zu vermeiden.

Datenträger werden automatisch in unterschiedliche Speicherskalierungseinheiten („Stamps“) platziert. Wenn ein Stamp aufgrund eines Hardware- oder Softwarefehlers ausfällt, treten nur für die VM-Instanzen mit Datenträgern auf diesen Stamps Fehler auf.

Angenommen, Sie führen eine Anwendung auf fünf virtuellen Computern aus, und die virtuellen Computer sind in einer Verfügbarkeitsgruppe enthalten. Die Datenträger für diese virtuellen Computer werden nicht alle im selben Stamp gespeichert. Wenn ein Stamp ausfällt, werden die anderen Instanzen der Anwendung weiterhin ausgeführt.

Integration in Verfügbarkeitszonen

Verwaltete Datenträger unterstützen Verfügbarkeitszonen, wodurch Ihre Anwendungen vor Ausfällen von Rechenzentren geschützt werden.

Verfügbarkeitszonen sind eindeutige physische Standorte in einer Azure-Region. Jede Zone besteht aus mindestens einem Datencenter mit eigener Stromversorgung, Kühlung und Netzwerk. Zur Gewährleistung der Resilienz sind in allen aktivierten Regionen mindestens drei separate Zonen vorhanden.

Weitere Informationen zur Vereinbarung zum Servicelevel (Service-Level Agreement, SLA) für die VM-Betriebszeit mit Verfügbarkeitszonen finden Sie auf der Seite für Azure-SLAs.

Azure Backup-Unterstützung

Zum Schutz vor regionalen Katastrophen verwenden Sie Azure Backup, um einen Sicherungsauftrag mit zeitbasierten Sicherungen und Richtlinien zur Sicherungsaufbewahrung zu erstellen. So können Sie dann nach Belieben Wiederherstellungen von virtuellen Computern oder verwalteten Datenträgern ausführen.

Azure Backup unterstützt derzeit Datenträgergrößen von bis zu 32 Tebibyte (TiB). Weitere Informationen zur Unterstützung der Azure-VM-Sicherung.

Azure Disk Backup

Azure Backup bietet Azure Disk Backup als native, cloudbasierte Sicherungslösung, die Ihre Daten auf verwalteten Datenträgern schützt. Sie können diese Lösung verwenden, um den Schutz für verwaltete Datenträger in nur wenigen Schritten zu konfigurieren.

Azure Disk Backup bietet die Lebenszyklusverwaltung von Momentaufnahmen für verwaltete Datenträger. Azure Disk Backup automatisiert die regelmäßige Erstellung von Momentaufnahmen und bewahrt sie für eine konfigurierte Dauer mithilfe einer Sicherungsrichtlinie auf. Weitere Informationen finden Sie unter Übersicht über Azure Disk Backup.

Genau abgestimmte Zugriffssteuerung

Sie können die Rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) verwenden, um die spezifischen Berechtigungen für einen verwalteten Datenträger einem oder mehreren Benutzern zuzuweisen.

Verwaltete Datenträger bieten viele verschiedene Vorgänge, z. B. Lesen, Schreiben (Erstellen/Aktualisieren) und Löschen sowie das Abrufen eines SAS-URI (Shared Access Signature) für den Datenträger. Sie haben die Möglichkeit, Personen nur Zugriff auf die Vorgänge zu gewähren, die sie jeweils benötigen, um eine Aufgabe zu erledigen.

Wenn Sie beispielsweise nicht zulassen möchten, dass eine Person einen verwalteten Datenträger in ein Speicherkonto kopiert, gewähren Sie keinen Zugriff auf die Exportaktion für diesen verwalteten Datenträger. Wenn Sie nicht möchten, dass eine Person einen SAS-URI zum Kopieren eines verwalteten Datenträgers verwendet, erteilen Sie diese Berechtigung nicht dem verwalteten Datenträger.

Möglichkeit zum Hochladen Ihrer VHD

Sie können den direkten Upload verwenden, um Ihre VHD auf einen von Azure verwalteten Datenträger zu übertragen. Bisher umfasste die Übertragung Ihrer Daten das Staging der Daten in einem Speicherkonto. Jetzt sind weniger Schritte erforderlich. Es ist einfacher, lokale virtuelle Computer in Azure und virtuelle Computer auf große verwaltete Datenträger hochzuladen. Der Sicherungs- und Wiederherstellungsvorgang ist ebenfalls vereinfacht.

Sie können Kosten reduzieren, indem Sie Daten direkt auf verwaltete Datenträger hochladen, ohne sie an virtuelle Computer anzufügen. Mit dem direkten Upload können Sie VHDs mit einer Größe von bis zu 32 TiB hochladen.

Weitere Informationen zur Übertragung Ihrer VHD in Azure finden Sie im Artikel zur Azure CLI oder zu Azure PowerShell.

Sicherheit

Sie können die Azure Private Link-Unterstützung für verwaltete Datenträger verwenden, um einen verwalteten Datenträger innerhalb Ihres Netzwerk zu importieren oder zu exportieren. Mit Private Link können Sie einen zeitgebundenen SAS-URI für nicht angefügte verwaltete Datenträger und Momentaufnahmen generieren. Anschließend können Sie diesen SAS-URI verwenden, um die Daten zur regionalen Erweiterung, Notfallwiederherstellung und forensischen Analyse in andere Regionen zu exportieren. Sie können den SAS-URI auch verwenden, um eine VHD aus der lokalen Umgebung direkt auf einen leeren Datenträger hochzuladen.

Mit Private Link können Sie den Export und Import von verwalteten Datenträgern einschränken, sodass er nur innerhalb Ihres virtuellen Azure-Netzwerks erfolgt. Mit Private Link können Sie sicherstellen, dass Ihre Daten nur innerhalb des sicheren Microsoft-Backbone-Netzwerks übertragen werden.

Weitere Informationen zum Aktivieren von Private Link zum Importieren oder Exportieren eines verwalteten Datenträgers finden Sie im Artikel zur Azure CLI oder zum Azure-Portal.

Verschlüsselung

Verwaltete Datenträger bieten zwei Arten von Verschlüsselung. Die erste ist die serverseitige Verschlüsselung, die vom Speicherdienst durchgeführt wird. Die zweite ist Azure Disk Encryption, die Sie für Datenträger für das Betriebssystem und die Daten Ihrer virtuellen Computer aktivieren können.

Serverseitige Verschlüsselung

Die serverseitige Verschlüsselung bietet eine Verschlüsselung ruhender Daten und schützt Ihre Daten, um die Sicherheits- und Compliancevorgaben Ihrer Organisation zu erfüllen. Die serverseitige Verschlüsselung ist standardmäßig für alle verwalteten Datenträger, Momentaufnahmen und Images in allen Regionen aktiviert, in denen Managed Disks verfügbar ist.

Die serverseitige Verschlüsselung verschlüsselt temporäre Datenträger nur, wenn Sie die Verschlüsselung auf dem Host aktivieren. Weitere Informationen finden Sie im Abschnitt Temporärer Datenträger weiter unten in diesem Artikel.

Sie haben die folgenden Optionen für die Schlüsselverwaltung:

  • Von der Plattform verwaltete Schlüssel: Azure verwaltet Ihre Schlüssel für Sie.
  • Vom Kunden verwaltete Schlüssel: Sie verwalten die Schlüssel selbst.

Weitere Informationen finden Sie unter Serverseitige Verschlüsselung von Azure Disk Storage.

Azure-Datenträgerverschlüsselung

Sie können Azure Disk Encryption verwenden, um die Datenträger für das Betriebssystem und die Daten zu verschlüsseln, die von einem virtuellen IaaS-Computer verwendet werden. Diese Verschlüsselung umfasst verwaltete Datenträger.

Auf virtuellen Windows-Computern werden die Laufwerke über die branchenübliche BitLocker-Verschlüsselungstechnologie verschlüsselt. Auf virtuellen Linux-Computern werden die Datenträger über die DM-Crypt-Technologie verschlüsselt. Der Verschlüsselungsvorgang ist in Azure Key Vault integriert, sodass Sie die Datenträger-Verschlüsselungsschlüssel steuern und verwalten können. Weitere Informationen finden Sie unter Azure Disk Encryption für Linux-VMs und Azure Disk Encryption für virtuelle Windows-Computer.

Datenträgerrollen

Es gibt drei Hauptdatenträgerrollen in Azure: der Betriebssystemdatenträger, der Datenträger und der temporäre Datenträger. Diese Rollen werden den Datenträgern zugeordnet, die an Ihren virtuelle Computer angefügt sind.

Grafische Darstellung, die Rollen in Aktion veranschaulicht.

Betriebssystem-Datenträger

Jedem virtuellen Computer ist ein Betriebssystemdatenträger zugeordnet. Dieser Datenträger weist ein vorinstalliertes Betriebssystem auf, das beim Erstellen des virtuellen Computers ausgewählt wurde. Dieser Datenträger enthält das Startvolume.

Im Allgemeinen sollten Sie nur Ihre Betriebssysteminformationen auf dem Betriebssystemdatenträger speichern. Sie sollten alle Anwendungen und Daten auf Datenträgern für Daten speichern. Wenn die Kosten jedoch ein Problem darstellen, können Sie den Betriebssystemdatenträger verwenden, anstatt einen Datenträger für Daten zu erstellen.

Der Betriebssystemdatenträger verfügt über eine maximale Kapazität von 4.095 Gibibyte (GiB). Viele Betriebssysteme werden jedoch standardmäßig mit Master Boot Records (MBRs) partitioniert. Ein MBR beschränkt die nutzbare Größe auf 2 TiB. Wenn Sie mehr als 2 TiB benötigen, erstellen Sie Datenträger, fügen sie an und verwenden sie für die Datenspeicherung. Wenn Sie Daten auf dem Betriebssystemdatenträger speichern müssen und den zusätzlichen Speicherplatz benötigen, konvertieren Sie ihn in GPT (GUID Partition Table). Weitere Informationen zu den Unterschieden zwischen einem MBR und einer GPT für Windows-Bereitstellungen finden Sie unter Häufig gestellte Fragen zu Windows und GPT.

Auf Azure Windows-VMs ist Laufwerk C Ihr Betriebssystemdatenträger und beständiger Speicher, es sei denn, Sie verwenden kurzlebige Betriebssystemdatenträger.

Datenträger

Ein Datenträger für Daten ist ein verwalteter Datenträger, der zum Speichern von Anwendungsdaten oder anderen Daten, die Sie aufbewahren müssen, an einen virtuellen Computer angefügt ist. Datenträger werden als SCSI-Laufwerke registriert und mit einem von Ihnen ausgewählten Buchstaben gekennzeichnet. Die Größe des virtuellen Computers bestimmt die Anzahl der Datenträger für Daten, die Sie anfügen können, und den Typ des Speichers, den Sie zum Hosten der Datenträger verwenden können.

Im Allgemeinen sollten Sie den Datenträger verwenden, um Ihre Anwendungen und Daten zu speichern, anstatt sie auf Betriebssystemdatenträgern zu speichern. Die Verwendung von Datenträgern für Daten zum Speichern von Anwendungen und Daten bietet die folgenden Vorteile gegenüber der Verwendung von Betriebssystemdatenträgern:

  • Verbesserte Sicherung und Notfallwiederherstellung
  • Mehr Flexibilität und Skalierbarkeit
  • Leistungsisolation
  • Einfachere Wartung
  • Verbesserte Sicherheit und Zugriffssteuerung

Weitere Informationen zu diesen Vorteilen finden Sie unter Warum sollte ich den Datenträger für Daten anstelle des Betriebssystemdatenträgers zum Speichern von Anwendungen und Daten verwenden?.

Temporärer Datenträger

Die meisten VMs enthalten einen temporären Datenträger, der kein verwalteter Datenträger ist. Der temporäre Datenträger stellt einen kurzfristigen Speicher für Anwendungen und Prozesse zur Verfügung. Er dient nur zum Speichern von Daten wie Seitendateien, Auslagerungsdateien oder tempdb-Dateien von SQL Server.

Daten auf dem temporären Datenträger können während eines Wartungsereignisses, beim Erneuten Bereitstellen eines virtuellen Computers oder beim Beenden des virtuellen Computers verloren gehen. Während eines erfolgreichen standardmäßigen Neustarts des virtuellen Computers bleiben die Daten auf dem temporären Datenträger erhalten. Weitere Informationen zu VMs ohne temporäre Datenträger finden Sie unter Azure-VM-Größen ohne lokalen temporären Datenträger.

Auf Azure Linux-VMs ist der temporäre Datenträger in der Regel /dev/sdb. Auf virtuellen Windows-Computern ist der temporäre Datenträger standardmäßig Laufwerk D. Der temporäre Datenträger wird nur verschlüsselt, wenn:

  • Für die serverseitige Verschlüsselung die Verschlüsselung auf dem Host aktiviert wird.
  • Für Azure Disk Encryption der Parameter VolumeType auf All unter Windows oder auf EncryptFormatAll unter Linux festgelegt wird.

Momentaufnahmen eines verwalteten Datenträgers

Bei einer Momentaufnahme eines verwalteten Datenträgers handelt es sich um eine schreibgeschützte, absturzkonsistente vollständige Kopie eines verwalteten Datenträgers, die standardmäßig als verwalteter Standarddatenträger gespeichert wird. Mit Momentaufnahmen können Sie Ihre verwalteten Datenträger jederzeit sichern. Diese Momentaufnahmen existieren unabhängig vom Quelldatenträger, und Sie können sie nur zum Erstellen neuer verwalteter Datenträger verwenden.

Momentaufnahmen werden auf Basis der verwendeten Größe in Rechnung gestellt. Wenn Sie beispielsweise eine Momentaufnahme eines verwalteten Datenträgers mit einer bereitgestellten Kapazität von 64 GiB und einer tatsächlichen Datengröße von 10 GiB erstellen, wird diese Momentaufnahme nur für die in Anspruch genommene Datengröße von 10 GiB in Rechnung gestellt. Sie können die verwendete Größe Ihrer Momentaufnahmen im Azure-Nutzungsbericht ansehen. Beispiel: Beträgt die verwendete Datengröße einer Momentaufnahme 10 GiB, wird im täglichen Nutzungsbericht als verbrauchte Menge Folgendes angezeigt: 10 GiB/(31 Tage) = 0,3226.

Weitere Informationen zum Erstellen von Momentaufnahmen für verwaltete Datenträger finden Sie unter Erstellen einer Momentaufnahme einer virtuellen Festplatte.

Bilder

Verwaltete Datenträger unterstützen das Erstellen von verwalteten benutzerdefinierten Images. Sie können ein Image aus Ihrer benutzerdefinierten VHD in einem Speicherkonto oder direkt von einem generalisierten virtuellen Computer (mit Systemvorbereitung) erstellen. Dieses Image enthält alle verwalteten Datenträger, die einem virtuellen Computer zugeordnet sind, einschließlich der Datenträger für das Betriebssystem und für die Daten. Ein verwaltetes benutzerdefiniertes Image ermöglicht die Erstellung von Hunderten von virtuellen Computern, ohne dass Speicherkonten kopiert oder verwaltet werden müssen.

Weitere Informationen zum Erstellen von Images finden Sie unter Erstellen eines verwalteten Legacyimages eines generalisierten virtuellen Computers in Azure.

Vergleich von Images und Momentaufnahmen

Es ist wichtig, den Unterschied zwischen Images und Momentaufnahmen zu verstehen. Bei verwalteten Datenträgern können Sie ein Image eines generalisierten virtuellen Computers erstellen, dessen Zuordnung Sie aufgehoben haben. Dieses Image umfasst alle Datenträger, die der VM angefügt sind. Sie können dieses Image zum Erstellen eines virtuellen Computers verwenden.

Eine Momentaufnahme ist eine Kopie eines Datenträgers zu einem bestimmten Zeitpunkt. Sie gilt nur für einen einzigen Datenträger. Wenn Sie eine VM mit einem einzigen Datenträger (Betriebssystem-Datenträger) verwenden, können Sie eine Momentaufnahme oder ein Image davon erstellen und dann entweder aus der Momentaufnahme oder dem Image eine VM erstellen.

Eine Momentaufnahme bezieht sich nur auf den Datenträger, auf dem sie gespeichert ist. Die Verwendung von Momentaufnahmen in Szenarien, die die Koordination mehrerer Datenträger erfordern, z. B. das Striping, ist problematisch. Momentaufnahmen müssten sich miteinander abstimmen, und dies wird derzeit nicht unterstützt.

Datenträgerzuordnung und Leistung

Die folgende schematische Darstellung zeigt die Echtzeitzuordnung von Bandbreite und E/A-Vorgängen pro Sekunde (I/O Operations Per Second, IOPS) für Datenträger mit drei Pfaden, die E/A verwenden können.

Schematische Darstellung eines dreistufigen Bereitstellungssystems, das die Zuordnung von Bandbreite und IOPS zeigt.

Der erste E/A-Pfad ist der Pfad des nicht zwischengespeicherten verwalteten Datenträgers. Ein E/A-Vorgang verwendet diesen Pfad, wenn Sie einen verwalteten Datenträger verwenden und die Hostzwischenspeicherung auf none festlegen. Ein E/A-Vorgang, der diesen Pfad verwendet, wird basierend auf der Bereitstellung auf Datenträgerebene und dann auf VM-Netzwerkebene für IOPS und Durchsatz ausgeführt.

Der zweite E/A-Pfad ist der zwischengespeicherte Pfad für verwaltete Datenträger. Die zwischengespeicherte E/A für verwaltete Datenträger verwendet eine SSD, die sich in der Nähe des virtuellen Computers befindet. Diese SSD verfügt über eigene bereitgestellte IOPS und einen eigenen bereitgestellten Durchsatz und wird in der schematischen Darstellung als „Bereitstellung auf SSD-Ebene“ angezeigt.

Wenn ein zwischengespeicherter verwalteter Datenträger einen Lesevorgang initiiert, überprüft die Anforderung zunächst, ob sich die Daten auf der Server-SSD-Datei befinden. Wenn die Daten nicht vorhanden sind, wird dadurch ein Cachefehler erstellt. Die E/A wird dann basierend auf der Bereitstellung auf SSD-Ebene, Bereitstellung auf Datenträgerebene und dann auf VM-Netzwerkebene für IOPS und Durchsatz ausgeführt.

Wenn die Server-SSD Lesevorgänge für die zwischengespeicherte E/A initiiert, die auf der Server-SSD vorhanden sind, wird ein Cachetreffer erstellt. Die E/A wird dann basierend auf der Bereitstellung auf SSD-Ebene ausgeführt. Lesevorgänge, die ein zwischengespeicherter verwalteter Datenträger initiiert, folgen immer dem Pfad eines Cachefehlers. Sie müssen die Bereitstellung auf SSD-Ebene, auf Datenträgerebene und VM-Netzwerkebene durchlaufen.

Der dritte Pfad ist für den lokalen/temporären Datenträger. Dies ist nur auf virtuellen Computern verfügbar, die lokale/temporäre Datenträger unterstützen. Ein E/A-Vorgang, der diesen Pfad verwendet, wird basierend auf der Bereitstellung auf SSD-Ebene für IOPS und Durchsatz ausgeführt.

Die folgende schematische Darstellung zeigt ein Beispiel für diese Einschränkungen. Das System verhindert, dass ein virtueller Computer vom Typ „Standard_D2s_v3“ aufgrund von Einschränkungen auf SSD- und Netzwerkebenen das Potenzial von 5.000 IOPS eines P30-Datenträgers erreicht, unabhängig davon, ob er zwischengespeichert wird oder nicht.

Schematische Darstellung des dreistufigen Bereitstellungssystem mit einer Standard_D2s_v3-Beispielzuordnung.

Azure verwendet einen priorisierten Netzwerkkanal für Datenträger-Datenverkehr. Datenträger-Datenverkehr hat Vorrang vor Netzwerkdatenverkehr mit niedriger Priorität. Dies Priorisierung hilft Datenträgern, ihre erwartete Leistung im Falle von Netzwerkkonflikten aufrechtzuerhalten.

Ebenso behandelt Azure Storage Ressourcenkonflikte und andere Probleme im Hintergrund durch den automatischen Lastenausgleich. Azure Storage ordnet die erforderlichen Ressourcen zu, wenn Sie einen Datenträger erstellen, und wendet einen proaktiven und reaktiven Ausgleich der Ressourcen an, um den Datenverkehr zu bewältigen. Dieses Verhalten stellt weiterhin sicher, dass Datenträger ihre erwarteten IOPS- und Durchsatzziele einhalten können. Sie können die Metriken auf VM- und Datenträgerebene verwenden, um die Leistung nachzuverfolgen, und Warnungen nach Bedarf einrichten.

Weitere Informationen zu den bewährten Methoden zur Optimierung von VM- und Datenträgerkonfigurationen, damit Sie Ihre gewünschte Leistung erzielen können, finden Sie unter Entwerfen für hohe Leistung.