Microsoft Azure bietet eine umfassende Palette an Storage-Diensten, die speziell entwickelt wurden, um die verschiedenen Anforderungen moderner Cloud-Anwendungen zu erfüllen. Die vier zentralen Azure Storage-Dienste – Blob Storage, File Storage, Queue Storage und Table Storage – bieten Lösungen für unstrukturierte Daten, Dateifreigaben, Nachrichtenwarteschlangen und strukturierte NoSQL-Daten.
Einführung in Azure Storage-Dienste
Azure Storage bietet skalierbare, hochverfügbare und sichere Speicherlösungen, die den Ansprüchen sowohl großer als auch kleiner Unternehmen gerecht werden. Vom Speichern großer Mengen unstrukturierter Daten bis hin zur Verwaltung von Nachrichten für asynchrone Prozesse – die Azure Storage-Dienste sind vielseitig einsetzbar und auf die Bedürfnisse moderner Cloud-Architekturen abgestimmt.
Die vier zentralen Azure Storage-Dienste:
- Azure Blob Storage: Speicherung großer Mengen unstrukturierter Daten
- Azure File Storage: Cloudbasierte, vollständig verwaltete Dateifreigaben
- Azure Queue Storage: Speicherung von Nachrichtenwarteschlangen für asynchrone Kommunikation
- Azure Table Storage: NoSQL-Speicherung von strukturierten, nicht-relationalen Daten
Azure Blob Storage: Unstrukturierte Daten auf Knopfdruck
Azure Blob Storage ist der primäre Azure-Dienst zur Speicherung großer Mengen unstrukturierter Daten wie Dokumente, Bilder, Videos oder Backups. Es ist eine ideale Lösung für Unternehmen, die flexibel und sicher Daten speichern möchten.
Merkmale von Azure Blob Storage
Blob-Typen
Azure Blob Storage unterstützt drei verschiedene Blob-Typen für unterschiedliche Anwendungsfälle:
- Block Blobs: Optimiert für die Speicherung großer Dateien wie Videos, Bilder oder Log-Daten. Die Daten werden in Blöcken gespeichert, was eine effiziente Verwaltung großer Datenmengen ermöglicht. Unterstützt bis zu ca. 190,7 TiB pro Blob.
- Append Blobs: Optimiert für Append-Operationen und werden häufig für Logdateien verwendet, die regelmäßig erweitert werden müssen. Ideal für Szenarien, in denen Daten nur hinzugefügt, aber nicht modifiziert werden.
- Page Blobs: Hauptsächlich für VHDs (Virtual Hard Disks) verwendet, die in Verbindung mit Azure Virtual Machines zum Einsatz kommen. Unterstützt Random-Access-Operationen und eignet sich für Betriebssystem-Datenträger.
Zugriffsebenen
Azure Blob Storage bietet vier Zugriffsebenen (Access Tiers) für verschiedene Datenhäufigkeiten:
- Hot-Tier: Geeignet für häufig benötigte Daten. Höchste Speicherkosten, niedrigste Zugriffskosten.
- Cool-Tier: Für Daten, die seltener verwendet werden (mindestens 30 Tage Aufbewahrung), aber kurzfristig verfügbar sein müssen. Niedrigere Speicherkosten, höhere Zugriffskosten als Hot.
- Cold-Tier: Online-Tier für Daten, die selten benötigt werden (mindestens 90 Tage Aufbewahrung), aber schnellen Zugriff erfordern. Deutlich niedrigere Speicherkosten als Cool, höhere Zugriffskosten.
- Archive-Tier: Offline-Tier für sehr selten genutzte Daten (mindestens 180 Tage Aufbewahrung). Niedrigste Speicherkosten, aber Rehydrierung dauert mehrere Stunden.
Wichtig: Die Auswahl der Zugriffsebene beeinflusst Speicher- und Zugriffskosten sowie Mindestaufbewahrungszeiten. Bei vorzeitigem Löschen oder Verschieben fallen anteilige Early-Deletion-Gebühren an.
Kostenoptimierung: Nutzen Sie Lifecycle Management Policies, um Blobs automatisch zwischen Tiers zu verschieben basierend auf Alter, letztem Zugriff oder benutzerdefinierten Kriterien.
Skalierbarkeit und Verfügbarkeit
- Skalierbarkeit: Blob Storage ermöglicht das Speichern von Petabytes an Daten mit automatischer Skalierung
- Verfügbarkeit: Mehrere Redundanzoptionen gewährleisten hohe Verfügbarkeit (siehe Abschnitt Skalierbarkeit und Sicherheit)
Anwendungsfälle für Azure Blob Storage
Datenarchivierung:
Blob Storage ist ideal für die langfristige Speicherung von Backups oder Archivdaten. Lifecycle Management automatisiert den Übergang von Hot zu Cold, Cool oder Archive.
Medien-Streaming:
Dank hoher Bandbreite und Skalierbarkeit kann Blob Storage zur Speicherung und Bereitstellung von Medieninhalten verwendet werden. Kombination mit Azure CDN für globale Reichweite.
Big Data und Analysen:
Häufig wird Blob Storage mit Analysewerkzeugen wie Azure HDInsight, Azure Databricks oder Azure Synapse kombiniert, um Big Data effizient zu verarbeiten.
Data Lakes:
Azure Data Lake Storage Gen2 baut auf Blob Storage auf und bietet hierarchische Namespaces für Hadoop-kompatible Szenarien.
Sicherheitsfunktionen
- Verschlüsselung im Ruhezustand: Alle Daten werden standardmäßig durch AES-256 verschlüsselt (Service-seitige Verschlüsselung)
- Customer-Managed Keys (CMK): Optional können Sie eigene Schlüssel in Azure Key Vault verwalten
- SAS-Tokens (Shared Access Signatures): Ermöglichen eine feingranulare Zugriffskontrolle mit zeitlich begrenzten Berechtigungen
- Network Security: Private Endpoints und Firewall-Regeln für Virtual Networks
Azure File Storage: Cloudbasierte Dateifreigaben
Azure File Storage bietet vollständig verwaltete Dateifreigaben, die für hybride Umgebungen entwickelt wurden. Sie ermöglichen es sowohl Cloud- als auch On-Premises-Anwendungen, auf dieselben Dateien zuzugreifen.
Merkmale von Azure File Storage
SMB- und NFS-Kompatibilität
Azure File Storage unterstützt die SMB (Server Message Block) 2.1, 3.0 und 3.1.1 sowie NFS 4.1-Protokolle:
- SMB: Windows- und Linux-Clients können auf Dateifreigaben zugreifen, als wären sie lokale Laufwerke
- NFS: Native Linux/Unix-Integration ohne SMB-Overhead
Integration mit Azure File Sync
Azure File Sync ermöglicht es, Dateifreigaben mit lokalen Windows-Servern zu synchronisieren:
- Cloud Tiering: Häufig genutzte Dateien bleiben lokal gecacht, ältere Dateien werden in die Cloud ausgelagert
- Multi-Site-Synchronisation: Mehrere Standorte können auf dieselben Dateien zugreifen
- Backup-Integration: Lokale Server werden automatisch in die Cloud gesichert
Identitätsbasierter Zugriff
Für SMB-Freigaben ist identitätsbasierter Zugriff über Microsoft Entra ID (ehemals Azure Active Directory) mit Kerberos-Authentifizierung möglich:
- Hybrid-Identitäten: Integration mit On-Premises Active Directory via Microsoft Entra Connect
- NTFS-Berechtigungen: Granulare Zugriffssteuerung auf Datei- und Ordnerebene
- RBAC: Azure Role-Based Access Control für Management-Operationen
Anwendungsfälle für Azure File Storage
Freigaben für Anwendungen:
Ideal für Anwendungen, die gemeinsam genutzte Dateifreigaben benötigen, beispielsweise zur Speicherung von Konfigurationsdateien oder gemeinsamen Dokumenten.
Lift-and-Shift-Migration:
Unternehmen können bestehende SMB-Dateifreigaben ohne Änderungen am Code in die Cloud migrieren. Einfaches Mounting über Standard-SMB-Protokoll.
Backup und Wiederherstellung:
Azure File Storage kann als Sicherungsziel verwendet werden, insbesondere durch die Integration mit Azure Backup und anderen Azure-Diensten.
Container-Persistenz:
Persistente Volumes für Container in Azure Kubernetes Service (AKS) über Azure Files CSI Driver.
Sicherheitsfunktionen
- Verschlüsselung: Standardmäßige AES-256-Verschlüsselung at-rest und in-transit (SMB 3.0+)
- NTFS-Berechtigungen: Granulare Zugriffskontrolle auf Datei- und Ordnerebene
- Microsoft Entra ID Integration: Identitätsbasierte Authentifizierung für SMB-Freigaben
- Private Endpoints: Zugriff über Private Link ohne öffentliche IP-Adressen
Redundanz-Einschränkung
Wichtig: Azure Files unterstützt kein RA-GRS oder RA-GZRS. Wenn ein Storage Account mit RA-GRS oder RA-GZRS konfiguriert wird, werden File Shares als GRS bzw. GZRS abgerechnet und betrieben.
Azure Queue Storage: Asynchrone Nachrichtenverarbeitung
Azure Queue Storage bietet eine skalierbare Lösung zur Speicherung von Nachrichten in Warteschlangen und unterstützt die asynchrone Kommunikation zwischen Anwendungen.
Merkmale von Azure Queue Storage
Nachrichtenwarteschlangen
- Nachrichtengröße: Jede Nachricht in einer Warteschlange kann bis zu 64 KB groß sein
- Queue-Größe: Eine Queue kann Millionen von Nachrichten enthalten (bis zur Kapazitätsgrenze des Storage Accounts)
- Time-to-Live: Nachrichten können mit TTL konfiguriert werden (bis zu 7 Tage, danach automatische Löschung)
- Visibility Timeout: Nachrichten werden beim Abrufen temporär unsichtbar, um doppelte Verarbeitung zu verhindern
Große Payloads: Claim-Check-Muster
Für Nachrichten über 64 KB verwenden Sie das Claim-Check-Muster:
- Speichern Sie die große Nutzdaten (z.B. Datei, JSON) in Blob Storage
- Speichern Sie nur die Blob-URL oder Blob-ID in der Queue-Nachricht
- Der Consumer liest die Nachricht, ruft die Nutzdaten aus Blob Storage ab
- Nach erfolgreicher Verarbeitung wird die Nachricht aus der Queue gelöscht
Asynchrone Verarbeitung
Entkopplung von Diensten: Queue Storage ermöglicht es, Dienste voneinander zu entkoppeln, sodass Aufgaben asynchron verarbeitet werden können, was zu besserer Skalierbarkeit führt:
- Producer/Consumer-Pattern: Produzenten schreiben Nachrichten, Konsumenten verarbeiten sie unabhängig
- Load-Leveling: Spitzen-Lasten werden geglättet durch Warteschlangen-Pufferung
- Poison Messages: Nachrichten, die wiederholt fehlschlagen, können in eine Poison-Queue verschoben werden
Anwendungsfälle für Azure Queue Storage
Lastverteilung:
Queue Storage wird häufig verwendet, um Aufgaben mit variablen Arbeitslasten in einem kontrollierten Fluss zu verarbeiten. Worker-Instanzen können nach Bedarf skaliert werden.
Entkopplung von Diensten:
Ideal, um Webanwendungen von Hintergrundprozessen zu trennen, wie z.B. Bildverarbeitung, Dokumentenkonvertierung oder das Analysieren von Benutzeraktivitäten.
Workflow-Orchestrierung:
Mehrstufige Verarbeitungsprozesse, bei denen jede Phase eine Nachricht für die nächste Phase erstellt.
Event-Driven-Architekturen:
Integration mit Azure Functions für automatisches Triggering bei neuen Nachrichten.
Sicherheitsfunktionen
- Verschlüsselung: Alle Nachrichten sind standardmäßig verschlüsselt (at-rest und in-transit)
- SAS-Tokens: Zugriffskontrollen über Shared Access Signatures für granulare Berechtigungen
- Network Security: Private Endpoints und Firewall-Regeln
Azure Table Storage: Flexibler NoSQL-Speicher
Azure Table Storage bietet eine einfache Möglichkeit, große Mengen strukturierter, nicht-relationaler Daten in Form von Schlüssel-Wert-Paaren (NoSQL) zu speichern. Der Dienst ist kosteneffizient und extrem skalierbar.
Merkmale von Azure Table Storage
NoSQL-Speicher
Datenstruktur:
Table Storage ermöglicht die Speicherung von strukturierten Daten in Tabellen, wobei jede Entität als Schlüssel-Wert-Paar definiert wird:
- PartitionKey + RowKey: Eindeutige Identifikation jeder Entität
- Schema-less: Jede Entität kann unterschiedliche Properties haben
- Property-Types: String, Int, Double, Boolean, DateTime, Binary, GUID
Hohe Skalierbarkeit
Skalierbarkeit: Azure Table Storage ist auf die Speicherung großer Datenmengen ausgelegt (Hunderte TBs) und eignet sich besonders gut für Anwendungen, die hohe Verfügbarkeit und schnelle Zugriffszeiten erfordern:
- Throughput: Bis zu 20.000 Transaktionen/Sekunde pro Partition
- Auto-Scaling: Automatische Lastverteilung über Partitionen
Anwendungsfälle für Azure Table Storage
Speicherung von Metadaten:
Ideal für Anwendungen, die eine schnelle Lese- und Schreibleistung benötigen, wie z.B. das Speichern von Metadaten oder Konfigurationsdaten.
Telemetrie und Logging:
Anwendungen, die große Mengen an Telemetriedaten generieren, wie etwa IoT-Sensoren, können diese effizient in Table Storage speichern.
Benutzerprofile und Konfiguration:
Table Storage ist ideal für das Speichern von Benutzerprofilen oder Konfigurationsdaten aufgrund seiner einfachen Struktur und schnellen Verfügbarkeit.
Session-State:
Speicherung von Session-Daten für skalierbare Webanwendungen.
Sicherheitsfunktionen
- Verschlüsselung: Standardmäßige AES-256-Verschlüsselung at-rest
- Role-Based Access Control (RBAC): Granulare Verwaltung der Zugriffsrechte über Azure RBAC
- SAS-Tokens: Zeitlich begrenzte Zugriffe auf Tabellen und Entitäten
Alternative: Azure Cosmos DB for Table
Für Workloads, die globale Verteilung, niedrige Latenzen (< 10ms) und SLA-garantierte Verfügbarkeit benötigen, ist Azure Cosmos DB for Table die bessere Wahl:
- Globale Replikation: Multi-Region-Writes mit automatischem Failover
- Garantierte Latenz: 99,999% SLA für Verfügbarkeit
- Cosmos DB Table API: Kompatibel mit Azure Table Storage SDK
Wann Cosmos DB statt Table Storage?
- Globale Anwendungen mit Nutzern in mehreren Regionen
- Mission-Critical-Workloads mit < 10ms Latenz-Anforderungen
- Workloads mit automatischem Failover-Bedarf
Skalierbarkeit und Sicherheit der Azure Storage-Dienste
Skalierbarkeit
Alle Azure Storage-Dienste sind so konzipiert, dass sie den Anforderungen wachsender Anwendungen gerecht werden. Sie bieten automatische Skalierung, um den Bedürfnissen verschiedener Workloads gerecht zu werden.
Redundanzoptionen
Azure Storage bietet mehrere Replikationsoptionen, um sicherzustellen, dass die Daten im Falle eines Ausfalls verfügbar bleiben:
Lokale Redundanz:
- Locally Redundant Storage (LRS): Drei Kopien innerhalb eines Rechenzentrums. Schutz vor Rack- und Drive-Ausfällen. Günstigste Option.
- Zone-Redundant Storage (ZRS): Drei Kopien über drei Availability Zones hinweg in einer Region. Schutz vor Rechenzentrumsausfällen.
Geo-Redundanz:
- Geo-Redundant Storage (GRS): LRS in primärer Region + asynchrone Replikation in sekundäre Region (gepaart). Keine Lesezugriffe auf Sekundärregion ohne Failover.
- Geo-Zone-Redundant Storage (GZRS): ZRS in primärer Region + asynchrone Replikation in sekundäre Region. Höchste Verfügbarkeit und Disaster Recovery.
Read-Access-Optionen:
- Read-Access Geo-Redundant Storage (RA-GRS): Wie GRS, aber mit Lesezugriff auf Sekundärregion auch ohne Failover.
- Read-Access Geo-Zone-Redundant Storage (RA-GZRS): Wie GZRS, aber mit Lesezugriff auf Sekundärregion auch ohne Failover.
Wichtig: Das Archive-Tier von Blob Storage unterstützt nur LRS, GRS und RA-GRS (kein ZRS, GZRS, RA-GZRS).
Empfehlung:
- Entwicklung/Test: LRS
- Produktions-Workloads: ZRS (innerhalb einer Region) oder GZRS (Disaster Recovery)
- High Availability: RA-GZRS für Lese-Zugriffe während regionalem Ausfall
Sicherheitsmaßnahmen
Verschlüsselung:
Alle Azure Storage-Dienste verwenden Verschlüsselung:
- At-Rest: Standardmäßig AES-256-Verschlüsselung (automatisch aktiviert)
- In-Transit: HTTPS/TLS 1.2+ für alle Übertragungen
- Customer-Managed Keys (CMK): Optional eigene Schlüssel in Azure Key Vault verwalten
Zugriffskontrolle:
Mehrere Ebenen der Zugriffskontrolle:
- SAS-Tokens (Shared Access Signatures): Zeitlich begrenzte, granulare Berechtigungen
- Microsoft Entra ID (ehemals Azure AD): Identitätsbasierte Authentifizierung mit RBAC
- Access Keys: Storage Account Keys für vollständigen Zugriff (regelmäßig rotieren!)
- Network Security: Private Endpoints, Service Endpoints, Firewall-Regeln
Compliance:
Azure Storage erfüllt zahlreiche Compliance-Standards:
- ISO 27001, SOC 2, HIPAA, GDPR, CCPA
- Geo-Locations für Datenresidenz-Anforderungen
- Immutable Storage für WORM (Write Once Read Many)-Compliance
FAQ zu Azure Storage
Welche Blob-Zugriffsebene ist die richtige für meine Daten?
Wählen Sie die Zugriffsebene basierend auf Zugriffshäufigkeit und Aufbewahrungsdauer:
Hot: Für Daten mit häufigem Zugriff (täglich/wöchentlich)
Cool: Für selten genutzte Daten, mindestens 30 Tage Aufbewahrung
Cold: Für sehr selten genutzte Daten, mindestens 90 Tage Aufbewahrung, schneller Online-Zugriff erforderlich
Archive: Für Langzeitarchivierung, mindestens 180 Tage Aufbewahrung, Rehydrierung dauert Stunden
Nutzen Sie Lifecycle Management für automatische Tier-Übergänge basierend auf Alter oder letztem Zugriff.
Welche Redundanzoption brauche ich für RTO/RPO-Ziele?
Wählen Sie basierend auf Recovery-Zielen:
LRS: Für unkritische Daten, günstigste Option, Schutz vor lokalen Ausfällen
ZRS: Für Produktions-Workloads, Schutz vor Rechenzentrumsausfällen innerhalb einer Region
GRS/GZRS: Für Disaster Recovery, Schutz vor regionalem Ausfall
RA-GZRS: Für höchste Verfügbarkeit mit Lesezugriff auch während primärem Ausfall
Beachten Sie: Azure Files unterstützt kein RA-GRS/RA-GZRS. Bei dieser Konfiguration werden File Shares als GRS/GZRS abgerechnet.
Wie sichere ich Azure Files mit Identitäten ab?
Für SMB-Freigaben nutzen Sie Microsoft Entra ID (ehemals Azure Active Directory) mit Kerberos-Authentifizierung:
Aktivieren Sie Entra ID-Authentifizierung auf dem Storage Account
Konfigurieren Sie Microsoft Entra Connect für Hybrid-Identitäten (On-Premises AD)
Weisen Sie RBAC-Rollen auf Share-Ebene zu (z.B. Storage File Data SMB Share Contributor)
Setzen Sie NTFS-Berechtigungen auf Datei/Ordner-Ebene
Mounten Sie die Freigabe mit Entra ID-Credentials (keine Storage Account Keys)
Dies ermöglicht granulare Zugriffskontrolle und Audit-Trails über Entra ID.
Wie gehe ich mit Nachrichten über 64 KB in Queue Storage um?
Verwenden Sie das Claim-Check-Muster:
2. Speichern Sie große Nutzdaten (> 64 KB) in Blob Storage
2. Generieren Sie eine Blob-URL oder SAS-Token
3. Speichern Sie nur die URL/Referenz in der Queue-Nachricht (< 64 KB)
4. Consumer liest Queue-Nachricht, holt Nutzdaten aus Blob Storage
5. Nach erfolgreicher Verarbeitung: Queue-Nachricht und optional Blob löschen
Alternative: Für komplexere Messaging-Szenarien nutzen Sie Azure Service Bus (Nachrichten bis 100 MB bei Premium Tier).
Wann ist Cosmos DB for Table sinnvoll statt Table Storage?
Nutzen Sie Azure Cosmos DB for Table, wenn Sie benötigen:
Globale Verteilung: Multi-Region-Writes und automatisches Failover
Garantierte niedrige Latenz: < 10ms Lese-/Schreiblatenz (SLA-backed)
Höhere Durchsatz-Skalierung: Elastic Scaling über Tausende RU/s
Erweiterte Indizierung: Automatische Indizierung aller Properties
99,999% Verfügbarkeits-SLA: Für mission-critical Anwendungen
Bleiben Sie bei Table Storage, wenn:
Budget-Beschränkungen bestehen (Table Storage ist günstiger)
Einfache Schlüssel-Wert-Daten ausreichen
Single-Region-Deployment ausreicht
Moderate Latenz akzeptabel ist (< 100ms)
Kompatibilität: Cosmos DB for Table ist API-kompatibel mit Azure Table Storage SDK.
Erfahren Sie mehr über Azure-Implementierung mit TOMORIS IT+ →
