حسابات التخزين والموثوقية
حسابات Azure Storage مثالية لأحمال العمل التي تتطلب أوقات استجابة سريعة ومتسقة، أو التي تحتوي على عدد كبير من عمليات الإدخال والإخراج (IOP) في الثانية. تحتوي حسابات التخزين على جميع كائنات بيانات Azure Storage، والتي تتضمن:
- الكائنات الثنائية كبيرة الحجم
- مشاركات الملفات
- قوائم الانتظار
- الجداول
- الأقراص
توفر حسابات التخزين مساحة اسم مميزة للبيانات التي يمكن الوصول إليها في أي مكان في HTTP أو HTTPS.
للحصول على مزيدٍ من المعلومات عن أنواع مختلفة من حسابات التخزين التي تدعم ميزات مختلفة، راجع أنواع حسابات التخزين.
لفهم كيف يدعم حساب تخزين Azure المرونة لحمل عمل التطبيق الخاص بك، راجع المقالات التالية:
تتضمن الأقسام التالية اعتبارات التصميم وقائمة مراجعة التكوين وخيارات التكوين الموصى بها الخاصة بحسابات تخزين Azure والموثوقية.
اعتبارات التصميم
تتضمن حسابات Azure Storage اعتبارات التصميم التالية:
توفر حسابات التخزين V1 للأغراض العامة إمكانية الوصول إلى جميع خدمات تخزين Azure، ولكن قد لا يكون لديها أحدث الميزات أو التسعير الأقل لكل غيغابايت. يوصى باستخدام حسابات تخزين v2 للأغراض العامة، في معظم الحالات. أسباب استخدام v1 تشمل:
- تتطلب التطبيقات نموذج التوزيع الكلاسيكي.
- التطبيقات هي عملية مكثفة أو استخدام النطاق الترددي للنسخ المتماثل للموقع الجغرافي الكبير، ولكن لا تتطلب سعة كبيرة.
- يلزم استخدام واجهة برمجة تطبيقات REST لخدمة التخزين أقدم من 14 فبراير 2014، أو مكتبة عميل بإصدار أقدم من
4.x. ترقية التطبيق غير ممكنة.
لمزيد من المعلومات، ارجع إلى نظرة عامة على حساب التخزين.
- يجب أن تتكون أسماء حسابات التخزين من ثلاثة إلى 24 حرفًا ويمكن أن تحتوي على أرقام وأحرف صغيرة فقط.
- للحصول على مواصفات SLA الحالية، راجع SLA لحسابات التخزين.
- انتقِل إلى التكرار في Azure Storage لتحديد خيار التكرار الأفضل لسيناريو معين.
- يجب أن تكون أسماء حسابات التخزين مميزة داخل Azure. لا يمكن أن يحتوي حسابي تخزين على نفس الاسم.
قائمة الاختيار
هل قمت بتكوين حساب تخزين Azure الخاص بك مع وضع الموثوقية في الاعتبار؟
- تشغيل الحذف المبدئي لبيانات الكائنات الثنائية كبيرة الحجم.
- استخدم معرف Microsoft Entra لتخويل الوصول إلى بيانات الكائن الثنائي كبير الحجم.
- ضع في اعتبارك مبدأ الامتياز الأقل عند تعيين أذونات إلى أساس أمان Microsoft Entra من خلال Azure RBAC.
- استخدام الهويات المُدارة للوصول إلى بيانات الكائنات الثنائية كبيرة الحجم والصفوف.
- استخدام إصدار الكائنات الثنائية كبيرة الحجم أو الكائنات الثنائية كبيرة الحجم غير قابلة للتغيير لتخزين البيانات الهامة للأعمال.
- تقييد الوصول الافتراضي إلى الإنترنت لحسابات التخزين.
- تمكين قواعد جدار الحماية.
- تقييد الوصول إلى شبكة الاتصال بشبكات معينة.
- السماح لخدمات Microsoft الموثوقة بالوصول إلى حساب التخزين.
- تمكين خيار Secure transfer required على جميع حسابات التخزين.
- تقييد الرموز المميزة توقيع الوصول المشترك (SAS) إلى اتصالات
HTTPSفقط. - تجنب استخدام تخويل المفتاح المشترك للوصول إلى حسابات التخزين ومنعه.
- إعادة إنشاء مفاتيح حسابك بشكل دوري.
- إنشاء خطة إبطال ويكون ذلك في مكان لأي SAS تصدره للعملاء.
- استخدام أوقات انتهاء الصلاحية على المدى القريب على SAS مفاجئ، أو خدمة SAS، أو حساب SAS.
توصيات التكوين
ادرس التوصيات التالية لتحسين الموثوقية عند تكوين حساب تخزين Azure الخاص بك:
| التوصية | الوصف |
|---|---|
| تشغيل الحذف المبدئي لبيانات الكائنات الثنائية كبيرة الحجم. | يتيح لك الحذف المبدئي للكائنات الثنائية كبيرة الحجم على Azure Storage استرداد بيانات الكائنات الثنائية كبيرة الحجم بعد حذفها. |
| استخدم معرف Microsoft Entra لتخويل الوصول إلى بيانات الكائن الثنائي كبير الحجم. | يوفر معرف Microsoft Entra أمانا فائقا وسهولة استخدام عبر المفتاح المشترك لتخويل الطلبات إلى تخزين الكائن الثنائي كبير الحجم. يوصى باستخدام تخويل Microsoft Entra مع تطبيقات الكائن الثنائي كبير الحجم وقائمة الانتظار عندما يكون ذلك ممكنا لتقليل الثغرات الأمنية المحتملة المتأصلة في المفتاح المشترك. لمزيد من المعلومات، راجع تخويل الوصول إلى Azure blobs وقوائم الانتظار باستخدام معرف Microsoft Entra. |
| ضع في اعتبارك مبدأ الامتياز الأقل عند تعيين أذونات إلى أساس أمان Microsoft Entra من خلال Azure RBAC. | عند تعيين دور لمستخدم أو مجموعة أو تطبيق، امنح مبدأ الأمان هذا فقط الأذونات اللازمة لهم لتنفيذ مهامهم. يساعد تقييد الوصول إلى الموارد في منع إساءة الاستخدام غير المتعمد والضار لبياناتك. |
| استخدام الهويات المُدارة للوصول إلى بيانات الكائنات الثنائية كبيرة الحجم والصفوف. | يدعم تخزين Azure Blob وقائمة الانتظار المصادقة Microsoft Entra مع الهويات المدارة لموارد Azure. يمكن للهويات المدارة لموارد Azure تخويل الوصول إلى بيانات الكائن الثنائي كبير الحجم وقائمة الانتظار باستخدام بيانات اعتماد Microsoft Entra من التطبيقات التي تعمل في أجهزة Azure الظاهرية (VMs) وتطبيقات الوظائف ومجموعات مقياس الجهاز الظاهري والخدمات الأخرى. باستخدام الهويات المدارة لموارد Azure مع مصادقة Microsoft Entra، يمكنك تجنب تخزين بيانات الاعتماد مع تطبيقاتك التي تعمل في السحابة والمشكلات المتعلقة بكيانات الخدمة منتهية الصلاحية. راجع تخويل الوصول إلى بيانات الكائنات الثنائية كبيرة الحجم والصفوف مع الهويات المدارة لموارد Azure للحصول على مزيد من المعلومات. |
| استخدام إصدار الكائنات الثنائية كبيرة الحجم أو الكائنات الثنائية كبيرة الحجم غير قابلة للتغيير لتخزين البيانات الهامة للأعمال. | ادرس استخدام إصدار الكائنات الثنائية كبيرة الحجم للاحتفاظ بالإصدارات السابقة من عنصر أو استخدام نُهج التملك القانوني ونهج الاستبقاء المستندة إلى الوقت لتخزين بيانات الكائنات الثنائية كبيرة الحجم في WORM (الكتابة مرة واحدة، وقراءة الكثير). يمكن قراءة الكائنات الثنائية كبيرة الحجم غير القابلة للتغيير، ولكن لا يمكن تعديلها أو حذفها أثناء فترة الفاصل الزمني للاستبقاء. للحصول على مزيدٍ من المعلومات، راجع تخزين بيانات الكائنات الثنائية كبيرة الحجم المهمة للأعمال باستخدام تخزين غير قابل للتغيير. |
| تقييد الوصول الافتراضي إلى الإنترنت لحسابات التخزين. | افتراضيًا، لا يتم تقييد وصول الشبكة إلى حسابات التخزين وتكون مفتوحة لجميع نسب استخدام الشبكة القادمة من الإنترنت. يجب منح حق الوصول إلى حسابات التخزين لشبكات Azure الظاهرية المحددة فقط كلما أمكن ذلك أو استخدم نقاط نهاية خاصة للسماح للعملاء على شبكة ظاهرية (VNet) بالوصول إلى البيانات بأمان عبر ارتباط خاص. راجع استخدام نقاط النهاية الخاصة لـ Azure Storage للحصول على مزيدٍ من المعلومات. يمكن إجراء استثناءات لحسابات التخزين التي يلزم الوصول إليها عبر الإنترنت. |
| تمكين قواعد جدار الحماية. | قم بتكوين قواعد جدار الحماية للحد من الوصول إلى حساب التخزين الخاص بك للطلبات التي تنشأ من عناوين IP أو النطاقات المحددة، أو من قائمة الشبكات الفرعية في شبكة Azure الظاهرية (VNet). للحصول على مزيدٍ من المعلومات حول تكوين قواعد جدار الحماية، راجع تكوين جدران حماية Azure Storage والشبكات الظاهرية. |
| تقييد الوصول إلى شبكة الاتصال بشبكات معينة. | يؤدي قصر وصول الشبكات على الشبكات التي تستضيف العملاء الذين يطلبون الوصول إلى تقليل تعرض مواردك لهجمات الشبكة إما باستخدام جدار الحماية المضمن ووظيفة الشبكات الظاهرية أو باستخدام نقاط النهاية الخاصة. |
| السماح لخدمات Microsoft الموثوقة بالوصول إلى حساب التخزين. | يؤدي تشغيل قواعد جدار الحماية لحسابات التخزين بحظر الطلبات الواردة للبيانات بشكل افتراضي، ما لم تنشأ الطلبات من خدمة تعمل ضمن شبكة Azure الظاهرية (VNet) أو من عناوين IP العامة المسموح بها. تتضمن الطلبات المحظورة تلك الطلبات من خدمات Azure الأخرى ومن مدخل Microsoft Azure ومن خدمات التسجيل والقياسات وغير ذلك. يمكنك السماح بالطلبات من خدمات Azure الأخرى عن طريق إضافة استثناء للسماح لخدمات Microsoft الموثوقة بالوصول إلى حساب التخزين. للحصول على مزيدٍ من المعلومات حول إضافة استثناء خدمات Microsoft الموثوقة، راجع تكوين جدران حماية Azure Storage والشبكات الظاهرية. |
| تمكين خيار Secure transfer required على جميع حسابات التخزين. | عند تمكين الخيار Secure transfer required، يجب أن تتم جميع الطلبات المقدمة مقابل حساب التخزين عبر اتصالات آمنة. ستفشل أي طلبات تتم عبر HTTP. للحصول على مزيدٍ من المعلومات، راجع طلب النقل الآمن في Azure Storage. |
تقييد الرموز المميزة توقيع الوصول المشترك (SAS) إلى اتصالات HTTPS فقط. |
يساعد طلب HTTPS عند استخدام العميل لرمز SAS للوصول إلى بيانات الكائنات الثنائية كبيرة الحجم على تقليل مخاطر التنصت. للحصول على مزيدٍ من المعلومات، راجع منح الوصول المحدود إلى موارد Azure Storage باستخدام توقيعات الوصول المشتركة (SAS). |
| تجنب استخدام تخويل المفتاح المشترك للوصول إلى حسابات التخزين ومنعه. | يوصى باستخدام معرف Microsoft Entra لتخويل الطلبات إلى Azure Storage ومنع تخويل المفتاح المشترك. بالنسبة إلى السيناريوهات التي تتطلب تخويل مفتاح مشترك، تُفضل دائماً رموز SAS المميزة على توزيع المفتاح المشترك. |
| إعادة إنشاء مفاتيح حسابك بشكل دوري. | يؤدي تدوير مفاتيح الحساب بشكل دوري إلى تقليل مخاطر تعريض بياناتك إلى جهات ضارة. |
| إنشاء خطة إبطال ويكون ذلك في مكان لأي SAS تصدره للعملاء. | إذا تم اختراق SAS، فستحتاج إلى إلغاء SAS على الفور. لإبطال تفويض مستخدم SAS، قم بإلغاء مفتاح تفويض المستخدم لإبطال كافة التواقيع المقترنة بهذا المفتاح بسرعة. لإلغاء خدمة SAS المقترنة بسياسة وصول مخزنة، يمكنك حذف نهج الوصول المخزن، أو إعادة تسمية النهج، أو تغيير وقت انتهاء صلاحيته إلى وقت سابق. |
| استخدام أوقات انتهاء الصلاحية على المدى القريب على SAS مفاجئ، أو خدمة SAS، أو حساب SAS. | إذا تم اختراق SAS، فسيكون صالحًا فقط لفترة قصيرة. هذه الممارسة مهمة بشكل خاص إذا كنت لا تستطيع الإشارة إلى نهج وصول مخزن. كما تحد أوقات انتهاء الصلاحية على المدى القريب من كمية البيانات التي يمكن كتابتها في كائن ثنائي كبير الحجم عن طريق تحديد الوقت المتاح للتحميل إليه. يجب على العملاء تجديد SAS قبل وقت طويل من انتهاء الصلاحية لإتاحة الوقت لإعادة المحاولة إذا كانت الخدمة التي توفر SAS غير متوفرة. |
الخطوة التالية
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ