تحرير

مشاركة عبر

SAS على بنية Azure

Azure Virtual Machines
Azure Virtual Network

يقوم هذا الحل بتشغيل أحمال عمل تحليلات SAS على Azure. تغطي الإرشادات سيناريوهات التوزيع المختلفة. على سبيل المثال، تتوفر إصدارات متعددة من SAS. يمكنك تشغيل برنامج SAS على الأجهزة الظاهرية المُدارة ذاتيًا (VMs). كما يمكنك توزيع الإصدارات المستندة إلى الحاوية باستخدام Azure Kubernetes Service (AKS).

البنية

Architecture diagram showing how to deploy SAS products on Azure.

قم بتنزيل ملف Visio لهذه البنية.

‏‏سير العمل‬

عمليات توزيع SAS Azure عادة ما تحتوي على ثلاث طبقات:

  • واجهة برمجة التطبيقات أو طبقة المرئيات. ضمن هذه الطبقة:

    • طبقة بيانات التعريف تمنح تطبيقات العميل حق الوصول إلى بيانات التعريف على مصادر البيانات والموارد والخوادم والمستخدمين.
    • تطبيقات الويب توفر الوصول إلى بيانات التحليل الذكي في الطبقة المتوسطة.

  • نظام أساسي للحساب، حيث تعالج خوادم SAS البيانات.

  • طبقة تخزين يستخدمها SAS للتخزين الدائم. الخيارات الشائعة على Azure هي:

    • بريق
    • ⁧⁩IBM Spectrum Scale (GPFS)⁧⁩
    • نظام ملفات الشبكة (NFS)

شبكة Azure الظاهرية تعزل النظام في السحابة. ضمن تلك الشبكة:

  • مجموعة موضع التقارب تقلل من زمن الانتقال بين الأجهزة الظاهرية.
  • مجموعات أمان الشبكة تحمي موارد SAS من نسبة استخدام الشبكة غير المرغوب فيها.

المتطلبات الأساسية

قبل توزيع حمل عمل SAS، تأكد من وجود المكونات التالية:

  • توصية بتغيير الحجم من فريق تغيير حجم SAS
  • ملف ترخيص SAS
  • الوصول إلى مجموعة موارد لتوزيع مواردك
  • حصة اشتراك وحدة المعالجة المركزية الظاهرية (vCPU) التي تضغ في الاعتبار مستند تغيير الحجم واختيار الجهاز الظاهري
  • الوصول إلى خادم بروتوكول الوصول إلى الدليل الخفيف (LDAP) الآمن

تفاصيل السيناريو

جنبًا إلى جنب مع مناقشة التطبيقات المختلفة، يتوافق هذا الدليل أيضًا مع مفاهيم Microsoft Azure Well-Architected Framework لتحقيق التميز في مجالات التكلفة وDevOps والمرونة وقابلية التوسع والأمان. ولكن بالإضافة إلى استخدام هذا الدليل، راجع فريق SAS للتحقق الإضافي من حالة استخدامك.

كشركاء، تعمل Microsoft وSAS على تطوير خارطة طريق للمؤسسات التي تبتكر في السحابة. تلتزم كلتا الشركتين بضمان عمليات توزيع عالية الجودة لمنتجات وحلول SAS على Azure.

مقدمة إلى SAS

يوفر برنامج تحليلات SAS يوفر مجموعة من الخدمات والأدوات لرسم الرؤى من البيانات واتخاذ قرارات ذكية. منصات SAS تدعم حلولها بالكامل لمجالات مثل إدارة البيانات واكتشاف الاحتيال وتحليل المخاطر والتصور. SAS يقدم هذه المداخل الأساسية، والتي قامت Microsoft بالتحقق من صحتها:

  • SAS Grid 9.4
  • SAS Viya

تم اختبار البُنى التالية:

  • SAS Grid 9.4 على Linux
  • SAS 9 Foundation
  • SAS Viya 3.5 مع بُنى المعالجة المتعددة المتماثلة (SMP) والمعالجة المتوازية على نطاق واسع (MPP) على Linux
  • SAS Viya 2020 وما فوق مع بنية MPP على AKS

هذا الدليل يوفر معلومات عامة لتشغيل SAS على Azure، وليس معلومات خاصة بالنظام الأساسي. هذه الإرشادات تفترض أنك تستضيف حل SAS الخاص بك على Azure في المستأجر الخاص بك. لا يستضيف SAS حلاً لك على Azure. لمزيد من المعلومات حول خدمات استضافة وإدارة Azure التي يوفرها SAS، راجع خدمات التطبيقات المُدارة SAS.

التوصيات

خذ في اعتبارك النقاط الموجودة في الأقسام التالية عند تصميم التنفيذ الخاص بك.

وثائق SAS توفر متطلبات لكل ذاكرة أساسية، بمعنى لكل ذاكرة أساسية لوحدة المعالجة المركزية الفعلية. ولكن Azure يوفر قوائم وحدة المعالجة المركزية الظاهرية. على الأجهزة الظاهرية التي نوصي باستخدامها مع SAS، توجد وحدتي معالجة مركزية ظاهرية لكل ذاكرة أساسية فعلية. ونتيجة لذلك، لحساب قيمة متطلبات وحدة المعالجة المركزية الظاهرية، استخدم نصف قيمة المتطلب الأساسي. على سبيل المثال، المتطلب الأساسي المادي البالغ 150 ميغابت في الثانية يترجم إلى 75 ميغابت في الثانية لكل وحدة معالجة مركزية ظاهرية. لمزيد من المعلومات حول أداء حوسبة Azure، راجع وحدة حساب Azure (ACU).

إشعار

إذا كنت تقوم بتوسيع نطاق البيانات واستمرارها في نشر SAS أحادي العقدة (وليس إلى نظام ملفات خارجي)، توصي وثائق SAS بعرض النطاق الترددي 150 ميغابايت/ثانية على الأقل. لتحقيق هذا النطاق الترددي، تحتاج إلى تخطيط عدة أقراص P30 Premium (أو أكبر).

أنظمة التشغيل

Linux يعمل بشكل أفضل لتشغيل أحمال عمل SAS. SAS يدعم إصدارات 64 بت من أنظمة التشغيل التالية:

  • Red Hat 7 أو أحدث
  • خادم SUSE Linux Enterprise (SLES) 12.2
  • Oracle Linux 6 أو أحدث

لمزيد من المعلومات حول إصدارات SAS المحددة، راجع مصفوفة دعم نظام تشغيل SAS. في البيئات التي تستخدم أجهزة متعددة، من الأفضل تشغيل نفس الإصدار من Linux على جميع الأجهزة. Azure لا يدعم عمليات توزيع Linux 32 بت.

لتحسين التوافق والتكامل مع Azure، ابدأ بصورة نظام التشغيل من Azure Marketplace. إذا كنت تستخدم صورة مخصصة دون تكوينات إضافية، قد تؤدي إلى تدهور أداء SAS.

مشكلات النواة

عند اختيار نظام تشغيل، كن على علم بمشكلة التأمين الناعم التي تؤثر على سلسلة Red Hat 7.x بأكملها. يحدث في هذه النواة:

  • نواة Linux 3.x
  • إصدارات أقدم من 4.4

وقوع مشكلة في الذاكرة وإدارة الإدخال/ الإخراج لنظامي Linux وHyper-V يتسبب في حدوث المشكلة. عندما يظهر الأمر، تحتوي سجلات النظام على إدخالات مثل هذه التي تذكر مقاطعة غير قابلة للإخفاء (NMI):

Message from syslogd@ronieuwe-sas-e48-2 at Sep 13 08:26:08
kernel:NMI watchdog: BUG: soft lockup - CPU#12 stuck for 22s! [swapper/12:0]

هناك مشكلة أخرى تؤثر على الإصدارات القديمة من Red Hat. على وجه التحديد، يمكن أن يحدث ذلك في الإصدارات التي تفي بهذه الشروط:

  • لديك نواة Linux التي تسبق 3.10.0-957.27.2
  • استخدام محركات أقراص الذاكرة السريعة غير المتطايرة (NVMe)

عندما يواجه النظام ضغط ذاكرة عالٍ، قد لا يخصص برنامج تشغيل Linux NVMe العام ذاكرة كافية لعملية الكتابة. ونتيجة لذلك، يبلغ النظام عن تأمين مبدئي ينبع من حالة توقف تام فعلية.

قم بترقية النواة لتجنب كلتا المشكلتين. بدلاً من ذلك، قم بتجربة هذا الحل البديل المحتمل:

  • عيِن /sys/block/nvme0n1/queue/max_sectors_kb إلى 128 بدلاً من استخدام القيمة الافتراضية، 512.
  • غيِّر هذا الإعداد على كل جهاز NVMe في الجهاز الظاهري وعلى كل تمهيد جهاز ظاهري.

شغَّل هذه الأوامر لضبط هذا الإعداد:

# cat /sys/block/nvme0n1/queue/max_sectors_kb
512
# echo 128 >/sys/block/nvme0n1/queue/max_sectors_kb
# cat /sys/block/nvme0n1/queue/max_sectors_kb
128

توصيات تغيير حجم الجهاز الظاهري

عمليات توزيع SAS غالبًا ما تستخدم وحدات SKU VM التالية:

Edsv5-series

الأجهزة الظاهرية في سلسلة Edsv5 هي أجهزة SAS الافتراضية ل Viya و Grid. وهي توفر هذه الميزات:

  • الذاكرات الأساسية المقيدة. مع العديد من الأجهزة في هذه السلسلة، يمكنك تقييد عدد VCPU للجهاز الظاهري.
  • نسبة جيدة من وحدة المعالجة المركزية إلى الذاكرة.
  • قرص عالي الإنتاجية مرفق محليًا. سرعة الإدخال/ الإخراج مهمة للمجلدات مثل SASWORK وذاكرة التخزين المؤقت لخدمات تحليلات السحابة (CAS)، CAS_CACHE، التي يستخدمها SAS للملفات المؤقتة.

إذا كانت الأجهزة الظاهرية من سلسلة Edsv5 غير متوفرة، فمن المستحسن استخدام الجيل السابق. تم اختبار الأجهزة الظاهرية من سلسلة Edsv4 وأدائها بشكل جيد على أحمال عمل SAS.

سلسلة Ebsv5

في بعض الحالات، لا يحتوي القرص المرفق محليا على مساحة تخزين كافية ل SASWORK أو CAS_CACHE. للحصول على دليل عمل أكبر، استخدم سلسلة Ebsv5 من الأجهزة الظاهرية مع الأقراص المرفقة المتميزة. تقدم هذه الأجهزة الظاهرية هذه الميزات:

  • نفس مواصفات الأجهزة الظاهرية Edsv5 وEsv5
  • معدل نقل عال مقابل القرص المرفق عن بعد، حتى 4 غيغابايت/ثانية، مما يمنحك أكبر أو SASWORKCAS_CACHE حسب الحاجة وفقا لاحتياجات الإدخال/الإخراج ل SAS.

إذا كانت الأجهزة الظاهرية من سلسلة Edsv5 توفر مساحة تخزين كافية، فمن الأفضل استخدامها لأنها أكثر كفاءة من حيث التكلفة.

M-series

تستخدم العديد من أحمال العمل الأجهزة الظاهرية من السلسلة M، بما في ذلك:

  • تطبيقات بيئة وقت تشغيل برمجة SAS (SPRE) التي تستخدم نهج Viya لبنية البرامج.
  • بعض أحمال عمل شبكة SAS.

الأجهزة الظاهرية من سلسلة M توفر هذه الميزات:

  • الذاكرات الأساسية المقيدة
  • ما يصل إلى 3.8 تيرابايت من الذاكرة، مناسبة لأحمال العمل التي تستخدم كمية كبيرة من الذاكرة
  • معدل نقل عالٍ إلى الأقراص البعيدة، والذي يعمل بشكل جيد للمجلد SASWORK عندما يكون القرص المتوفر محليًا غير كافٍ

Ls-series

يجب أن تستخدم بعض بيئات الإدخال/الإخراج الثقيلة أجهزة ظاهرية من سلسلة Lsv2 أو Lsv3-series . على وجه الخصوص، تستفيد التطبيقات التي تتطلب سرعة الإدخال/الإخراج بسرعة زمن انتقال منخفض وكمية كبيرة من الذاكرة من هذا النوع من الأجهزة. تتضمن الأمثلة الأنظمة التي تستخدم SASWORK المجلد أو CAS_CACHEبكثافة.

إشعار

يحسِّن SAS خدماته للاستخدام مع مكتبة Intel Math Kernel (MKL).

  • مع أحمال العمل الرياضية الثقيلة، تجنب الأجهزة الظاهرية التي لا تستخدم معالجات Intel: Lsv2 وLasv3.
  • عند تحديد وحدة معالجة مركزية AMD، تحقق من صحة كيفية أداء MKL عليه.

تحذير

عندما يكون ذلك ممكنًا، تجنب استخدام Lsv2 VMs. يرجى استخدام Lsv3 VMs مع شرائح Intel بدلا من ذلك.

باستخدام Azure، يمكنك توسيع نطاق أنظمة SAS Viya حسب الطلب للوفاء بالمواعيد النهائية:

  • عن طريق زيادة سعة الحساب لتجمع العقدة.
  • باستخدام التحجيم التلقائي لنظام مجموعة AKS لإضافة العقد والتحجيم أفقيًا.
  • عن طريق توسيع البنية الأساسية مؤقتا لتسريع حمل عمل SAS.

إشعار

عند تحجيم مكونات الحوسبة، خذ في الاعتبار أيضًا توسيع نطاق التخزين لتجنب اختناقات إدخال/ إخراج التخزين.

مع Viya 3.5 وأحمال عمل الشبكة، لا يدعم Azure التحجيم الأفقي أو الرأسي في الوقت الحالي. يدعم Viya 2022 التحجيم الأفقي.

اعتبارات وضع الشبكة والأجهزة الظاهرية

غالبًا ما تكون أحمال عمل SAS دردشة. ونتيجة لذلك، يمكنهم نقل كمية كبيرة من البيانات. مع جميع منصات SAS، لتقليل تأثيرات الدردشة اتبع هذه التوصيات:

  • توزيع SAS ومنصات التخزين على نفس الشبكة الظاهرية. كما يتجنب هذا النهج تكبد تكاليف نظيرة.
  • ضع أجهزة SAS في مجموعة موضع التقارب لتقليل زمن الانتقال بين العقد.
  • عندما يكون ذلك ممكناً، قم بتوزيع أجهزة SAS ومنصات تخزين البيانات المستندة إلى الجهاز الظاهري في نفس مجموعة موضع التقارب.
  • قم بتوزيع SAS وأجهزة التخزين في نفس منطقة التوفر لتجنب زمن الانتقال عبر المنطقة. إذا لم تتمكن من تأكيد توزيع مكونات الحل في نفس المنطقة، فاتصل بدعم Azure.

لدى SAS متطلبات محددة لاسم المجال المؤهل بالكامل (FQDN) للأجهزة الظاهرية. عيِّن أسماء FQDN للجهاز بشكل صحيح، وتأكد من عمل خدمات نظام أسماء المجالات (DNS). يمكن تعيين الأسماء باستخدام Azure DNS. كما يمكن تحرير الملف hosts في مجلد التكوين etc.

إشعار

شغِّل الشبكات المتسارعة على جميع العقد في نشر SAS. عند إيقاف تشغيل هذه الميزة، فإن الأداء يعاني بشكل كبير.

لتشغيل الشبكات المتسارعة على جهاز ظاهري، اتبع الخطوات التالية:

  1. شغل هذا الأمر في Azure CLI لإزالة تخصيص الجهاز الظاهري:

    az vm deallocate --resource-group <resource_group_name> --name <VM_name>

  2. إيقاف تشغيل الجهاز الظاهري.

  3. شغل هذا الأمر في CLI:

    az network nic update -n <network_interface_name> -g <resource_group_name> --accelerated-networking true

عند ترحيل البيانات أو التفاعل مع SAS في Azure، نوصي باستخدام أحد هذه الحلول لتوصيل الموارد المحلية بـ Azure:

بالنسبة لأحمال عمل SAS للإنتاج في Azure، ExpressRoute يوفر اتصالًا خاصًا ومخصصًا وموثوقًا به يوفر هذه المزايا عبر VPN من موقع إلى موقع:

  • سرعة أعلى
  • زمن وصول أقل
  • أمان أكثر إحكامًا

كن على علم بالواجهات الحساسة لزمن الانتقال بين SAS والتطبيقات غير SAS. خذ بعين الاعتبار نقل مصادر البيانات والمتلقيات القريبة من SAS.

إدارة الهوية

يمكن لمنصات SAS استخدام حسابات المستخدمين المحليين. كما يمكنها استخدام خادم LDAP آمن للتحقق من صحة المستخدمين. نوصي بتشغيل وحدة تحكم مجال في Azure. ثم استخدم ميزة الانضمام إلى المجال لإدارة الوصول إلى الأمان بشكل صحيح. إذا لم تقم بإعداد وحدات التحكم بالمجال، ففكر في نشر Microsoft Entra Domain Services (Microsoft Entra Domain Services). عند استخدام ميزة الانضمام إلى المجال، تأكد من أن أسماء الأجهزة لا تتجاوز الحد الأقصى البالغ 15 حرفًا.

إشعار

في بعض البيئات، يوجد شرط للاتصال المحلي أو مجموعات البيانات المشتركة بين بيئات SAS المحلية وبيئات SAS المستضافة على Azure. في هذه الحالات، نوصي بشدة بتوزيع وحدة تحكم مجال في Azure.

تنشئ غابة Microsoft Entra Domain Services مستخدمين يمكنهم المصادقة مقابل أجهزة Microsoft Entra ولكن ليس الموارد المحلية والعكس صحيح.

مصادر البيانات

حلول SAS غالبًا ما تصل إلى البيانات من أنظمة متعددة. تنقسم مصادر البيانات هذه إلى فئتين:

  • مجموعات بيانات SAS، والتي يخزنها SAS في المجلد SASDATA
  • قواعد البيانات، التي غالبًا ما يضع SAS حملاً ثقيلاً عليها

لأفضل أداء:

  • ضع مصادر البيانات في أقرب مكان ممكن للبنية الأساسية لـ SAS.
  • قلل من عدد قفزات الشبكة والأجهزة بين مصادر البيانات والبنية الأساسية لـ SAS.

إشعار

إذا لم تتمكن من نقل مصادر البيانات بالقرب من البنية الأساسية لـ SAS، فتجنب تشغيل التحليلات عليها. بدلاً من ذلك، قم بتشغيل عمليات الاستخراج والتحويل والتحميل (ETL) أولا والتحليلات لاحقًا. اتبع نفس النهج مع مصادر البيانات التي تتعرض للإجهاد.

التخزين الدائم عن بُعد لبيانات SAS

لقد اختبر SAS وMicrosoft سلسلة من الأنظمة الأساسية للبيانات التي يمكنك استخدامها لاستضافة مجموعات بيانات SAS. مدونات SAS توثق النتائج بالتفصيل، بما في ذلك خصائص الأداء. الاختبارات تتضمن الأنظمة الأساسية التالية:

يوفر SAS برامج نصية لاختبار الأداء لبنى Viya و Grid. منتديات SAS توفر وثائق حول الاختبارات مع البرامج النصية على هذه الأنظمة الأساسية.

تخزين Sycomp الذي يغذيه مقياس IBM Spectrum (GPFS)

للحصول على معلومات بشأن ول كيفية تلبية Sycomp Storage المغذي بواسطة IBM Spectrum Scale لتوقعات الأداء، راجع مراجعة SAS لـ Sycomp لـ SAS Grid.

للتحجيم، تقدم Sycomp التوصيات التالية:

  • توفير عقدة مقياس GPFS واحدة لكل ثمانية ذاكرات أساسية مع تكوين 150 ميغابت في الثانية لكل ذاكرة أساسية.
  • استخدم ما لا يقل عن خمسة محركات أقراص P30 لكل مثيل.
DDN EXAScaler Cloud (Lustre)

يوفر DDN، الذي حصل على شركة Lustre الخاصة بـ Intel، EXAScaler Cloud، والذي يستند إلى نظام الملفات المتوازي Lustre. الحل يتوفر في Azure Marketplace كجزء من مظلة DDN EXAScaler Cloud. وهي مصممة للتوزيع المكثف للبيانات، وتوفر إنتاجية عالية بتكلفة منخفضة.

الاختبارات تُظهر أن DDN EXAScaler يمكنه تشغيل أحمال عمل SAS بطريقة متوازية. DDN توصي بتشغيل هذا الأمر على جميع عقد العميل عند توزيع EXAScaler أو Lustre:

lctl set_param mdc.*.max_rpcs_in_flight=128 osc.*.max_pages_per_rpc=16M osc.*.max_rpcs_in_flight=16 osc.*.max_dirty_mb=1024 llite.*.max_read_ahead_mb=2048 osc.*.checksums=0  llite.*.max_read_ahead_per_file_mb=256
ملفات Azure NetApp (NFS)

لقد تحققت اختبارات SAS من أداء NetApp لشبكة SAS. على وجه التحديد، يظهر الاختبار أن Azure NetApp Files هو خيار تخزين أساسي قابل للتطبيق لمجموعات شبكة SAS التي تصل إلى 32 نواة فعلية عبر أجهزة متعددة. عند استخدام التحسينات المقدمة من NetApp وميزات Linux، يمكن أن تكون Azure NetApp Files الخيار الأساسي لمجموعات تصل إلى 48 نواة فعلية عبر أجهزة متعددة.

خذ بعين الاعتبار النقاط التالية عند استخدام هذه الخدمة:

  • تعمل Azure NetApp Files بشكل جيد مع عمليات توزيع Viya. لا تستخدم ملفات Azure NetApp لذاكرة التخزين المؤقت CAS في Viya، لأن معدل نقل الكتابة غير كافٍ. استخدم القرص المؤقت المحلي للجهاز الظاهري بدلا من ذلك، إذا كان ذلك ممكنًا.
  • في SAS 9 Foundation مع Grid 9.4، يعد أداء ملفات Azure NetApp مع SAS لملفات SASDATA جيدًا لمجموعات تصل إلى 32 نواة فعلية. يصل هذا إلى 48 ذاكرة أساسية عند تطبيق الضبط.
  • لضمان الأداء الجيد، حدد على الأقل مستوى خدمة لمستوى تخزين Premium أو Ultra عند توزيع Azure NetApp Files. يمكنك اختيار مستوى الخدمة القياسي لوحدات التخزين الكبيرة جدًا. خذ بعين الاعتبار البدء بمستوى Premium والتبديل إلى Ultra أو Standard لاحقًا. يمكن إجراء تغييرات على مستوى الخدمة عبر الإنترنت دون تعطيل البيانات أو ترحيلها.
  • يختلف أداء القراءة والكتابة لـ Azure NetApp Files. يصل معدل نقل الكتابة لـ SAS إلى حدود تبلغ حوالي 1600MiB/ثانية بينما يتجاوز معدل نقل القراءة ذلك، إلى حوالي 4500MiB/ثانية. إذا كنت بحاجة إلى معدل نقل عالي مستمر للكتابة، فقد لا تكون ملفات Azure NetApp مناسبة.

مصادر بيانات أخرى

أنظمة SAS الأساسية تدعم مصادر بيانات مختلفة:

الاعتبارات

تنفذ هذه الاعتبارات ركائز Azure Well-Architected Framework، وهو عبارة عن مجموعة من المبادئ التوجيهية التي يمكن استخدامها لتحسين جودة حمل العمل. لمزيد من المعلومات، يرجى مراجعةMicrosoft Azure Well-Architected Framework.

الأمان

ويوفر عامل الأمان ضمانات للحماية من الهجمات المتعمدة واستغلال البيانات والأنظمة القيمة الخاصة بك. للمزيد من المعلومات، يرجى الرجوع إلى نظرة عامة على ركيزة الأمان.

ناتج أحمال عمل SAS الخاصة بك يمكن أن يكون أحد الأصول الهامة لمؤسستك. إخراج SAS يوفر نظرة ثاقبة على الكفاءات الداخلية، ويمكن أن يلعب دورًا حاسمًا في استراتيجية إعداد التقارير. بعد ذلك، من المهم تأمين الوصول إلى بنية SAS الخاصة بك. لتحقيق هذا الهدف، استخدم المصادقة الآمنة ومعالجة الثغرات الأمنية في الشبكة. استخدم التشفير لحماية جميع البيانات التي تنتقل داخل بنيتك وخارجها.

Azure يقدم SAS باستخدام نموذج سحابي للبنية الأساسية كخدمة (IaaS). Microsoft تبني حماية الأمان في الخدمة على المستويات التالية:

  • مركز البيانات الفعلي
  • الشبكة الفعلية
  • المضيف الفعلي
  • برنامج مراقبة الأجهزة الافتراضية

قيِّم الخدمات والتقنيات التي تحددها بعناية للمناطق أعلى برنامج مراقبة الأجهزة الافتراضية، مثل نظام التشغيل الضيف لـ SAS. تأكد من توفير عناصر التحكم الأمنية المناسبة لبنيتك.

لا يدعم SAS حاليا معرف Microsoft Entra بشكل كامل. للمصادقة في طبقة المرئيات ل SAS، يمكنك استخدام معرف Microsoft Entra. ولكن للتفويض الخلفي، استخدم استراتيجية مشابهة للمصادقة المحلية. عند إدارة موارد IaaS، يمكنك استخدام معرف Microsoft Entra للمصادقة والتخويل إلى مدخل Microsoft Azure. عند استخدام Microsoft Entra Domain Services، لا يمكنك مصادقة حسابات الضيوف. محاولات الضيف لتسجيل الدخول ستفشل.

استخدم مجموعات أمان الشبكة لتصفية نسبة استخدام الشبكة من وإلى الموارد الموجودة في شبكتك الظاهرية. يمكنك باستخدام هذه المجموعات تحديد القواعد التي تمنح أو ترفض الوصول إلى خدمات SAS الخاصة بك. تتضمن الأمثلة ما يلي:

  • منح حق الوصول إلى منافذ عامل CAS من نطاقات عناوين IP المحلية.
  • حظر الوصول إلى خدمات SAS من الإنترنت.

يمكنك استخدام تشفير قرص Azure للتشفير داخل نظام التشغيل. هذا الحل يستخدم ميزة DM-Crypt من Linux. ولكننا لا نوصي حاليًا باستخدام تشفير قرص Azure. يمكن أن يؤدي ذلك إلى تدهور الأداء بشكل كبير، خاصة عند استخدام SASWORK الملفات محليًا.

التشفير من جانب الخادم (SSE) لـ Azure Disk Storage يحمي بياناتك. كما يساعدك على الوفاء بالتزامات الأمان والتوافق التنظيمية. يقوم SSE بتشفير البيانات الثابتة عند استمرارها في السحابة، وذلك باستخدام الأقراص المُدارة من Azure. هذا السلوك ينطبق بشكل افتراضي على كل من نظام التشغيل وأقراص البيانات. يمكنك استخدام المفاتيح المُدارة بواسطة النظام الأساسي أو المفاتيح الخاصة بك لتشفير القرص المُدار.

حماية البنية الأساسية لديك

التحكم في الوصول إلى موارد Azure التي تقوم بتوزيعها. كل اشتراك Azure له علاقة ثقة مع مستأجر Microsoft Entra. استخدم عنصر تحكم الوصول استناداً إلى دور Azure (Azure RBAC) لمنح المستخدمين داخل مؤسستك الأذونات الصحيحة لموارد Azure. امنح حق الوصول عن طريق تعيين أدوار Azure للمستخدمين أو المجموعات في نطاق معين. يمكن أن يكون النطاق اشتراكاً أو مجموعة موارد أو مورداً واحداً. تأكد من تدقيق جميع التغييرات التي تم إجراؤها على البنية الأساسية.

إدارة الوصول عن بُعد إلى أجهزتك الظاهرية من خلال Azure Bastion. لا تعرض أي من هذه المكونات على الإنترنت:

  • أجهزة ظاهرية
  • منافذ بروتوكول Shell الآمن (SSH)
  • بروتوكول سطح المكتب البعيد (RDP)

نشر هذا السيناريو

من الأفضل توزيع أحمال العمل باستخدام عملية بنية أساسية كتعليمية (IaC). يمكن أن تكون أحمال عمل SAS حساسة للتكوينات الخاطئة التي تحدث غالبًا في عمليات التوزيع اليدوية وتقليل الإنتاجية.

عند إنشاء بيئتك، راجع المواد المرجعية للتشغيل السريع في CoreCompete SAS 9 أو Viya على Azure.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكتاب الرئيسيون:

المساهم الآخر:

لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.

الخطوات التالية

للحصول على المساعدة في البدء، راجع الموارد التالية:

للحصول على تعليمات حول عملية التنفيذ التلقائي، راجع القوالب التالية التي يوفرها SAS: