Přehled architektury s dobře navrženou architekturou Azure v Azure Blob Storage
Azure Blob Storage je řešení úložiště objektů Microsoftu pro cloud. Blob Storage je optimalizované pro ukládání obrovských objemů nestrukturovaných dat. Nestrukturovaná data jsou data, která nevyhovují konkrétnímu datovému modelu nebo definici, jako jsou textová nebo binární data.
Tento článek předpokládá, že jako architekt jste zkontrolovali možnosti úložiště a jako službu úložiště, na které chcete spouštět úlohy, zvolili jste službu Blob Storage. Pokyny v tomto článku poskytují doporučení architektury, která jsou namapovaná na principy pilířů architektury Azure Well-Architected Framework.
Důležité
Jak používat tohoto průvodce
Každá část obsahuje kontrolní seznam návrhu, který představuje oblasti zájmu architektury spolu se strategiemi návrhu.
Součástí jsou také doporučení týkající se technologických možností, které můžou pomoct s implementací těchto strategií. Doporučení nepředstavují vyčerpávající seznam všech konfigurací dostupných pro službu Blob Storage a její závislosti. Místo toho zobrazí seznam klíčových doporučení mapovaných na perspektivy návrhu. Pomocí doporučení můžete vytvořit testování konceptu nebo optimalizovat vaše stávající prostředí.
Spolehlivost
Účelem pilíře spolehlivosti je poskytovat nepřetržitou funkčnost tím, že vytváří dostatečnou odolnost a schopnost rychle se zotavit ze selhání.
Principy návrhu spolehlivosti poskytují strategii návrhu vysoké úrovně použité pro jednotlivé komponenty, systémové toky a systém jako celek.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro spolehlivost.
Analýza režimu selhání: Minimalizujte body selhání zvážením interních závislostí, jako je dostupnost virtuálních sítí, služby Azure Key Vault nebo koncových bodů Azure Content Delivery Network nebo Azure Front Door. K selháním může dojít v případě, že přihlašovací údaje vyžadované úlohami pro přístup ke službě Blob Storage chybí ve službě Key Vault nebo pokud úlohy používají koncový bod založený na odebrané síti pro doručování obsahu. V těchto případech můžou úlohy k připojení potřebovat alternativní koncový bod. Obecné informace o analýze režimu selhání naleznete v tématu Doporučení pro provádění analýzy režimu selhání.
Definování cílů spolehlivosti a obnovení: Zkontrolujte smlouvy o úrovni služeb Azure (SLA). Odvozujte cíl na úrovni služby (SLO) pro účet úložiště. Cíl úrovně služby může být například ovlivněn konfigurací redundance, kterou jste zvolili. Zvažte vliv regionálního výpadku, možné ztráty dat a dobu potřebnou k obnovení přístupu po výpadku. Zvažte také dostupnost všech interních závislostí, které jste identifikovali jako součást analýzy režimu selhání.
Konfigurace redundance dat: Pro maximální odolnost zvolte konfiguraci, která kopíruje data napříč zónami dostupnosti nebo globálními oblastmi. Pro zajištění maximální dostupnosti zvolte konfiguraci, která klientům umožňuje číst data ze sekundární oblasti během výpadku primární oblasti.
Návrh aplikací: Návrh aplikací tak, aby se bez problémů přesunuly na čtení dat ze sekundární oblasti, pokud z nějakého důvodu přestane být primární oblast dostupná. To platí jenom pro konfigurace geograficky redundantního úložiště (GRS) a geograficky zónově redundantního úložiště (GZRS). Navrhování aplikací pro zpracování výpadků snižuje výpadky pro koncové uživatele.
Prozkoumejte funkce, které vám pomůžou splnit cíle obnovení: Obnovte objekty blob, aby je bylo možné obnovit, pokud jsou poškozené, upravené nebo odstraněné omylem.
Vytvoření plánu obnovení: Zvažte funkce ochrany dat, operace zálohování a obnovení nebo postupy převzetí služeb při selhání. Připravte se na potenciální ztrátu dat a nekonzistence dat a čas a náklady na převzetí služeb při selhání. Další informace najdete v tématu Doporučení pro návrh strategie zotavení po havárii.
Monitorování potenciálních problémů s dostupností: Přihlaste se k odběru řídicího panelu služby Azure Service Health a monitorujte potenciální problémy s dostupností. K prozkoumání výstrah použijte metriky úložiště ve službě Azure Monitor a diagnostické protokoly.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Nakonfigurujte svůj účet pro redundanci. Pokud chcete maximální dostupnost a odolnost, nakonfigurujte svůj účet pomocí zónově redundantního úložiště (ZRS) nebo GZRS. |
Redundance chrání vaše data před neočekávanými selháními. Možnosti konfigurace ZRS a GZRS se replikují napříč různými zónami dostupnosti a umožňují aplikacím pokračovat ve čtení dat během výpadku. Další informace najdete v tématu Stálost a dostupnost podle scénáře výpadku a parametrů stálosti a dostupnosti. |
| Před zahájením převzetí služeb při selhání nebo navrácení služeb po obnovení vyhodnoťte potenciál ztráty dat kontrolou hodnoty vlastnosti času poslední synchronizace . Toto doporučení platí jenom pro konfigurace GRS a GZRS. | Tato vlastnost vám pomůže odhadnout, kolik dat můžete ztratit tím, že zahájíte převzetí služeb při selhání účtu. Všechna data a metadata zapsaná před posledním časem synchronizace jsou k dispozici v sekundární oblasti, ale data a metadata zapsaná po posledním čase synchronizace můžou být ztracena, protože se nezapisuje do sekundární oblasti. |
| Jako součást strategie zálohování a obnovení povolte obnovitelné odstranění kontejneru, obnovitelné odstranění objektů blob, správu verzí a možnosti obnovení k určitému bodu v čase. | Možnost obnovitelného odstranění umožňuje účtu úložiště obnovit odstraněné kontejnery a objekty blob. Možnost správy verzí automaticky sleduje změny provedené v objektech blob. Tato možnost umožňuje obnovit objekt blob do předchozího stavu. Možnost obnovení k určitému bodu v čase chrání před náhodným odstraněním nebo poškozením objektů blob a umožňuje obnovit data objektů blob bloku do dřívějšího stavu. Další informace najdete v tématu Přehled ochrany dat. |
Zabezpečení
Účelem pilíře zabezpečení je poskytnout úlohu záruky důvěrnosti, integrity a dostupnosti .
Principy návrhu zabezpečení poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů použitím přístupů k technickému návrhu konfigurace služby Blob Storage.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu zabezpečení. Identifikujte ohrožení zabezpečení a kontrolní mechanismy, abyste zlepšili stav zabezpečení. Rozšiřte strategii tak, aby podle potřeby zahrnovala více přístupů.
Projděte si standardní hodnoty zabezpečení pro Azure Storage: Začněte tím , že nejprve zkontrolujete směrný plán zabezpečení pro Službu Storage.
Pomocí síťových ovládacích prvků omezte příchozí a odchozí provoz: Zakažte veškerý veřejný provoz do účtu úložiště. Pomocí síťových ovládacích prvků účtu udělte minimální úroveň přístupu vyžadovanou uživateli a aplikacemi. Další informace najdete v tématu Jak přistupovat k zabezpečení sítě pro váš účet úložiště.
Omezte prostor pro útoky: Zabránění anonymnímu přístupu, přístupu ke klíči účtu nebo přístupu přes nezabezpečená připojení (HTTP) může snížit prostor pro útoky. Vyžadovat, aby klienti odesílali a přijímali data pomocí nejnovější verze protokolu TLS (Transport Layer Security).
Autorizace přístupu bez použití hesel nebo klíčů: Microsoft Entra ID poskytuje vynikající zabezpečení a snadné použití v porovnání se sdílenými klíči a sdílenými přístupovými podpisy. Udělte objekty zabezpečení pouze těm oprávněním, která jsou potřebná k tomu, aby mohli provádět své úkoly.
Ochrana citlivých informací: Chraňte citlivé informace, jako jsou klíče účtu a tokeny sdíleného přístupového podpisu. I když se tyto formuláře autorizace obecně nedoporučují, nezapomeňte je bezpečně obměňovat, vypršet a uložit.
Povolte požadovanou možnost zabezpečeného přenosu: Povolením tohoto nastavení pro všechny účty úložiště zajistíte, že všechny požadavky provedené s účtem úložiště musí probíhat přes zabezpečená připojení. Všechny požadavky provedené přes HTTP selžou.
Ochrana kritických objektů: Použijte zásady neměnnosti pro ochranu důležitých objektů. Zásady chrání objekty blob uložené pro právní účely, dodržování předpisů nebo jiné obchodní účely před úpravou nebo odstraněním. Nakonfigurujte blokování pro nastavená časová období nebo dokud správce nezvolá omezení.
Detekce hrozeb: Povolte Microsoft Defender for Storage k detekci hrozeb. Výstrahy zabezpečení se spouštějí při výskytu anomálií v aktivitě. Výstrahy upozorňují správce předplatného e-mailem s podrobnostmi o podezřelé aktivitě a doporučeních, jak vyšetřovat a opravovat hrozby.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Zakažte anonymní přístup pro čtení ke kontejnerům a objektům blob. | Pokud je pro účet úložiště povolený anonymní přístup, může uživatel s příslušnými oprávněními upravit nastavení anonymního přístupu kontejneru tak, aby umožňoval anonymní přístup k datům v daném kontejneru. |
| Použijte zámek Azure Resource Manageru v účtu úložiště. | Uzamčení účtu zabrání jeho odstranění a ztrátě dat. |
| Zakažte provoz do veřejných koncových bodů vašeho účtu úložiště. Vytvořte privátní koncové body pro klienty , kteří běží v Azure. Povolte veřejný koncový bod jenom v případě, že klienti a služby externí do Azure vyžadují přímý přístup k vašemu účtu úložiště. Povolte pravidla brány firewall, která omezují přístup ke konkrétním virtuálním sítím. | Začněte s nulovým přístupem a pak postupně autorizujete nejnižší úrovně přístupu vyžadované pro klienty a služby, abyste minimalizovali riziko vytváření zbytečných otevření pro útočníky. |
| Autorizace přístupu pomocí řízení přístupu na základě role v Azure (RBAC). | S RBAC neexistují žádná hesla ani klíče, které by bylo možné ohrozit. Instanční objekt zabezpečení (uživatel, skupina, spravovaná identita nebo instanční objekt) se ověřuje id Microsoft Entra, aby vrátilo token OAuth 2.0. Token se používá k autorizaci požadavku ve službě Blob Storage. |
| Zakázat autorizaci sdíleného klíče To zakáže nejen přístup ke klíči účtu, ale také tokeny sdíleného přístupového podpisu účtu a účtu, protože jsou založené na klíčích účtu. | Jsou povoleny pouze zabezpečené požadavky, které jsou autorizované s ID Microsoft Entra. |
| Doporučujeme nepoužívat klíč účtu. Pokud musíte použít klíče účtu, uložte je ve službě Key Vault a ujistěte se, že je pravidelně znovu vygenerujete. | Key Vault umožňuje načítat klíče za běhu místo jejich uložení pomocí aplikace. Key Vault také usnadňuje obměně klíčů bez přerušení aplikací. Obměně klíčů účtu pravidelně snižuje riziko vystavení dat útokům se zlými úmysly. |
| Doporučujeme nepoužívat tokeny sdíleného přístupového podpisu. Vyhodnoťte, jestli potřebujete tokeny sdíleného přístupového podpisu k zabezpečení přístupu k prostředkům blob Storage. Pokud ho musíte vytvořit, přečtěte si tento seznam osvědčených postupů pro sdílený přístupový podpis, než ho vytvoříte a distribuujete. | Osvědčené postupy vám můžou pomoct zabránit úniku tokenu sdíleného přístupového podpisu a rychle obnovit, pokud dojde k úniku. |
| Nakonfigurujte účet úložiště tak, aby klienti mohli odesílat a přijímat data pomocí minimální verze protokolu TLS 1.2. | Protokol TLS 1.2 je bezpečnější a rychlejší než protokol TLS 1.0 a 1.1, který nepodporuje moderní kryptografické algoritmy a šifrovací sady. |
| Zvažte použití vlastního šifrovacího klíče k ochraně dat v účtu úložiště. Další informace najdete v tématu Klíče spravované zákazníkem pro šifrování služby Azure Storage. | Klíče spravované zákazníkem poskytují větší flexibilitu a kontrolu. Šifrovací klíče můžete například uložit do služby Key Vault a automaticky je otočit. |
Optimalizace nákladů
Optimalizace nákladů se zaměřuje na zjišťování vzorců výdajů, stanovení priorit investic do kritických oblastí a optimalizaci v jiných oblastech, aby splňovaly požadavky organizace na rozpočet a obchodní požadavky.
Principy návrhu optimalizace nákladů poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů a dosažení kompromisů v technickém návrhu souvisejícím se službou Blob Storage a jeho prostředím.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro optimalizaci nákladů pro investice. Dolaďte návrh tak, aby úloha byla v souladu s rozpočtem přiděleným pro danou úlohu. Váš návrh by měl využívat správné možnosti Azure, monitorovat investice a hledat příležitosti k optimalizaci v průběhu času.
Identifikujte měřiče, které se používají k výpočtu faktury: Měřiče se používají ke sledování množství dat uložených v účtu (datové kapacitě) a počtu a typu operací, které se provádějí při zápisu a čtení dat. K použití volitelných funkcí, jako jsou značky indexu objektů blob, inventář objektů blob, podpora kanálu změn, rozsahy šifrování a podpora protokolu SFTP (File Transfer Protocol) SSH, jsou také přidružené měřiče. Další informace najdete v tématu Jak se vám účtují poplatky za službu Blob Storage.
Seznamte se s cenou každého měřiče: Nezapomeňte použít odpovídající stránku s cenami a použít příslušná nastavení na této stránce. Další informace najdete v tématu Vyhledání jednotkové ceny jednotlivých měřičů. Zvažte počet operací spojených s každou cenou. Například cena spojená s operacemi zápisu a čtení platí pro 10 000 operací. Pokud chcete určit cenu jednotlivé operace, vydělte uvedenou cenu 10 000.
Odhad nákladů na kapacitu a provoz: Pomocí cenové kalkulačky Azure můžete modelovat náklady spojené s úložištěm dat, příchozím přenosem dat a výchozím přenosem dat. Pomocí polí můžete porovnat náklady spojené s různými oblastmi, typy účtů, typy oborů názvů a konfiguracemi redundance. V určitých scénářích můžete použít ukázkové výpočty a listy dostupné v dokumentaci Microsoftu. Můžete například odhadnout náklady na archivaci dat nebo odhadnout náklady na přenos objektů blob pomocí příkazu AzCopy.
Zvolte fakturační model pro kapacitu: Vyhodnoťte, jestli je použití modelu založeného na závazku nákladově efektivnější než použití modelu založeného na spotřebě. Pokud si nejste jistí, jakou kapacitu potřebujete, můžete začít modelem založeným na spotřebě, monitorovat metriky kapacity a následně vyhodnotit později.
Zvolte typ účtu, úroveň redundance a výchozí úroveň přístupu: Při vytváření účtu úložiště musíte vybrat hodnotu pro každé z těchto nastavení. Všechny hodnoty ovlivňují poplatky za transakce a poplatky za kapacitu. Všechna tato nastavení s výjimkou typu účtu je možné po vytvoření účtu změnit.
Zvolte cenově nejvýhodnější výchozí úroveň přístupu: Pokud není zadaná úroveň při každém nahrání objektu blob, objekty blob odvozují jejich úroveň přístupu z výchozího nastavení úrovně přístupu. Změna výchozího nastavení úrovně přístupu účtu úložiště se vztahuje na všechny objekty blob v účtu, pro které nebyla explicitně nastavena úroveň přístupu. Tyto náklady můžou být významné, pokud jste shromáždili velký počet objektů blob. Další informace o tom, jak změna vrstvy ovlivňuje každý existující objekt blob, najdete v tématu Změna úrovně přístupu objektu blob.
Nahrání dat přímo do nákladově nejefektivnější úrovně přístupu: Pokud je například výchozí nastavení úrovně přístupu vašeho účtu horké, ale nahráváte soubory pro účely archivace, zadejte jako archivní nebo studenou úroveň jako součást operace nahrávání. Po nahrání objektů blob pomocí zásad správy životního cyklu přesuňte objekty blob do nákladově nejefektivnějších úrovní na základě metrik využití, jako je čas posledního přístupu. Volba nejoptimálnější vrstvy předem může snížit náklady. Pokud změníte úroveň objektu blob bloku, který jste už nahráli, zaplatíte náklady na zápis na počáteční úroveň při prvním nahrání objektu blob a pak zaplatíte náklady na zápis do požadované úrovně.
Plánování správy životního cyklu dat: Optimalizace nákladů na transakce a kapacitu s využitím úrovní přístupu a správy životního cyklu Méně často používaná data by měla být umístěna v chladnějších úrovních přístupu, zatímco data, ke kterým se přistupuje často, by měla být umístěna v teplejších úrovních přístupu.
Rozhodněte se, které funkce potřebujete: U některých funkcí, jako je správa verzí a obnovitelné odstranění objektů blob, se účtují další náklady na transakce a kapacitu a další poplatky. Nezapomeňte si projít oddíly s cenami a fakturací v článcích, které popisují tyto možnosti, když zvolíte, které možnosti se mají přidat do vašeho účtu.
Pokud například povolíte funkci inventáře objektů blob, bude se vám účtovat počet naskenovaných objektů. Pokud používáte značky indexu objektů blob, účtuje se vám počet značek indexu. Pokud povolíte podporu SFTP, účtuje se vám hodinová platba, i když neexistují žádné převody SFTP. Pokud se rozhodnete použít funkci, ověřte, že je tato funkce zakázaná, protože při vytváření účtu jsou některé funkce automaticky povolené.
Vytváření mantinelí: Vytváření rozpočtů na základě předplatných a skupin prostředků Pomocí zásad správného řízení omezte typy prostředků, konfigurace a umístění. Kromě toho můžete pomocí RBAC blokovat akce, které můžou vést k nadměrnému překročení.
Monitorování nákladů: Zajistěte, aby náklady zůstaly v rámci rozpočtů, porovnejte náklady s prognózami a zjistěte, kde dochází k nadměrnému překročení. K monitorování nákladů můžete použít podokno analýzy nákladů na webu Azure Portal. Data nákladů můžete také exportovat do účtu úložiště a analyzovat je pomocí Excelu nebo Power BI.
Monitorování využití: Nepřetržitě monitorujte vzorce využití a detekujte nepoužívané nebo nedostatečně využité účty a kontejnery. Přehledy služby Storage můžete použít k identitě účtů bez použití nebo bez použití. Povolte sestavy inventáře objektů blob a k analýze nákladových dat používejte nástroje, jako jsou Azure Databricks nebo Azure Synapse Analytics a Power BI. Dávejte pozor na neočekávané zvýšení kapacity, což může znamenat, že shromažďujete velké množství souborů protokolu, verzí objektů blob nebo obnovitelně odstraněných objektů blob. Vytvořte strategii pro vypršení platnosti nebo převod objektů na nákladově efektivnější úrovně přístupu. Máte plán pro vypršení platnosti objektů nebo přesunutí objektů do cenově dostupných úrovní přístupu.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Než je přesunete do chladnějších vrstev, zabalte malé soubory do větších souborů . Můžete použít formáty souborů, jako je TAR nebo ZIP. | Chladnější úrovně mají vyšší náklady na přenos dat. Díky menšímu počtu velkých souborů můžete snížit počet operací potřebných k přenosu dat. |
| Při dosazování objektů blob z archivačního úložiště použijte dosazování podle standardní priority. Dosazování s vysokou prioritou používejte pouze v situacích nouzového obnovení dat. Další informace najdete v tématu Dosazování archivovaného objektu blob do online vrstvy. | Dosazování s vysokou prioritou z archivní úrovně může vést k vyšší než normální fakturaci. |
| Snižte náklady na používání protokolů prostředků výběrem vhodného umístění úložiště protokolů a správou období uchovávání protokolů. Pokud plánujete dotazovat pouze protokoly příležitostně (například dotazování protokolů pro auditování dodržování předpisů), zvažte možnost odesílat protokoly prostředků do účtu úložiště místo jejich odesílání do pracovního prostoru protokolů služby Azure Monitor. K analýze protokolů můžete použít řešení bezserverového dotazu, jako je Azure Synapse Analytics. Další informace najdete v tématu Optimalizace nákladů na občasné dotazy. K odstranění nebo archivaci protokolů použijte zásady správy životního cyklu. | Uložení protokolů prostředků do účtu úložiště pro pozdější analýzu může být levnější možností. Použití zásad správy životního cyklu ke správě uchovávání protokolů v účtu úložiště brání velkému počtu souborů protokolů v průběhu času, což může vést k zbytečným poplatkům za kapacitu. |
| Pokud povolíte správu verzí, použijte zásadu správy životního cyklu k automatickému odstranění starých verzí objektů blob. | Každá operace zápisu do objektu blob vytvoří novou verzi. Tím se zvyšují náklady na kapacitu. Náklady můžete udržovat v kontrole odebráním verzí, které už nepotřebujete. |
| Pokud povolíte správu verzí, umístěte objekty blob, které se často přepíšou do účtu, který nemá povolenou správu verzí. | Při každém přepsání objektu blob se přidá nová verze, která vede ke zvýšení poplatků za kapacitu úložiště. Pokud chcete snížit poplatky za kapacitu, ukládejte často přepsaná data do samostatného účtu úložiště se zakázaným správou verzí. |
| Pokud povolíte obnovitelné odstranění, umístěte objekty blob, které se často přepíšou do účtu, který nemá povolené obnovitelné odstranění. Nastavte dobu uchovávání. Zvažte začátek krátké doby uchovávání, abyste lépe pochopili, jak tato funkce ovlivňuje vaši fakturu. Minimální doporučená doba uchovávání je sedm dnů. | Při každém přepsání objektu blob se vytvoří nový snímek. Příčinou zvýšeného poplatku za kapacitu může být obtížné získat přístup, protože se vytváření těchto snímků nezobrazuje v protokolech. Pokud chcete snížit poplatky za kapacitu, ukládejte často přepsaná data do samostatného účtu úložiště se zakázaným obnovitelným odstraněním. Doba uchovávání uchovává obnovitelné odstraněné objekty blob z hromady a přidávání do nákladů na kapacitu. |
| Povolte podporu SFTP jenom v případech, kdy se používá k přenosu dat. | Povolení koncového bodu SFTP se účtují po hodinách. Když záměrně zakážete podporu SFTP a podle potřeby ji povolíte, můžete se vyhnout pasivním poplatkům z nabíhání účtu. |
| Zakažte všechny obory šifrování, které nejsou potřeba, abyste se vyhnuli zbytečným poplatkům. | Za rozsahy šifrování se účtují poplatky za měsíc. |
Efektivita provozu
Efektivita provozu se primárně zaměřuje na postupy vývoje , pozorovatelnost a správu verzí.
Principy návrhu efektivity provozu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů pro provozní požadavky úlohy.
Kontrolní seznam návrhu
Začněte strategii návrhu založenou na kontrolním seznamu kontroly návrhu pro efektivitu provozu pro definování procesů pozorovatelnosti, testování a nasazení souvisejících s konfigurací služby Blob Storage.
Vytváření plánů údržby a nouzového obnovení: Zvažte funkce ochrany dat, operace zálohování a obnovení a postupy převzetí služeb při selhání. Připravte se na potenciální ztrátu dat a nekonzistence dat a čas a náklady na převzetí služeb při selhání.
Monitorování stavu účtu úložiště: Vytvoření řídicích panelů Přehledů úložiště pro monitorování dostupnosti, výkonu a odolnosti Nastavte upozornění pro identifikaci a řešení problémů ve vašem systému, než si je vaši zákazníci všimnou. Pomocí nastavení diagnostiky můžete směrovat protokoly prostředků do pracovního prostoru protokolů služby Azure Monitor. Pak se můžete dotazovat na protokoly, abyste podrobněji prozkoumali výstrahy.
Povolit sestavy inventáře objektů blob: Povolte sestavy inventáře objektů blob a zkontrolujte stav uchovávání, blokování z právních důvodů nebo stav šifrování obsahu účtu úložiště. Sestavy inventáře objektů blob můžete použít také k pochopení celkové velikosti dat, stáří, distribuce vrstev nebo jiných atributů vašich dat. Pomocí nástrojů, jako jsou Azure Databricks nebo Azure Synapse Analytics a Power BI, můžete lépe vizualizovat data inventáře a vytvářet sestavy pro zúčastněné strany.
Nastavte zásady, které odstraňují objekty blob nebo je přesouvají do nákladově efektivních úrovní přístupu: Vytvořte zásadu správy životního cyklu s počáteční sadou podmínek. Zásady se spouští automaticky a odstraňují nebo nastavují úroveň přístupu objektů blob na základě vámi definovaných podmínek. Pravidelně analyzujte využití kontejnerů pomocí monitorování metrik a sestav inventáře objektů blob, abyste mohli upřesnit podmínky pro optimalizaci efektivity nákladů.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Pomocí infrastruktury jako kódu (IaC) můžete definovat podrobnosti účtů úložiště v šablonách Azure Resource Manageru (šablony ARM), Bicep nebo Terraformu. | Existující procesy DevOps můžete použít k nasazení nových účtů úložiště a k vynucování jejich konfigurace můžete použít Azure Policy . |
| Pomocí přehledů služby Storage můžete sledovat stav a výkon účtů úložiště. Přehledy úložiště poskytují jednotné zobrazení selhání, výkonu, dostupnosti a kapacity pro všechny vaše účty úložiště. | Můžete sledovat stav a provoz jednotlivých účtů. Snadno vytvářet řídicí panely a sestavy, které můžou zúčastněné strany použít ke sledování stavu vašich účtů úložiště. |
Efektivita výkonu
Efektivita výkonu se týká zachování uživatelského prostředí i v případě, že se zvyšuje zatížení díky správě kapacity. Strategie zahrnuje škálování prostředků, identifikaci a optimalizaci potenciálních kritických bodů a optimalizaci výkonu ve špičce.
Principy návrhu efektivity výkonu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů kapacity proti očekávanému využití.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu týkajícího se efektivity výkonu. Definujte standardní hodnoty založené na klíčových ukazatelích výkonu pro konfiguraci služby Blob Storage.
Plánování škálování: Vysvětlení cílů škálování pro účty úložiště
Zvolte optimální typ účtu úložiště: Pokud vaše úloha vyžaduje vysoké rychlosti transakcí, menší objekty a konzistentně nízkou latenci transakcí, zvažte použití účtů úložiště objektů blob bloku úrovně Premium. Ve většině případů je nejvhodnější standardní účet pro obecné účely verze 2.
Zmenšete vzdálenost mezi klientem a serverem: Umístěte data do oblastí nejblíže k připojení klientů (ideálně ve stejné oblasti). Optimalizujte klienty ve vzdálených oblastech pomocí replikace objektů nebo sítě pro doručování obsahu. Výchozí konfigurace sítě poskytují nejlepší výkon. Upravte nastavení sítě pouze tak, aby se zlepšilo zabezpečení. Obecně platí, že nastavení sítě nezmenšuje vzdálenost cesty a nezlepšuje výkon.
Zvolte efektivní schéma pojmenování: Snižte latenci operací výpisu, seznamu, dotazu a čtení pomocí předpon značek hash, které jsou nejblíže začátku klíče oddílu objektu blob (účet, kontejner, virtuální adresář nebo název objektu blob). Toto schéma má většinou výhody účtů s plochým oborem názvů.
Optimalizace výkonu datových klientů: Zvolte nástroj pro přenos dat, který je nejvhodnější pro velikost dat, frekvenci přenosu a šířku pásma vašich úloh. Některé nástroje, jako je AzCopy , jsou optimalizované pro výkon a vyžadují malý zásah. Zvažte faktory, které ovlivňují latenci, a vyladění výkonu kontrolou pokynů pro optimalizaci výkonu, které jsou publikované s každým nástrojem.
Optimalizace výkonu vlastního kódu: Zvažte použití sad SDK úložiště místo vytváření vlastních obálk pro operace REST objektů blob. Sady Azure SDK jsou optimalizované pro výkon a poskytují mechanismy pro vyladění výkonu. Před vytvořením aplikace zkontrolujte kontrolní seznam výkonu a škálovatelnosti pro službu Blob Storage. Zvažte použití akcelerace dotazů k vyfiltrování nežádoucích dat během požadavku na úložiště a k tomu, aby klienti nemuseli přenášet data přes síť.
Shromažďování dat o výkonu: Monitorování účtu úložiště za účelem identifikace kritických bodů výkonu, ke kterým dochází při omezování Další informace najdete v tématu Monitorování služby úložiště pomocí přehledů služby Monitorování úložiště. Použijte metriky i protokoly. Metriky poskytují čísla, jako jsou chyby omezování. Protokoly popisují aktivitu. Pokud se zobrazí metriky omezování, můžete použít protokoly k identitě, u kterých klientů dochází k chybám omezování. Další informace najdete v tématu Auditování operací roviny dat.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Zřízení účtů úložiště ve stejné oblasti, ve které jsou umístěné závislé prostředky. U aplikací, které nejsou hostované v Azure, jako jsou aplikace mobilních zařízení nebo místní podnikové služby, vyhledejte účet úložiště v nejbližší oblasti těmto klientům. Další informace najdete v geografických oblastech Azure. Pokud klienti z jiné oblasti nevyžadují stejná data, vytvořte v každé oblasti samostatný účet. Pokud klienti z jiné oblasti vyžadují jenom některá data, zvažte použití zásad replikace objektů k asynchronnímu kopírování relevantních objektů do účtu úložiště v jiné oblasti. |
Snížení fyzické vzdálenosti mezi účtem úložiště a virtuálními počítači, službami a místními klienty může zlepšit výkon a snížit latenci sítě. Snížení fyzické vzdálenosti také snižuje náklady na aplikace hostované v Azure, protože využití šířky pásma v rámci jedné oblasti je bezplatné. |
| Pro širokou spotřebu webových klientů (streamování videa, zvuku nebo statického obsahu webu) zvažte použití sítě pro doručování obsahu prostřednictvím služby Azure Front Door. | Obsah se doručuje klientům rychleji, protože využívá globální hraniční síť Microsoftu se stovkami globálních a místních bodů přítomnosti po celém světě. |
| V klíči oddílu objektu blob přidejte co nejdříve sekvenci znaků hash (například tři číslice). Klíč oddílu je název účtu, název kontejneru, název virtuálního adresáře a název objektu blob. Pokud máte v úmyslu používat časové razítko v názvech, zvažte přidání hodnoty sekund na začátek tohoto razítka. Další informace najdete v tématu Dělení. | Použití kódu hash nebo hodnoty sekund nejblíže začátku klíče oddílu zkracuje dobu potřebnou k výpisu dotazů a čtení objektů blob. |
| Při nahrávání objektů blob nebo bloků použijte objekt blob nebo velikost bloku, která je větší než 256 KiB. | Velikosti objektů blob nebo bloků nad 256 KiB využívají vylepšení výkonu na platformě určené speciálně pro větší objekty blob a velikosti bloků. |
Zásady Azure
Azure poskytuje rozsáhlou sadu předdefinovaných zásad souvisejících se službou Blob Storage a jejími závislostmi. Některá z předchozích doporučení je možné auditovat prostřednictvím zásad Azure. Můžete například zkontrolovat, jestli:
- Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob není povolený.
- Nastavení diagnostiky pro Blob Storage jsou nastavená tak, aby streamovat protokoly prostředků do pracovního prostoru protokolů služby Azure Monitor.
- Přijímají se jenom požadavky ze zabezpečených připojení (HTTPS).
- Je povolená zásada vypršení platnosti sdíleného přístupového podpisu.
- Replikace objektů mezi tenanty je zakázaná.
- Autorizace sdíleného klíče je zakázaná.
- Pravidla brány firewall sítě se použijí na účet.
Komplexní zásady správného řízení najdete v předdefinovaných definicích služby Azure Policy pro úložiště a další zásady, které by mohly ovlivnit zabezpečení výpočetní vrstvy.
Doporučení Azure Advisoru
Azure Advisor je individuální cloudový konzultant, který vám pomůže postupovat podle osvědčených postupů pro optimalizaci nasazení Azure. Tady je několik doporučení, která vám pomůžou zlepšit spolehlivost, zabezpečení, nákladovou efektivitu, výkon a efektivitu provozu služby Blob Storage.
Další krok
Další informace o službě Blob Storage najdete v dokumentaci ke službě Blob Storage.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro