Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Blob Storage je řešení úložiště objektů Microsoftu pro cloud. Blob Storage je optimalizované pro ukládání obrovských objemů nestrukturovaných dat. Nestrukturovaná data jsou data, která nevyhovují konkrétnímu datovému modelu nebo definici, jako jsou textová nebo binární data.
Tento článek předpokládá, že jako architekt jste zkontrolovali možnosti úložiště a jako službu úložiště, na které chcete spouštět úlohy, zvolili jste službu Blob Storage. Pokyny uvedené v tomto článku nabízejí doporučení pro architekturu, která jsou přiřazena k principům pilířů Azure Well-Architected Frameworku.
Reliability
Účelem pilíře spolehlivosti je zajistit nepřetržitou funkčnost budováním dostatečné odolnosti a schopnosti rychle se zotavit ze selhání.
Principy návrhu spolehlivosti poskytují strategii návrhu vysoké úrovně použité pro jednotlivé komponenty, systémové toky a systém jako celek.
Kontrolní seznam návrhu úloh
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhů z hlediska spolehlivosti.
Analýza režimu selhání: Minimalizujte body selhání zvážením interních závislostí, jako je dostupnost virtuálních sítí, služby Azure Key Vault nebo koncových bodů Azure Content Delivery Network nebo Azure Front Door. K selháním může dojít v případě, že přihlašovací údaje vyžadované úlohami pro přístup ke službě Blob Storage chybí ve službě Key Vault nebo pokud úlohy používají koncový bod založený na odebrané síti pro doručování obsahu. V těchto případech můžou úlohy k připojení potřebovat alternativní koncový bod. Obecné informace o analýze režimu selhání naleznete v tématu Doporučení pro provádění analýzy režimu selhání.
Definování cílů spolehlivosti a obnovení: Zkontrolujte smlouvy o úrovni služeb Azure (SLA). Určete cíl na úrovni služby (SLO) pro účet úložiště. Například cílová úroveň služby (SLO) může být ovlivněna konfigurací redundance, kterou jste zvolili. Zvažte vliv regionálního výpadku, možné ztráty dat a dobu potřebnou k obnovení přístupu po výpadku. Zvažte také dostupnost všech interních závislostí, které jste identifikovali jako součást analýzy režimu selhání.
Konfigurace redundance dat: Pro maximální odolnost zvolte konfiguraci, která kopíruje data napříč zónami dostupnosti nebo globálními oblastmi. Pro zajištění maximální dostupnosti zvolte konfiguraci, která klientům umožňuje číst data ze sekundární oblasti během výpadku primární oblasti.
Při psaní vlastního kódu pro interakci s úložištěm objektů blob vždy používejte sadu SDK. Ke zpracování kontejnerů a objektů blob v kontejnerech použijte klientskou knihovnu azure Blob Storage pro váš jazyk. Sada SDK má integrované zpracování přechodných chyb , které minimalizuje vlastní logiku opakování.
Navrhovat aplikace tak, aby používaly možnosti sekundárního čtení: Návrh aplikací tak, aby přepnuly na čtení dat ze sekundární oblasti, pokud z nějakého důvodu přestane být primární oblast dostupná. To vyžaduje geograficky redundantní úložiště jen pro čtení (RA-GRS) nebo geograficky zónově redundantní úložiště s přístupem pro čtení (RA-GZRS). Obě konfigurace poskytují přístup k datům jen pro čtení v sekundární oblasti. Pokud primární i sekundární čtení selžou, v aplikaci proveďte řízené snížení funkčnosti. Můžete například zobrazit obecný zástupný obrázek pro neúspěšnou operaci načtení image produktu.
Prozkoumejte funkce, které vám pomůžou splnit cíle obnovení: Obnovte objekty blob, aby je bylo možné obnovit, pokud jsou poškozené, upravené nebo odstraněné omylem.
Vytvoření plánu obnovení: Zvažte funkce ochrany dat, operace zálohování a obnovení nebo postupy převzetí služeb při selhání. Připravte se na potenciální ztrátu a nekonzistentnost dat a čas a náklady na přepnutí při selhání. Další informace najdete v tématu Doporučení pro návrh strategie zotavení po havárii.
Monitorování potenciálních problémů s dostupností: Přihlaste se k odběru řídicího panelu služby Azure Service Health a monitorujte potenciální problémy s dostupností. K prozkoumání výstrah použijte metriky úložiště ve službě Azure Monitor a diagnostické protokoly.
Pravidelně analyzujte svá datová aktiva: Pomocí azure Storage Discovery a Azure Copilotu můžete analyzovat konfigurace redundance pro způsoby optimalizace.
Doporučení pro konfiguraci
| Recommendation | Benefit |
|---|---|
| Nakonfigurujte svůj účet pro redundanci. Pokud chcete maximální dostupnost a odolnost, nakonfigurujte svůj účet pomocí zónově redundantního úložiště (ZRS) nebo GZRS. Pokud používáte redundanci GZRS, můžete dosáhnout optimálního cíle bodu obnovení (RPO) povolením replikace geografické priority. |
Redundance chrání vaše data před neočekávanými selháními. Možnosti konfigurace ZRS a GZRS se replikují napříč různými zónami dostupnosti a umožňují aplikacím pokračovat ve čtení dat během výpadku. Další informace najdete v tématu Stálost a dostupnost podle scénáře výpadku a parametrů stálosti a dostupnosti. |
| Před zahájením převzetí služeb při selhání nebo obnovy služeb vyhodnoťte potenciál ztráty dat kontrolou hodnoty vlastnosti času poslední synchronizace. Toto doporučení platí jenom pro konfigurace GRS a GZRS. | Tato vlastnost vám pomůže odhadnout, kolik dat můžete ztratit tím, že zahájíte převzetí služeb při selhání účtu. Všechna data a metadata zapsaná před posledním časem synchronizace jsou k dispozici v sekundární oblasti, ale data a metadata zapsaná po posledním čase synchronizace můžou být ztracena, protože se nezapisuje do sekundární oblasti. |
| Jako součást strategie zálohování a obnovy povolte možnosti zpětného odstranění kontejneru a objektů blob, verzování a obnovení k bodu v čase. | Možnost obnovitelného odstranění umožňuje účtu úložiště obnovit odstraněné kontejnery a objekty blob. Možnost správy verzí automaticky sleduje změny provedené v objektech blob. Tato možnost umožňuje obnovit objekt blob do předchozího stavu. Možnost obnovení k určitému bodu v čase chrání data blokových objektů blob před náhodným odstraněním nebo poškozením a umožňuje obnovit tato data do dřívějšího stavu. Další informace najdete v tématu Přehled ochrany dat. |
| Nakonfigurujte trezorové zálohování pro Azure Blob jako součást strategie zálohování. | Vaultovaná záloha umožňuje chránit data blokových blobů před ransomwarem, jinými škodlivými útoky nebo ztrátou zdrojových dat. Data se zkopírují a uloží do trezoru služby Backup (kopie dat mimo pracoviště), která se dají uchovávat až po dobu 10 let. Pokud u zdrojového účtu dojde ke ztrátě dat, můžete aktivovat obnovení do alternativního účtu a získat přístup k datům. Přečtěte si další informace o možnostech podpory pro trezorované zálohování pomocí služby Azure Backup. |
Zabezpečení
Účelem pilíře zabezpečení je poskytnout záruky důvěrnosti, integrity a dostupnosti úloh.
Principy návrhu zabezpečení poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů použitím přístupů k technickému návrhu konfigurace služby Blob Storage.
Kontrolní seznam návrhu úloh
Zahajte svou strategii návrhu podle kontrolního seznamu pro revizi návrhu pro zabezpečení. Identifikujte ohrožení zabezpečení a kontrolní mechanismy, abyste zlepšili stav zabezpečení. Rozšiřte strategii tak, aby podle potřeby zahrnovala více přístupů.
Projděte si standardní hodnoty zabezpečení pro Azure Storage: Začněte tím, že nejprve zkontrolujete směrný plán zabezpečení pro Službu Storage.
Pomocí síťových ovládacích prvků omezte příchozí a odchozí provoz: Zakažte veškerý veřejný provoz do účtu úložiště. Pomocí síťových ovládacích prvků účtu udělte minimální úroveň přístupu vyžadovanou uživateli a aplikacemi. Další informace najdete v tématu Jak přistupovat k zabezpečení sítě pro váš účet úložiště.
Omezte prostor pro útoky: Zabránění anonymnímu přístupu, přístupu ke klíči účtu nebo přístupu přes nezabezpečená připojení (HTTP) může snížit prostor pro útoky. Pomocí zjišťování azure Storage s Azure Copilotem můžete identifikovat tyto bezpečnostní hrozby ve všech vašich účtech. Vyžadovat, aby klienti odesílali a přijímali data pomocí nejnovější verze protokolu TLS (Transport Layer Security).
Autorizace přístupu bez použití hesel nebo klíčů: Microsoft Entra ID poskytuje vynikající zabezpečení a snadné použití v porovnání se sdílenými klíči a sdílenými přístupovými podpisy. Udělte principálům zabezpečení pouze taková oprávnění, která jsou potřebná k tomu, aby mohli provádět své úkoly.
Ochrana citlivých informací: Chraňte citlivé informace, jako jsou klíče účtu a tokeny sdíleného přístupového podpisu. I když se tyto formuláře autorizace obecně nedoporučují, nezapomeňte je bezpečně obměňovat, vypršet a uložit.
Povolte požadovanou možnost zabezpečeného přenosu: Povolením tohoto nastavení pro všechny účty úložiště zajistíte, že všechny požadavky provedené s účtem úložiště musí probíhat přes zabezpečená připojení. Všechny požadavky provedené přes HTTP selžou.
Ochrana kritických objektů: Použijte zásady neměnnosti pro ochranu důležitých objektů. Zásady chrání bloby uložené pro právní účely, dodržování předpisů nebo jiné obchodní účely před jejich úpravou nebo odstraněním. Nakonfigurujte blokování pro nastavená časová období nebo dokud správce omezení nezruší.
Detekce hrozeb: Povolte Microsoft Defender for Storage k detekci hrozeb. Výstrahy zabezpečení se spouštějí při výskytu anomálií v aktivitě. Výstrahy upozorňují správce předplatného e-mailem s podrobnostmi o podezřelé aktivitě a doporučeních, jak vyšetřovat a opravovat hrozby.
Doporučení pro konfiguraci
| Recommendation | Benefit |
|---|---|
| Zakažte anonymní přístup pro čtení ke kontejnerům a objektům blob. | Pokud je pro účet úložiště povolený anonymní přístup, může uživatel s příslušnými oprávněními upravit nastavení anonymního přístupu kontejneru tak, aby umožňoval anonymní přístup k datům v daném kontejneru. |
| Použijte zámek Azure Resource Manageru v účtu úložiště. | Uzamčení účtu zabrání jeho odstranění a ztrátě dat. |
| Zakažte provoz do veřejných koncových bodů vašeho účtu úložiště. Vytvořte privátní koncové body pro klienty , kteří běží v Azure. Povolte veřejný koncový bod jenom v případě, že klienti a služby externí do Azure vyžadují přímý přístup k vašemu účtu úložiště. Povolte pravidla brány firewall, která omezují přístup ke konkrétním virtuálním sítím. | Začněte s nulovým přístupem a pak postupně autorizujete nejnižší úrovně přístupu vyžadované pro klienty a služby, abyste minimalizovali riziko vytváření zbytečných otevření pro útočníky. |
| Autorizace přístupu pomocí řízení přístupu na základě role v Azure (RBAC). | S RBAC neexistují žádná hesla ani klíče, které by bylo možné ohrozit. Zabezpečovací subjekt (uživatel, skupina, spravovaná identita nebo zabezpečovací identita služby) je ověřován pomocí Microsoft Entra ID pro vrácení tokenu OAuth 2.0. Token se používá k autorizaci požadavku ve službě Blob Storage. |
| Zakázat autorizaci sdíleného klíče Toto zakázání se týká nejen přístupu ke klíčům účtu, ale také tokenů sdíleného přístupového podpisu pro službu a účet, protože jsou založené na klíčích účtu. | Jsou povoleny pouze zabezpečené požadavky, které jsou autorizovány pomocí ID Microsoft Entra. |
| Doporučujeme nepoužívat klíč účtu. Pokud musíte použít klíče účtu, uložte je ve službě Key Vault a ujistěte se, že je pravidelně znovu vygenerujete. | Key Vault umožňuje načítat klíče za běhu místo jejich uložení pomocí aplikace. Key Vault také usnadňuje obměně klíčů bez přerušení aplikací. Obměně klíčů účtu pravidelně snižuje riziko vystavení dat útokům se zlými úmysly. |
| Doporučujeme nepoužívat tokeny sdíleného přístupového podpisu. Definujte zásady vypršení platnosti SAS a akce, které určují, jak se takové tokeny mimo zásady zpracovávají protokolováním jejich použití nebo jejich explicitním blokováním. Pokud ho musíte vytvořit, přečtěte si tento seznam osvědčených postupů pro sdílený přístupový podpis , než ho vytvoříte a distribuujete. |
Silné zásady správného řízení pomáhají předcházet dlouhotrvajícím nebo chybně nakonfigurovaným tokenům, které by mohly vést k rizikům zabezpečení nebo dodržování předpisů. |
| Nakonfigurujte účet úložiště tak, aby klienti mohli odesílat a přijímat data pomocí minimální verze protokolu TLS 1.2. | Protokol TLS 1.2 je bezpečnější a rychlejší než protokol TLS 1.0 a 1.1, který nepodporuje moderní kryptografické algoritmy a šifrovací sady. |
| Zvažte použití vlastního šifrovacího klíče k ochraně dat v účtu úložiště. Další informace najdete v tématu Klíče spravované zákazníkem pro šifrování služby Azure Storage. | Klíče spravované zákazníkem poskytují větší flexibilitu a kontrolu. Šifrovací klíče můžete například uložit do služby Key Vault a automaticky je otočit. |
Optimalizace nákladů
Optimalizace nákladů se zaměřuje na zjišťování vzorců výdajů, stanovení priorit investic do kritických oblastí a optimalizaci v jiných oblastech, aby splňovaly požadavky organizace na rozpočet a obchodní požadavky.
Principy návrhu optimalizace nákladů poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů a dosažení kompromisů v technickém návrhu souvisejícím se službou Blob Storage a jeho prostředím.
Kontrolní seznam návrhu úloh
Zahajte svou strategii návrhu na základě kontrolního seznamu přezkumu návrhu pro optimalizaci nákladů pro investice. Dolaďte návrh tak, aby úloha byla v souladu s rozpočtem přiděleným pro danou úlohu. Váš návrh by měl využívat správné možnosti Azure, monitorovat investice a hledat příležitosti k optimalizaci v průběhu času.
Identifikujte měřiče, které se používají k výpočtu faktury: Měřiče se používají ke sledování množství dat uložených v účtu (datové kapacitě) a počtu a typu operací, které se provádějí při zápisu a čtení dat. K použití volitelných funkcí, jako jsou značky indexu objektů blob, inventář objektů blob, podpora kanálu změn, rozsahy šifrování a podpora protokolu SFTP (File Transfer Protocol) SSH, jsou také přidružené měřiče. Další informace najdete v tématu Jak se vám účtují poplatky za službu Blob Storage.
Seznamte se s cenou každého měřiče: Nezapomeňte použít odpovídající stránku s cenami a použít příslušná nastavení na této stránce. Další informace najdete v tématu Vyhledání jednotkové ceny jednotlivých měřičů. Zvažte počet operací spojených s každou cenou. Například cena spojená s operacemi zápisu a čtení platí pro 10 000 operací. Pokud chcete určit cenu jednotlivé operace, vydělte uvedenou cenu 10 000.
Odhad nákladů na kapacitu a provoz: Pomocí cenové kalkulačky Azure můžete modelovat náklady spojené s úložištěm dat, příchozím přenosem dat a výchozím přenosem dat. Pomocí polí můžete porovnat náklady spojené s různými oblastmi, typy účtů, typy oborů názvů a konfiguracemi redundance. V určitých scénářích můžete použít ukázkové výpočty a listy dostupné v dokumentaci Microsoftu. Můžete například odhadnout náklady na archivaci dat nebo odhadnout náklady na přenos objektů blob pomocí příkazu AzCopy.
Zvolte fakturační model pro kapacitu: Vyhodnoťte, jestli je použití modelu založeného na závazku nákladově efektivnější než použití modelu založeného na spotřebě. Pokud si nejste jistí, jakou kapacitu potřebujete, můžete začít modelem založeným na spotřebě, monitorovat metriky kapacity a následně vyhodnotit později.
Zvolte typ účtu, úroveň redundance a výchozí úroveň přístupu: Při vytváření účtu úložiště musíte vybrat hodnotu pro každé z těchto nastavení. Všechny hodnoty ovlivňují poplatky za transakce a poplatky za kapacitu. Všechna tato nastavení s výjimkou typu účtu je možné po vytvoření účtu změnit.
Zvolte cenově nejvýhodnější výchozí úroveň přístupu: Pokud není zadaná úroveň při každém nahrání objektu blob, objekty blob odvozují jejich úroveň přístupu z výchozího nastavení úrovně přístupu. Změna výchozího nastavení úrovně přístupu účtu úložiště se vztahuje na všechny objekty blob v účtu, pro které nebyla explicitně nastavena úroveň přístupu. Tyto náklady mohou být významné, pokud jste shromáždili velký počet blobů. Další informace o tom, jak změna vrstvy ovlivňuje každý existující objekt blob, najdete v tématu Změna úrovně přístupu objektu blob.
Nahrání dat přímo do nákladově nejefektivnější úrovně přístupu: Pokud je například výchozí nastavení úrovně přístupu vašeho účtu horké, ale nahráváte soubory pro účely archivace, zadejte jako archivní nebo studenou úroveň jako součást operace nahrávání. Po nahrání objektů blob použijte zásady správy životního cyklu k přesunutí objektů blob do nákladově nejefektivnějších úrovní na základě metrik využití, jako je čas posledního přístupu. Volba nejoptimálnější vrstvy předem může snížit náklady. Pokud změníte úroveň objektu blob bloku, který jste už nahráli, zaplatíte náklady na zápis na počáteční úroveň při prvním nahrání objektu blob a pak zaplatíte náklady na zápis do požadované úrovně.
Plánování správy životního cyklu dat: Optimalizace nákladů na transakce a kapacitu s využitím úrovní přístupu a správy životního cyklu Méně často používaná data by měla být umístěna v chladnějších úrovních přístupu, zatímco data, ke kterým se přistupuje často, by měla být umístěna v teplejších úrovních přístupu.
Rozhodněte se, které funkce potřebujete: U některých funkcí, jako je verzování a měkké odstranění blob, vznikají dodatečné náklady na transakce, kapacitu a další poplatky. Nezapomeňte si projít oddíly s cenami a fakturací v článcích, které popisují tyto možnosti, když zvolíte, které možnosti se mají přidat do vašeho účtu.
Pokud například povolíte funkci inventáře objektů blob, bude se vám účtovat počet naskenovaných objektů. Pokud používáte značky indexu objektů blob, účtuje se vám počet těchto značek. Pokud povolíte podporu SFTP, účtuje se vám hodinová platba, i když neexistují žádné převody SFTP. Pokud se rozhodnete nepoužít funkci, ověřte, že je tato funkce vypnutá, protože při vytváření účtu jsou některé funkce automaticky povolené.
Vytváření mantinelí: Vytváření rozpočtů na základě předplatných a skupin prostředků Pomocí zásad správného řízení omezte typy prostředků, konfigurace a umístění. Kromě toho můžete pomocí RBAC blokovat akce, které můžou vést k nadměrnému překročení.
Monitorování nákladů: Zajistěte, aby náklady zůstaly v rámci rozpočtů, porovnejte náklady s prognózami a zjistěte, kde dochází k nadměrnému překročení. K monitorování nákladů můžete použít podokno analýzy nákladů na webu Azure Portal. Data nákladů můžete také exportovat do účtu úložiště a analyzovat je pomocí Excelu nebo Power BI.
Monitorování využití: Nepřetržitě monitorujte vzorce využití a detekujte nepoužívané nebo nedostatečně využité účty a kontejnery. Přehledy služby Storage můžete použít k identitě účtů bez použití nebo bez použití. Pomocí zjišťování služby Azure Storage a Azure Copilotu můžete najít náklady, které nejsou efektivní, například nevyužité úložiště umístěné v drahých úrovních přístupu. Můžete také povolit sestavy inventáře objektů blob a k analýze nákladových dat použít nástroje, jako jsou Azure Databricks, Azure Synapse Analytics a Power BI. Dávejte pozor na neočekávané zvýšení kapacity, což může znamenat, že právě hromadíte velké množství souborů protokolu, verzí objektů blob nebo dočasně odstraněných objektů blob. Vytvořte strategii pro vypršení platnosti nebo převod objektů na nákladově efektivnější úrovně přístupu. Máte plán pro vypršení platnosti objektů nebo přesunutí objektů do cenově dostupných úrovní přístupu.
Zvažte akce Služby Azure Storage pro automatizovanou správu životního cyklu dat: Akce služby Azure Storage umožňují automatizovanou správu životního cyklu dat napříč účty úložiště s vylepšenou regionální dostupností. To umožňuje konzistentní zásady automatické archivace, odstranění a přechodu vrstev napříč oblastmi při zachování dodržování předpisů pro rezidenci dat.
Doporučení pro konfiguraci
| Recommendation | Benefit |
|---|---|
| Než je přesunete do chladnějších vrstev, zabalte malé soubory do větších souborů. Můžete použít formáty souborů, jako je TAR nebo ZIP. | Chladnější úrovně mají vyšší náklady na přenos dat. Díky menšímu počtu velkých souborů můžete snížit počet operací potřebných k přenosu dat. |
| Při rehydrataci objektů blob z archivačního úložiště použijte rehydrataci se standardní prioritou. Používejte rehydrataci s vysokou prioritou pouze v situacích nouzového obnovení dat. Další informace najdete v tématu Převedení archivovaného objektu blob do online vrstvy. | Rehydratace s vysokou prioritou z archivní úrovně může vést k účtům vyšším, než je obvyklé. |
| Snižte náklady na používání protokolů prostředků výběrem vhodného umístění úložiště protokolů a správou období uchovávání protokolů. Pokud plánujete dotazovat pouze protokoly příležitostně (například dotazování protokolů pro auditování dodržování předpisů), zvažte možnost odesílat protokoly prostředků do účtu úložiště místo jejich odesílání do pracovního prostoru protokolů služby Azure Monitor. K analýze protokolů můžete použít řešení bezserverového dotazu, jako je Azure Synapse Analytics. Další informace najdete v tématu Optimalizace nákladů na občasné dotazy. K odstranění nebo archivaci protokolů použijte zásady správy životního cyklu. | Uložení protokolů prostředků do účtu úložiště pro pozdější analýzu může být ekonomičtější volbou. Použití zásad správy životního cyklu ke správě uchovávání protokolů v účtu úložiště brání velkému počtu souborů protokolů v průběhu času, což může vést k zbytečným poplatkům za kapacitu. |
| Pokud povolíte správu verzí, použijte zásadu správy životního cyklu k automatickému odstranění starých verzí objektů blob. | Každá operace zápisu do objektu blob vytvoří novou verzi. Tím se zvyšují náklady na kapacitu. Náklady můžete udržovat v kontrole odebráním verzí, které už nepotřebujete. |
| Pokud povolíte verzování, umístěte objekty blob, které se často přepíšou, do účtu bez povoleného verzování. | Při každém přepsání objektu blob se přidá nová verze, která vede ke zvýšení poplatků za kapacitu úložiště. Pokud chcete snížit poplatky za kapacitu, ukládejte často přepsaná data do samostatného účtu úložiště se zakázaným správou verzí. |
| Pokud povolíte funkci "soft delete", umístěte blob, který se často přepíše, do účtu, který nemá tuto funkci povolenou. Nastavte dobu uchovávání. Zvažte začátek krátké doby uchovávání, abyste lépe pochopili, jak tato funkce ovlivňuje vaši fakturu. Minimální doporučená doba uchovávání je sedm dnů. | Při každém přepsání objektu blob se vytvoří nový snímek. Příčina zvýšených poplatků za kapacitu může být obtížně zjistitelná, protože vytváření těchto snímků se nezobrazuje v protokolech. Pokud chcete snížit poplatky za kapacitu, ukládejte často přepsaná data do samostatného účtu úložiště se zakázaným obnovitelným odstraněním. Doba uchovávání brání měkce smazaným blob objektům před hromaděním a navyšováním nákladů na kapacitu. |
| Povolte podporu SFTP jenom v případech, kdy se používá k přenosu dat. | Povolení koncového bodu SFTP s sebou nese hodinový náklad. Když záměrně zakážete podporu SFTP a podle potřeby ji povolíte, můžete se vyhnout nepotřebným poplatkům, které by naskakovaly na vašem účtu. |
| Zakažte všechny obory šifrování, které nejsou potřeba, abyste se vyhnuli zbytečným poplatkům. | Účtují se měsíční poplatky za rozsahy šifrování. |
Efektivita provozu
Operační dokonalost se primárně zaměřuje na vývojové postupy, pozorovatelnost a správu verzí.
Principy návrhu efektivity provozu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů pro provozní požadavky úlohy.
Kontrolní seznam návrhu úloh
Začněte strategii návrhu založenou na kontrolním seznamu kontroly návrhu pro efektivitu provozu pro definování procesů pozorovatelnosti, testování a nasazení souvisejících s konfigurací služby Blob Storage.
Vytváření plánů údržby a nouzového obnovení: Zvažte funkce ochrany dat, operace zálohování a obnovení a postupy převzetí služeb při selhání. Připravte se na potenciální ztrátu a nekonzistentnost dat a čas a náklady na přepnutí při selhání.
Monitorování stavu účtu úložiště: Vytvoření řídicích panelů Přehledů úložiště pro monitorování dostupnosti, výkonu a odolnosti Nastavte upozornění pro identifikaci a řešení problémů ve vašem systému, než si je vaši zákazníci všimnou. Pomocí nastavení diagnostiky můžete směrovat protokoly prostředků do pracovního prostoru Azure Monitor Logs. Pak se můžete dotazovat na protokoly, abyste podrobněji prozkoumali výstrahy.
Povolit sestavy inventáře objektů blob: Povolte sestavy inventáře objektů blob a zkontrolujte stav uchovávání, právní blokaci nebo stav šifrování obsahu vašeho úložiště. Sestavy inventáře blobů můžete použít také, abyste porozuměli celkové velikosti dat, stáří, rozložení vrstev nebo jiným atributům vašich dat. Pomocí nástrojů, jako jsou Azure Databricks nebo Azure Synapse Analytics a Power BI, můžete lépe vizualizovat data inventáře a vytvářet sestavy pro zúčastněné strany.
Nastavte zásady, které odstraňují objekty blob nebo je přesouvají do úsporných úrovní přístupu: Vytvořte zásadu správy životního cyklu, která obsahuje počáteční sadu podmínek. Zásady běží automaticky a na základě vámi definovaných podmínek odstraňují nebo nastavují přístupovou úroveň objektů blob. Pravidelně analyzujte využití kontejnerů pomocí metrik monitoru a inventárních sestav blobů, abyste mohli upřesnit podmínky pro optimální nákladovou efektivitu.
Zajistěte konzistenci zásad napříč oblastmi. Při globálním ukládání dat mají strategie správy životního cyklu dat, které splňují požadavky na rezidenci dat. Využijte možnosti nativní automatizace, které umožňují konzistentní zásady úložiště napříč oblastmi.
Doporučení pro konfiguraci
| Recommendation | Benefit |
|---|---|
| Pomocí infrastruktury jako kódu (IaC) můžete definovat podrobnosti účtů úložiště v šablonách Azure Resource Manageru (šablony ARM),Bicep nebo Terraformu. | Existující procesy DevOps můžete použít k nasazení nových účtů úložiště a k vynucování jejich konfigurace můžete použít Azure Policy . |
| Pomocí přehledů služby Storage můžete sledovat stav a výkon účtů úložiště. Přehledy úložiště poskytují jednotné zobrazení selhání, výkonu, dostupnosti a kapacity pro všechny vaše účty úložiště. | Můžete sledovat stav a provoz jednotlivých účtů. Snadno vytvořte přehledové panely a reporty, které mohou zúčastněné strany použít ke sledování zdraví vašich úložných účtů. |
| Využijte funkce regionální automatizace pomocí azure Storage Actions pro jednotnou správu životního cyklu dat, která automaticky segmentuje data na základě vzorů přístupu a odstraní obsah s vypršenou platností podle zásad uchovávání informací při splnění požadavků na rezidenci dat. | Umožňuje automatizovanou správu úložiště a zásady životního cyklu napříč více geografickými oblastmi, což snižuje ruční provozní režii pro globální organizace. |
Efektivita výkonu
Výkonnostní efektivita se týká zachování uživatelského zážitku i při rostoucím zatížení řízením kapacity. Strategie zahrnuje škálování prostředků, identifikaci a optimalizaci potenciálních kritických bodů a optimalizaci výkonu ve špičce.
Návrhové principy efektivity výkonu poskytují strategii návrhu na vysoké úrovni pro dosažení cílů kapacity s ohledem na očekávané využití.
Kontrolní seznam návrhu úloh
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu efektivity výkonu. Definujte standardní hodnoty založené na klíčových ukazatelích výkonu pro konfiguraci služby Blob Storage.
Plánování škálování: Vysvětlení cílů škálování pro účty úložiště
Zvolte optimální typ účtu úložiště: Pokud vaše úloha vyžaduje vysoké rychlosti transakcí, menší objekty a konzistentně nízkou latenci transakcí, zvažte použití účtů úložiště objektů blob bloku úrovně Premium. Ve většině případů je nejvhodnější standardní účet pro obecné účely verze 2.
Zmenšete vzdálenost mezi klientem a serverem: Umístěte data do oblastí nejblíže k připojení klientů (ideálně ve stejné oblasti). Optimalizujte klienty ve vzdálených oblastech pomocí replikace objektů nebo sítě pro doručování obsahu. Výchozí konfigurace sítě poskytují nejlepší výkon. Upravte nastavení sítě pouze tak, aby se zlepšilo zabezpečení. Obecně platí, že nastavení sítě nezmenšuje vzdálenost cesty a nezlepšuje výkon.
Zvolte efektivní schéma pojmenování: Snižte latenci operací výpisu, seznamu, dotazu a čtení pomocí předpon značek hash, které jsou nejblíže začátku klíče oddílu objektu blob (účet, kontejner, virtuální adresář nebo název objektu blob). Toto schéma nejvíce prospívá účtům s plochým názvovým prostorem.
Optimalizace výkonu datových klientů: Zvolte nástroj pro přenos dat , který je nejvhodnější pro velikost dat, frekvenci přenosu a šířku pásma vašich úloh. Některé nástroje, jako je AzCopy , jsou optimalizované pro výkon a vyžadují malý zásah. Zvažte faktory, které ovlivňují latenci, a dolaďte výkon tím, že se podíváte na pokyny pro optimalizaci výkonu zveřejněné spolu s každým nástrojem.
Optimalizace výkonu vlastního kódu: Zvažte použití úložných SDK místo vytváření vlastních obálek pro REST operace s blob objekty. Sady Azure SDK jsou optimalizované pro výkon a poskytují mechanismy pro vyladění výkonu. Před vytvořením aplikace zkontrolujte kontrolní seznam výkonu a škálovatelnosti pro službu Blob Storage. Zvažte použití akcelerace dotazů k vyfiltrování nežádoucích dat během požadavku na úložiště a k tomu, aby klienti nemuseli přenášet data přes síť.
Shromažďování dat o výkonu: Monitorování účtu úložiště za účelem identifikace kritických bodů výkonu, ke kterým dochází při omezování Další informace najdete v tématu Monitorování služby úložiště pomocí přehledů služby Monitorování úložiště. Použijte metriky i protokoly. Metriky poskytují čísla, jako jsou chyby škrcení. Protokoly popisují aktivitu. Pokud se zobrazí metriky omezování, můžete použít protokoly k identitě, u kterých klientů dochází k chybám omezování. Další informace najdete v tématu Auditování operací roviny dat.
Doporučení pro konfiguraci
| Recommendation | Benefit |
|---|---|
| Zřiďte účty úložiště ve stejné oblasti, kde jsou umístěny závislé prostředky. U aplikací, které nejsou hostované v Azure, jako jsou aplikace mobilních zařízení nebo místní podnikové služby, vyhledejte účet úložiště v nejbližší oblasti těmto klientům. Další informace najdete v geografických oblastech Azure. Pokud klienti z jiné oblasti nevyžadují stejná data, vytvořte v každé oblasti samostatný účet. Pokud klienti z jiné oblasti vyžadují jenom některá data, zvažte použití zásad replikace objektů k asynchronnímu kopírování relevantních objektů do účtu úložiště v jiné oblasti. |
Snížení fyzické vzdálenosti mezi účtem úložiště a virtuálními počítači, službami a místními klienty může zlepšit výkon a snížit latenci sítě. Snížení fyzické vzdálenosti také snižuje náklady na aplikace hostované v Azure, protože využití šířky pásma v rámci jedné oblasti je bezplatné. |
| Pro širokou spotřebu webových klientů (streamování videa, zvuku nebo statického obsahu webu) zvažte použití sítě pro doručování obsahu prostřednictvím služby Azure Front Door. | Obsah se doručuje klientům rychleji, protože využívá globální hraniční síť Microsoftu se stovkami globálních a místních bodů přítomnosti po celém světě. |
| V klíči oddílu objektu blob přidejte co nejdříve sekvenci znaků hash (například tři číslice). Klíč oddílu je název účtu, název kontejneru, název virtuálního adresáře a název objektu blob. Pokud máte v úmyslu používat časové razítko v názvech, zvažte přidání hodnoty sekund na začátek tohoto razítka. Další informace najdete v tématu Dělení. | Použití kódu hash nebo hodnoty sekund nejblíže začátku klíče oddílu zkracuje dobu potřebnou k výpisu dotazů a čtení objektů blob. |
| Při nahrávání objektů blob nebo bloků použijte velikost bloku, která je větší než 256 KiB. | Velikosti objektů blob nebo bloků nad 256 KiB využívají vylepšení výkonu na platformě určené speciálně pro větší objekty blob a velikosti bloků. |
Tradeoffs
Pokud použijete přístupy v kontrolních seznamech pilíře, možná budete muset učinit návrhové kompromisy. Tady je několik příkladů výhod a nevýhod.
Úrovně přístupu a optimalizace nákladů
Chladnější úrovně přístupu: Přesun dat do chladnějších úrovní přístupu (studená, studená nebo archivní) může snížit náklady na úložiště, zejména u zřídka používaných dat. Archivní úroveň nabízí nízké náklady na úložiště, ale vyžaduje obnovu pro přístup k datům, což nějakou dobu trvá a způsobuje další náklady.
Zvažte nevýhody chladnějších úrovní, včetně vyšších nákladů na přístup a doby načítání. Rehydratace archivační vrstvy se standardní prioritou může trvat delší dobu. Pokud jsou vzorce přístupu nepředvídatelné, náklady na časté změny vrstev můžou překročit úspory úložiště. Pro důležitá data, která potřebují okamžitý přístup, poskytuje horká úroveň nejrychlejší přístup, ale s vyššími náklady na úložiště. Pečlivě vyhodnoťte vzory přístupu, abyste se vyhnuli zbytečným nákladům způsobeným častými přechody mezi vrstvami a pokutám za předčasné odstranění.
Zásady správy životního cyklu: Automatizované zásady životního cyklu můžou optimalizovat náklady přesunem dat do vhodných vrstev na základě věku nebo vzorů přístupu. Tyto zásady snižují ruční provozní režii a zajišťují konzistentní optimalizaci nákladů napříč účty úložiště.
Nevýhodou je, že příliš agresivní zásady životního cyklu můžou přesouvat často přístupná data na chladnější úrovně, což vede k vyšším nákladům na přístup a pomalejšímu výkonu. Zásady, které jsou příliš konzervativní, můžou uchovávat data v nákladných úrovních déle, než je potřeba. Monitorujte vzory přístupu a upravte zásady na základě skutečných dat o využití místo předpokladů.
Redundance dat a regionální distribuce
Robustní strategie redundance zajišťuje odolnost a dostupnost dat, ale zahrnuje kompromisy mezi náklady a složitostí. Geograficky redundantní úložiště (GRS) a geograficky zónově redundantní úložiště (GZRS) poskytují ochranu před regionálními výpadky, ale stojí výrazně více než místně redundantní úložiště (LRS). Zónově redundantní úložiště (ZRS) nabízí kompromis s ochranou proti selhání zón dostupnosti v rámci regionu.
Zvažte nevýhody vyšších úrovní redundance. GRS a GZRS vyžadují synchronizaci dat napříč oblastmi, což může mít mírné zpoždění v konzistenci dat. Náklady můžou být vyšší než LRS. U aplikací, které můžou tolerovat některé ztráty dat nebo mají alternativní strategie zálohování, může LRS poskytovat dostatečnou ochranu za nižší cenu. Vyhodnoťte své cíle doby obnovení (RTO) a cíle bodu obnovení (RPO) a určete odpovídající úroveň redundance.
Zásady Azure
Azure poskytuje rozsáhlou sadu předdefinovaných zásad souvisejících se službou Blob Storage a jejími závislostmi. Některá z předchozích doporučení je možné auditovat prostřednictvím zásad Azure. Můžete například zkontrolovat, jestli:
- Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob není povolený.
- Nastavení diagnostiky pro Blob Storage jsou nastavena k přenosu záznamů o prostředcích do pracovního prostoru protokolů služby Azure Monitor.
- Přijímají se jenom požadavky ze zabezpečených připojení (HTTPS).
- Je povolená zásada vypršení platnosti sdíleného přístupového podpisu.
- Replikace objektů mezi tenanty je zakázaná.
- Autorizace sdíleného klíče je zakázaná.
- Pravidla brány firewall sítě se použijí na účet.
Komplexní zásady správného řízení najdete v předdefinovaných definicích služby Azure Policy pro úložiště a další zásady, které by mohly ovlivnit zabezpečení výpočetní vrstvy.
Doporučení azure Advisoru
Azure Advisor je individuální cloudový konzultant, který vám pomůže postupovat podle osvědčených postupů pro optimalizaci nasazení Azure.
Další informace najdete v tématu Azure Advisor.
Další krok
Další informace o službě Blob Storage najdete v dokumentaci ke službě Blob Storage.