Přehled architektury Azure s návrhem architektury ve službě Azure Files
Azure Files je řešení úložiště souborů Microsoftu pro cloud. Azure Files poskytuje sdílené složky protokolu SMB (Server Message Block) a systém souborů NFS (Network File System), které můžete připojit k klientům v cloudu, místně nebo k oběma. Můžete také použít Synchronizace souborů Azure k ukládání sdílených složek SMB do mezipaměti na místním serveru Windows a vrstvě, které se často používají v cloudu.
V tomto článku se předpokládá, že jste jako architekt prozkoumali možnosti úložiště a jako službu úložiště, na které chcete spouštět úlohy, zvolili službu Azure Files. Pokyny v tomto článku poskytují doporučení architektury, která jsou namapovaná na principy pilířů architektury Azure Well-Architected Framework.
Důležité
Jak používat tohoto průvodce
Každá část obsahuje kontrolní seznam návrhu, který představuje oblasti zájmu architektury spolu se strategiemi návrhu lokalizovanými do oboru technologie.
Součástí jsou také doporučení týkající se technologických možností, které můžou pomoct s implementací těchto strategií. Doporučení nepředstavují vyčerpávající seznam všech konfigurací dostupných pro Azure Files a jejich závislosti. Místo toho zobrazí seznam klíčových doporučení mapovaných na perspektivy návrhu. Pomocí doporučení můžete vytvořit testování konceptu nebo optimalizovat vaše stávající prostředí.
Spolehlivost
Účelem pilíře spolehlivosti je poskytovat nepřetržitou funkčnost tím, že vytváří dostatečnou odolnost a schopnost rychle se zotavit ze selhání.
Principy návrhu spolehlivosti poskytují strategii návrhu vysoké úrovně použitou pro jednotlivé komponenty, úlohy, systémové toky a systém jako celek.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro spolehlivost.
Analýza režimu selhání: Minimalizujte body selhání zvážením interních závislostí, jako je dostupnost virtuálních sítí, služby Azure Key Vault nebo koncových bodů Azure Content Delivery Network nebo Azure Front Door. K selháním může dojít v případě, že potřebujete přihlašovací údaje pro přístup ke službě Azure Files a přihlašovací údaje ve službě Key Vault chybí. Pokud vaše úlohy používají koncový bod založený na chybějící síti pro doručování obsahu, může dojít k selhání. V těchto případech možná budete muset nakonfigurovat úlohy tak, aby se připojily k alternativnímu koncovému bodu. Obecné informace o analýze režimu selhání naleznete v tématu Doporučení pro provádění analýzy režimu selhání.
Definování cílů spolehlivosti a obnovení: Zkontrolujte smlouvy o úrovni služeb Azure (SLA). Odvozujte cíl na úrovni služby (SLO) pro účet úložiště. Konfigurace redundance, kterou jste zvolili, může mít vliv například na cíl úrovně služby. Zvažte vliv regionálního výpadku, možné ztráty dat a dobu potřebnou k obnovení přístupu po výpadku. Zvažte také dostupnost interních závislostí, které jste identifikovali jako součást analýzy režimu selhání.
Konfigurace redundance dat: Pro maximální odolnost zvolte konfiguraci, která kopíruje data napříč zónami dostupnosti nebo globálními oblastmi. Pro zajištění maximální dostupnosti zvolte konfiguraci, která klientům umožňuje číst data ze sekundární oblasti během výpadku primární oblasti.
Návrh aplikací: Navrhněte aplikace tak, aby se bez problémů přesunuly tak, aby načítaly data ze sekundární oblasti, pokud primární oblast není dostupná. Toto aspekty návrhu platí jenom pro konfigurace geograficky redundantního úložiště (GRS) a geograficky zónově redundantního úložiště (GZRS). Navrhněte aplikace tak, aby správně zpracovávaly výpadky, což snižuje prostoje pro zákazníky.
Prozkoumejte funkce, které vám pomůžou splnit cíle obnovení: Obnovte soubory, abyste mohli obnovit poškozené, upravené nebo odstraněné soubory.
Vytvoření plánu obnovení: Zvažte funkce ochrany dat, operace zálohování a obnovení nebo postupy převzetí služeb při selhání. Připravte se na potenciální ztrátu dat a nekonzistence dat a čas a náklady na převzetí služeb při selhání. Další informace najdete v tématu Doporučení pro návrh strategie zotavení po havárii.
Monitorování potenciálních problémů s dostupností: Přihlaste se k odběru řídicího panelu služby Azure Service Health a monitorujte potenciální problémy s dostupností. K prozkoumání výstrah použijte metriky úložiště a diagnostické protokoly ve službě Azure Monitor.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Nakonfigurujte svůj účet úložiště pro redundanci. Pokud chcete maximální dostupnost a odolnost, nakonfigurujte svůj účet pomocí zónově redundantního úložiště (ZRS), GRS nebo GZRS. Omezené oblasti Azure podporují ZRS pro sdílené složky úrovně Standard a Premium . Pouze standardní účty SMB podporují GRS a GZRS. Sdílené složky SMB úrovně Premium a sdílené složky NFS nepodporují GRS a GZRS. Azure Files nepodporuje geograficky redundantní úložiště jen pro čtení (RA-GRS) ani geograficky zónově redundantní úložiště jen pro čtení (RA-GZRS). Pokud nakonfigurujete účet úložiště tak, aby používal RA-GRS nebo RA-GZRS, jsou sdílené složky nakonfigurované a fakturované jako GRS nebo GZRS. |
Redundance chrání vaše data před neočekávanými selháními. Možnosti konfigurace ZRS a GZRS se replikují napříč různými zónami dostupnosti a umožňují aplikacím pokračovat ve čtení dat během výpadku. Další informace najdete v tématu Stálost a dostupnost podle scénáře výpadku a parametrů stálosti a dostupnosti. |
| Než zahájíte převzetí služeb při selhání nebo navrácení služeb po obnovení, zkontrolujte hodnotu vlastnosti času poslední synchronizace a vyhodnoťte potenciální ztrátu dat. Toto doporučení platí jenom pro konfigurace GRS a GZRS. | Tato vlastnost vám pomůže odhadnout, kolik dat můžete ztratit, pokud zahájíte převzetí služeb při selhání účtu. Všechna data a metadata zapsaná před posledním časem synchronizace jsou k dispozici v sekundární oblasti, ale můžete přijít o data a metadata zapsaná po poslední synchronizaci, protože se nezapisuje do sekundární oblasti. |
| Jako součást strategie zálohování a obnovení povolte obnovitelné odstranění a používejte snímky pro obnovení k určitému bodu v čase. Azure Backup můžete použít k zálohování sdílených složek SMB. Můžete také použít Synchronizace souborů Azure k zálohování místních sdílených složek SMB do sdílené složky Azure. Azure Backup také umožňuje provádět trezorované zálohy (Preview) služby Azure Files, které chrání vaše data před útoky ransomwarem nebo ztrátou zdrojových dat kvůli škodlivému herci nebo neautornému správci. Azure Backup pomocí trezoru záloh kopíruje a ukládá data do trezoru služby Recovery Services. Tím se vytvoří kopie dat mimo pracoviště, která můžete uchovávat po dobu až 99 let. Azure Backup vytváří a spravuje body obnovení podle plánu a uchovávání definovaného v zásadách zálohování. Další informace. |
Obnovitelné odstranění funguje na úrovni sdílené složky, která chrání sdílené složky Azure před náhodným odstraněním. Obnovení k určitému bodu v čase chrání před náhodným odstraněním nebo poškozením, protože můžete obnovit sdílené složky do dřívějšího stavu. Další informace najdete v tématu Přehled ochrany dat. |
Zabezpečení
Účelem pilíře zabezpečení je poskytnout úlohu záruky důvěrnosti, integrity a dostupnosti .
Principy návrhu zabezpečení poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů použitím přístupů k technickému návrhu konfigurace úložiště souborů.
Požadavky na zabezpečení a doporučení se liší v závislosti na tom, jestli vaše úloha používá protokol SMB nebo NFS pro přístup ke sdíleným složkám. Následující části tedy obsahují samostatné kontrolní seznamy návrhu a doporučení pro sdílené složky SMB a NFS.
Osvědčeným postupem je zachovat sdílené složky SMB a NFS v samostatných účtech úložiště, protože mají různé požadavky na zabezpečení. Tento přístup použijte k zajištění silného zabezpečení a vysoké flexibility vaší úlohy.
Kontrolní seznam návrhu pro sdílené složky SMB
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu zabezpečení. Identifikujte ohrožení zabezpečení a kontrolní mechanismy, abyste zlepšili stav zabezpečení. Rozšiřte strategii tak, aby podle potřeby zahrnovala více přístupů.
Projděte si standardní hodnoty zabezpečení pro Azure Storage: Pokud chcete začít, projděte si standardní hodnoty zabezpečení pro službu Storage.
Zvažte použití síťových ovládacích prvků k omezení příchozího a výchozího provozu: Za určitých podmínek můžete být obeznámeni s zveřejněním účtu úložiště na veřejný internet, například pokud k udělení přístupu ke sdíleným složkám použijete ověřování založené na identitě. Doporučujeme ale použít síťové ovládací prvky k udělení minimální požadované úrovně přístupu uživatelům a aplikacím. Další informace najdete v tématu Jak přistupovat k zabezpečení sítě pro váš účet úložiště.
Zmenšete prostor pro útoky: Používejte šifrování během přenosu a zabraňte přístupu přes nezabezpečená připojení (HTTP), abyste snížili prostor pro útok. Vyžadovat, aby klienti odesílali a přijímali data pomocí nejnovější verze protokolu TLS (Transport Layer Security).
Minimalizace použití klíčů účtu úložiště: Ověřování založené na identitě poskytuje vynikající zabezpečení v porovnání s použitím klíče účtu úložiště. Klíč účtu úložiště ale musíte použít k úplnému řízení správy sdílené složky, včetně možnosti převzít vlastnictví souboru. Udělte objektům zabezpečení pouze potřebná oprávnění, která potřebují k provádění svých úkolů.
Ochrana citlivých informací: Chraňte citlivé informace, jako jsou klíče účtu úložiště a hesla. Tyto formuláře autorizace nedoporučujeme používat, ale pokud ano, měli byste je bezpečně obměňovat, vypršet a uložit.
Detekce hrozeb: Povolte v programu Microsoft Defender for Storage potenciálně škodlivé pokusy o přístup ke sdíleným složkám Azure nebo jejich zneužití přes protokoly SMB nebo FileREST. Správci předplatného získají e-mailové výstrahy s podrobnostmi o podezřelé aktivitě a doporučeních k prošetření a nápravě hrozeb. Defender for Storage nepodporuje antivirové funkce pro sdílené složky Azure. Pokud používáte Defender for Storage, za sdílené složky s velkými transakcemi se účtují značné náklady, proto zvažte odhlášení z Defenderu pro úložiště pro konkrétní účty úložiště.
Doporučení pro sdílené složky SMB
| Doporučení | Výhoda |
|---|---|
| Použijte zámek Azure Resource Manageru v účtu úložiště. | Zamknutím účtu zabráníte náhodnému nebo škodlivému odstranění účtu úložiště, což může způsobit ztrátu dat. |
| Otevřete odchozí port TCP 445 nebo nastavte bránu VPN nebo připojení Azure ExpressRoute pro klienty mimo Azure pro přístup ke sdílené složce. | PROTOKOL SMB 3.x je protokol bezpečný pro internet, ale možná nemáte možnost měnit zásady organizace nebo isp. Jako alternativní možnost můžete použít bránu VPN nebo připojení ExpressRoute. |
| Pokud otevřete port 445, nezapomeňte zakázat SMBv1 v klientech s Windows a Linuxem . Azure Files nepodporuje protokol SMB 1, ale přesto byste ho měli ve svých klientech zakázat. | Protokol SMB 1 je zastaralý, neefektivní a nezabezpečený protokol. Zakažte ho u klientů, aby se zlepšil stav zabezpečení. |
| Zvažte zakázání veřejného síťového přístupu k vašemu účtu úložiště. Povolte přístup k veřejné síti jenom v případě, že klienti a služby SMB, které jsou externí pro Azure, vyžadují přístup k vašemu účtu úložiště. Pokud zakážete přístup k veřejné síti, vytvořte pro svůj účet úložiště privátní koncový bod . Platí standardní sazby za zpracování dat pro privátní koncové body. Privátní koncový bod neblokuje připojení k veřejnému koncovému bodu. Stále byste měli zakázat přístup k veřejné síti, jak jsme popsali dříve. Pokud pro sdílenou složku nepotřebujete statickou IP adresu a chcete se vyhnout nákladům na privátní koncové body, můžete místo toho omezit přístup k veřejným koncovým bodům na konkrétní virtuální sítě a IP adresy. |
Síťový provoz prochází přes páteřní síť Microsoftu místo veřejného internetu, což eliminuje riziko vystavení z veřejného internetu. |
| Povolte pravidla brány firewall, která omezují přístup ke konkrétním virtuálním sítím. Začněte s nulovým přístupem a pak metodicky a přírůstkově poskytněte nejnižší požadovaný přístup klientům a službám. | Minimalizujte riziko vytváření otevření pro útočníky. |
| Pokud je to možné, použijte ověřování založené na identitách s šifrováním lístku Kerberos AES-256 k autorizaci přístupu ke sdíleným složkám SMB Azure. | Pomocí ověřování založeného na identitě můžete snížit možnost útočníka, který pro přístup ke sdíleným složkám používá klíč účtu úložiště. |
| Pokud používáte klíče účtu úložiště, uložte je ve službě Key Vault a nezapomeňte je pravidelně znovu vygenerovat. Přístup ke sdílené složce můžete zcela zakázat odebráním protokolu NTLMv2 z nastavení zabezpečení PROTOKOLU SMB sdílené složky. Obecně byste ale neměli odebrat protokol NTLMv2 z nastavení zabezpečení SMB sdílené složky, protože správci stále potřebují pro některé úlohy použít klíč účtu. |
Pomocí služby Key Vault načtěte klíče za běhu místo jejich uložení ve vaší aplikaci. Key Vault také usnadňuje obměně klíčů bez přerušení aplikací. Pravidelně obměňujte klíče účtu, abyste snížili riziko vystavení vašich dat útokům se zlými úmysly. |
| Ve většině případů byste měli povolit požadovanou možnost zabezpečeného přenosu u všech účtů úložiště, abyste povolili šifrování přenášených sdílených složek SMB. Tuto možnost nepovolujte, pokud potřebujete povolit velmi starým klientům přístup ke sdílené složce. Pokud zakážete zabezpečený přenos, nezapomeňte k omezení provozu použít síťové ovládací prvky. |
Toto nastavení zajišťuje, aby se všechny požadavky provedené proti účtu úložiště uskutečnily přes zabezpečená připojení (HTTPS). Všechny požadavky provedené přes PROTOKOL HTTP selžou. |
| Nakonfigurujte účet úložiště tak, aby protokol TLS 1.2 byl minimální verzí pro klienty, kteří budou odesílat a přijímat data. | Protokol TLS 1.2 je bezpečnější a rychlejší než protokol TLS 1.0 a 1.1, který nepodporuje moderní kryptografické algoritmy a šifrovací sady. |
| Používejte pouze nejnovější podporovanou verzi protokolu SMB (aktuálně 3.1.1.) a pro šifrování kanálu SMB používejte jenom AES-256-GCM. Služba Azure Files zveřejňuje nastavení, která můžete použít k přepnutí protokolu SMB a zajištění lepší kompatibility nebo zabezpečení v závislosti na požadavcích vaší organizace. Ve výchozím nastavení jsou povolené všechny verze SMB. Protokol SMB 2.1 je však zakázán, pokud povolíte možnost Vyžadovat zabezpečený přenos , protože protokol SMB 2.1 nepodporuje šifrování přenášených dat. Pokud tato nastavení omezíte na vysokou úroveň zabezpečení, někteří klienti se pravděpodobně nebudou moct připojit ke sdílené složce. |
Protokol SMB 3.1.1 vydaný ve Windows 10 obsahuje důležité aktualizace zabezpečení a výkonu. AES-256-GCM nabízí bezpečnější šifrování kanálů. |
Kontrolní seznam návrhu pro sdílené složky NFS
Projděte si standardní hodnoty zabezpečení pro Storage: Pokud chcete začít, projděte si standardní hodnoty zabezpečení pro Službu Storage.
Vysvětlení požadavků vaší organizace na zabezpečení: Sdílené složky Azure NFS podporují jenom klienty Linuxu, kteří používají protokol NFSv4.1 s podporou většiny funkcí ze specifikace protokolu 4.1. Některé funkce zabezpečení, jako je ověřování kerberos, seznamy řízení přístupu (ACL) a šifrování při přenosu, se nepodporují.
Zabezpečení a řízení na úrovni sítě slouží k omezení příchozího a výchozího provozu: Ověřování na základě identity není dostupné pro sdílené složky Azure NFS, takže k udělení minimální požadované úrovně přístupu uživatelům a aplikacím musíte použít zabezpečení a ovládací prvky na úrovni sítě. Další informace najdete v tématu Jak přistupovat k zabezpečení sítě pro váš účet úložiště.
Doporučení pro sdílené složky NFS
| Doporučení | Výhoda |
|---|---|
| Použijte zámek Resource Manageru v účtu úložiště. | Zamknutím účtu zabráníte náhodnému nebo škodlivému odstranění účtu úložiště, což může způsobit ztrátu dat. |
| Na klientech, ke kterým chcete připojit sdílenou složku NFS, musíte otevřít port 2049. | Otevřete port 2049, aby klienti mohli komunikovat se sdílenou složkou Azure NFS. |
| Sdílené složky Azure NFS jsou přístupné jenom prostřednictvím sítí s omezeným přístupem. Proto musíte pro svůj účet úložiště vytvořit privátní koncový bod nebo omezit přístup k veřejným koncovým bodům na vybrané virtuální sítě a IP adresy. Doporučujeme vytvořit privátní koncový bod. Pro sdílené složky NFS musíte nakonfigurovat zabezpečení na úrovni sítě, protože Služba Azure Files nepodporuje šifrování při přenosu pomocí protokolu NFS. Pokud chcete používat sdílené složky Azure NFS, musíte v účtu úložiště zakázat nastavení Vyžadovat zabezpečený přenos . Standardní sazby za zpracování dat platí pro privátní koncové body. Pokud pro sdílenou složku nepotřebujete statickou IP adresu a chcete se vyhnout nákladům na privátní koncové body, můžete místo toho omezit přístup k veřejným koncovým bodům. |
Síťový provoz prochází přes páteřní síť Microsoftu místo veřejného internetu, což eliminuje riziko vystavení z veřejného internetu. |
| Zvažte zakázání přístupu ke klíči účtu úložiště na úrovni účtu úložiště. K připojení sdílených složek NFS tento přístup nepotřebujete. Mějte ale na paměti, že úplná správa sdílené složky, včetně možnosti převzít vlastnictví souboru, vyžaduje použití klíče účtu úložiště. | Nepovolte použití klíčů účtu úložiště, aby byl váš účet úložiště bezpečnější. |
Optimalizace nákladů
Optimalizace nákladů se zaměřuje na zjišťování vzorců výdajů, stanovení priorit investic do kritických oblastí a optimalizaci v jiných oblastech, aby splňovaly rozpočet organizace při plnění obchodních požadavků.
Principy návrhu optimalizace nákladů poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů a dosažení kompromisů v technickém návrhu souvisejícím s úložištěm souborů a jeho prostředím.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro optimalizaci nákladů pro investice. Vylaďte návrh tak, aby byla úloha v souladu s rozpočtem přiděleným pro úlohu. Váš návrh by měl využívat správné možnosti Azure, monitorovat investice a hledat příležitosti k optimalizaci v průběhu času.
Rozhodněte se, jestli vaše úloha vyžaduje výkon sdílených složek úrovně Premium (Azure Premium SSD) nebo jestli je dostatečné úložiště HDD úrovně Azure Standard: Určete typ účtu úložiště a model fakturace na základě typu úložiště, které potřebujete. Pokud potřebujete velké objemy vstupně-výstupních operací za sekundu (IOPS), extrémně rychlé rychlosti přenosu dat nebo velmi nízkou latenci, měli byste zvolit sdílené složky Azure úrovně Premium. Sdílené složky Azure NFS jsou dostupné jenom na úrovni Premium. Sdílené složky NFS a SMB mají stejnou cenu na úrovni Premium.
Vytvořte účet úložiště pro sdílenou složku a zvolte úroveň redundance: Zvolte účet úrovně Standard (GPv2) nebo Premium (FileStorage). Úroveň redundance, kterou zvolíte, ovlivňuje náklady. Čím větší redundance, tím vyšší jsou náklady. Místně redundantní úložiště (LRS) je cenově nejvýhodnější. GRS je k dispozici pouze pro standardní sdílené složky SMB. Sdílené složky úrovně Standard zobrazují pouze informace o transakcích na úrovni účtu úložiště, proto doporučujeme nasadit do každého účtu úložiště jenom jednu sdílenou složku, abyste zajistili úplnou viditelnost fakturace.
Vysvětlení způsobu výpočtu faktury: Sdílené složky Azure úrovně Standard poskytují model průběžných plateb. Sdílené složky Premium používají zřízený model , ve kterém zadáte a platíte za určitou kapacitu, IOPS a propustnost předem. V modelu průběžných plateb měřiče sledují množství dat uložených v účtu nebo kapacitě a počet a typ transakcí na základě využití těchto dat. Model průběžných plateb může být nákladově efektivní, protože platíte jenom za to, co používáte. S modelem průběžných plateb nemusíte překonstruovat ani zrušit zřízení úložiště na základě požadavků na výkon nebo kolísání poptávky.
V rámci procesu rozpočtování ale může být obtížné naplánovat úložiště, protože spotřeba koncového uživatele stojí. U zřízeného modelu transakce nemají vliv na fakturaci, takže náklady se dají snadno předpovědět. Platíte ale za zřízenou kapacitu úložiště bez ohledu na to, jestli ji používáte, nebo ne. Podrobný rozpis výpočtu nákladů najdete v tématu Vysvětlení fakturace služby Azure Files.
Odhad nákladů na kapacitu a provoz: Pomocí cenové kalkulačky Azure můžete modelovat náklady spojené s úložištěm dat, příchozím přenosem dat a výchozím přenosem dat. Porovnejte náklady spojené s různými oblastmi, typy účtů a konfigurací redundance. Další informace najdete v tématu o cenách služby Azure Files.
Zvolte nákladově nejefektivnější úroveň přístupu: Sdílené složky SMB úrovně Standard SMB Azure nabízejí tři úrovně přístupu: optimalizované transakce, horká a studená. Všechny tři úrovně jsou uložené na stejném hardwaru úložiště úrovně Standard. Hlavním rozdílem těchto tří úrovní jsou jejich data v cenách úložiště neaktivních uložených dat, které jsou nižší v chladnějších úrovních, a ceny transakcí, které jsou vyšší v chladnějších úrovních. Další informace najdete v tématu Rozdíly ve standardních úrovních.
Rozhodněte se, které služby s přidanou hodnotou potřebujete: Azure Files podporuje integraci se službami přidanými hodnotami, jako je Backup, Synchronizace souborů Azure a Defender for Storage. Tato řešení mají vlastní náklady na licencování a produkty, ale často se považují za součást celkových nákladů na vlastnictví úložiště souborů. Pokud používáte Synchronizace souborů Azure, zvažte další aspekty nákladů.
Vytváření mantinelí: Vytváření rozpočtů na základě předplatných a skupin prostředků Pomocí zásad správného řízení omezte typy prostředků, konfigurace a umístění. Kromě toho můžete pomocí řízení přístupu na základě role (RBAC) blokovat akce, které můžou vést k nadměrnému využití.
Monitorování nákladů: Zajistěte, aby náklady zůstaly v rámci rozpočtů, porovnejte náklady s prognózami a zjistěte, kde dochází k nadměrnému překročení. K monitorování nákladů můžete použít podokno analýzy nákladů na webu Azure Portal. Data nákladů můžete také exportovat do účtu úložiště a tato data analyzovat pomocí Excelu nebo Power BI.
Monitorování využití: Nepřetržitě monitorujte vzory využití a detekujte nepoužívané nebo nedostatečně využité účty úložiště a sdílené složky. Zkontrolujte neočekávané zvýšení kapacity, což může znamenat, že shromažďujete velké množství souborů protokolu nebo obnovitelně odstraněných souborů. Vytvořte strategii pro odstraňování souborů nebo přesouvání souborů do nákladově efektivnějších úrovní přístupu.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Při migraci na standardní sdílené složky Azure doporučujeme začít v úrovni optimalizované pro transakce během počáteční migrace. Využití transakcí během migrace obvykle neznamená normální využití transakcí. Tento faktor se nevztahuje na sdílené složky úrovně Premium, protože zřízený fakturační model neúčtuje poplatky za transakce. | Migrace do služby Azure Files je dočasná úloha s velkým počtem transakcí. Optimalizujte cenu úloh s vysokými transakcemi, abyste snížili náklady na migraci. |
| Po migraci úlohy, pokud používáte standardní sdílené složky, pečlivě vyberte cenově nejvýhodnější úroveň přístupu pro vaši sdílenou složku: horká, studená nebo optimalizovaná transakce. Po několika dnech nebo týdnech s pravidelným využitím můžete do cenové kalkulačky vložit počty transakcí, abyste zjistili, která úroveň nejlépe vyhovuje vaší úloze. Většina zákazníků by měla zvolit studenou i v případě, že sdílenou složku aktivně používají. Měli byste ale prozkoumat každou sdílenou složku a porovnat zůstatek kapacity úložiště s transakcemi a určit úroveň. Pokud náklady na transakce tvoří významné procento faktury, úspory oproti použití studené úrovně přístupu často vyrovná tyto náklady a minimalizuje celkové náklady. Doporučujeme přesunout standardní sdílené složky mezi úrovněmi přístupu jenom v případě, že je to potřeba k optimalizaci změn v modelu úloh. Každý přesun způsobuje transakce. Další informace najdete v tématu Přepínání mezi úrovněmi Standard. |
Vyberte odpovídající úroveň přístupu pro sdílené složky úrovně Standard, abyste výrazně snížili náklady. |
| Pokud používáte sdílené složky Úrovně Premium, ujistěte se, že pro úlohu zřídíte více než dostatečnou kapacitu a výkon, ale ne tolik, že se vám budou účtovat zbytečné náklady. Doporučujeme zrušit zřízení o dvě až třikrát. Sdílené složky úrovně Premium můžete dynamicky škálovat nahoru nebo dolů v závislosti na charakteristikách výkonu úložiště a vstupu a výstupu (V/V). | Nadměrné zřízení sdílených složek úrovně Premium o přiměřenou částku, která pomáhá udržet výkon a zohlednit budoucí růst a požadavky na výkon. |
| Rezervace služby Azure Files, označované také jako rezervované instance, použijte k předběžnému uvedení využití úložiště a získání slevy. Rezervace můžete použít pro produkční úlohy nebo úlohy pro vývoj/testování s konzistentními nároky. Další informace najdete v tématu Optimalizace nákladů s využitím rezervací úložiště. Rezervace nezahrnují poplatky za transakce, šířku pásma, přenos dat a úložiště metadat. |
Rezervace na tři roky můžou poskytnout slevu až 36 % celkových nákladů na úložiště souborů. Rezervace nemají vliv na výkon. |
| Monitorování využití snímků Snímky se účtují poplatky, ale účtují se na základě rozdílového využití úložiště jednotlivých snímků. Platíte jenom za rozdíl v každém snímku. Další informace najdete v tématu Snímky. Synchronizace souborů Azure pořizuje snímky na úrovni sdílené složky a na úrovni souborů v rámci pravidelného využití, což může zvýšit celkovou fakturu za Azure Files. |
Rozdílové snímky zajišťují, že se vám neúčtují vícekrát za ukládání stejných dat. Přesto byste ale měli monitorovat využití snímků, abyste snížili fakturu za Azure Files. |
| Nastavte dobu uchovávání pro funkci obnovitelného odstranění, zejména když ji začnete používat. Zvažte začátek krátké doby uchovávání, abyste lépe pochopili, jak tato funkce ovlivňuje vaši fakturu. Minimální doporučená doba uchovávání je sedm dnů. Při obnovitelném odstranění sdílených složek úrovně Standard a Premium se účtují jako využitá kapacita, nikoli zřízená kapacita. Sdílené složky úrovně Premium se účtují rychlostí snímků ve stavu obnovitelného odstranění. Standardní sdílené složky se účtují podle pravidelné sazby, zatímco ve stavu obnovitelného odstranění. |
Nastavte dobu uchovávání, aby se obnovitelně odstraněné soubory nenahromadily a zvýšily náklady na kapacitu. Po nakonfigurované době uchovávání se za trvale odstraněná data neúčtují žádné náklady. |
Efektivita provozu
Efektivita provozu se primárně zaměřuje na postupy vývoje , pozorovatelnost a správu verzí.
Principy návrhu efektivity provozu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů pro provozní požadavky úlohy.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu kontroly návrhu pro efektivitu provozu pro definování procesů pozorovatelnosti, testování a nasazení souvisejících s konfigurací úložiště souborů.
Vytváření plánů údržby a nouzového obnovení: Zvažte funkce ochrany dat, operace zálohování a obnovení a postupy převzetí služeb při selhání. Připravte se na potenciální ztrátu dat a nekonzistence dat a čas a náklady na převzetí služeb při selhání.
Monitorování stavu účtu úložiště: Vytvoření řídicích panelů Přehledů úložiště pro monitorování dostupnosti, výkonu a odolnosti Nastavte upozornění pro identifikaci a řešení problémů ve vašem systému, než si je vaši zákazníci všimnou. Pomocí nastavení diagnostiky můžete směrovat protokoly prostředků do pracovního prostoru protokolů služby Azure Monitor. Pak se můžete dotazovat na protokoly, abyste podrobněji prozkoumali výstrahy.
Pravidelně kontrolujte aktivitu sdílené složky: Aktivita sdílení se může v průběhu času měnit. Přesuňte standardní sdílené složky do chladnějších úrovní přístupu nebo můžete zřídit nebo zrušit kapacitu pro sdílené složky úrovně Premium. Když přesunete standardní sdílené složky na jinou úroveň přístupu, účtují se vám poplatky za transakce. Přesuňte standardní sdílené složky jenom v případě, že potřebujete snížit měsíční fakturu.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Pomocí infrastruktury jako kódu (IaC) můžete definovat podrobnosti účtů úložiště v šablonách Azure Resource Manageru (šablony ARM), Bicep nebo Terraformu. | Existující procesy DevOps můžete použít k nasazení nových účtů úložiště a k vynucování jejich konfigurace můžete použít Azure Policy . |
| Pomocí přehledů služby Storage můžete sledovat stav a výkon účtů úložiště. Přehledy úložiště poskytují jednotné zobrazení selhání, výkonu, dostupnosti a kapacity pro všechny vaše účty úložiště. | Můžete sledovat stav a provoz jednotlivých účtů. Snadno vytvářet řídicí panely a sestavy, které můžou zúčastněné strany použít ke sledování stavu vašich účtů úložiště. |
| Pomocí nástroje Monitor můžete analyzovat metriky, jako je dostupnost, latence a využití, a vytvářet výstrahy. | Monitorování poskytuje přehled o dostupnosti, výkonu a odolnosti sdílených složek. |
Efektivita výkonu
Efektivita výkonu se týká zachování uživatelského prostředí i v případě, že se zvyšuje zatížení díky správě kapacity. Strategie zahrnuje škálování prostředků, identifikaci a optimalizaci potenciálních kritických bodů a optimalizaci výkonu ve špičce.
Principy návrhu efektivity výkonu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů kapacity proti očekávanému využití.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu týkajícího se efektivity výkonu. Definujte směrný plán založený na klíčových ukazatelích výkonu pro konfiguraci úložiště souborů.
Plánování škálování: Vysvětlení cílů škálovatelnosti a výkonu pro účty úložiště, Soubory Azure a Synchronizace souborů Azure
Seznamte se se vzory aplikací a využití, abyste dosáhli předvídatelný výkon: Určení citlivosti latence, požadavků na vstupně-výstupní operace za sekundu a propustnosti, doby trvání a frekvence úloh a paralelizace úloh. Azure Files můžete použít pro vícevláknové aplikace, které vám pomůžou dosáhnout horních limitů výkonu služby. Pokud je většina vašich požadavků zaměřená na metadata, například createfile, openfile, closefile, queryinfo nebo querydirectory, požadavky vytvářejí nízkou latenci, která je vyšší než operace čtení a zápisu. Pokud máte tento problém, zvažte oddělení sdílené složky do více sdílených složek ve stejném účtu úložiště.
Zvolte optimální typ účtu úložiště: Pokud vaše úloha vyžaduje velké objemy IOPS, extrémně rychlé rychlosti přenosu dat nebo velmi nízkou latenci, měli byste zvolit účty úložiště Premium (FileStorage). Pro většinu úloh sdílených složek SMB můžete použít standardní účet pro obecné účely verze 2. Hlavním kompromisem mezi těmito dvěma typy účtů úložiště jsou náklady oproti výkonu.
Zřízená velikost sdílené složky, jako jsou IOPS, výchozí přenos dat a příchozí přenos dat a limity s jedním souborem, určují výkon sdílené složky úrovně Premium. Další informace najdete v tématu Principy zřizování sdílených složek úrovně Premium. Sdílené složky úrovně Premium také nabízejí v případě, že potřebujete dočasně překročit základní limit IOPS sdílené složky úrovně Premium.
Vytvořte účty úložiště ve stejných oblastech jako připojení klientů, abyste snížili latenci: Čím dál jste ve službě Azure Files, tím větší je latence a tím obtížnější dosáhnout limitů škálování výkonu. To platí zejména v případě, že přistupujete ke službě Azure Files z místních prostředí. Pokud je to možné, ujistěte se, že se váš účet úložiště a klienti nacházejí ve stejné oblasti Azure. Optimalizujte pro místní klienty minimalizací latence sítě nebo použitím připojení ExpressRoute k rozšíření místních sítí do cloudu Microsoftu přes privátní připojení.
Shromažďování dat o výkonu: Monitorování výkonu úloh, včetně latence, dostupnosti a metrik využití Analyzujte protokoly a diagnostikujte problémy, jako jsou vypršení časových limitů a omezování. Vytvořte upozornění , která vás upozorní, pokud dochází k omezování sdílené složky, k omezování nebo k vysoké latenci.
Optimalizace pro hybridní nasazení: Pokud používáte Synchronizace souborů Azure, výkon synchronizace závisí na mnoha faktorech: windows Serveru a základní konfiguraci disku, šířce pásma sítě mezi serverem a úložištěm Azure, velikostí souboru, celkovou velikostí datové sady a aktivitou v datové sadě. Pokud chcete měřit výkon řešení založeného na Synchronizace souborů Azure, určete počet objektů, jako jsou soubory a adresáře, které zpracováváte za sekundu.
Doporučení
| Doporučení | Výhoda |
|---|---|
| Povolte funkci SMB Multichannel pro sdílené složky SMB úrovně Premium. Smb Multichannel umožňuje klientovi SMB 3.1.1 vytvořit více síťových připojení ke sdílené složce SMB Azure. SMB Multichannel funguje jenom v případech, kdy je tato funkce povolená na straně klienta (vašeho klienta) i na straně služby (Azure). Na klientech s Windows je ve výchozím nastavení povolen protokol SMB Multichannel, ale musíte ho povolit ve svém účtu úložiště. |
Zvyšte propustnost a IOPS a zároveň snižte celkové náklady na vlastnictví. Výhody výkonu se zvyšují s počtem souborů, které distribuují zatížení. |
| Použijte možnost připojení na straně klienta nconnect se sdílenými složkami Azure NFS v klientech s Linuxem. Nconnect umožňuje používat více připojení TCP mezi klientem a službou Azure Files Premium pro NFSv4.1. | Zvyšte výkon ve velkém a snižte celkové náklady na vlastnictví sdílených složek NFS. |
| Ujistěte se, že vaše sdílená složka nebo účet úložiště nejsou omezené, což může vést k vysoké latenci, nízké propustnosti nebo nízkému počtu IOPS. Požadavky se omezují, když dojde k dosažení limitů vstupně-výstupních operací za sekundu, příchozího přenosu dat nebo výchozího přenosu dat. U účtů úložiště úrovně Standard dochází k omezování na úrovni účtu. U sdílených složek úrovně Premium obvykle dochází k omezování na úrovni sdílené složky. |
Vyhněte se omezování, abyste zajistili co nejlepší možnosti klienta. |
Zásady Azure
Azure poskytuje rozsáhlou sadu předdefinovaných zásad souvisejících se službou Azure Files. Některá z předchozích doporučení je možné auditovat prostřednictvím zásad Azure. Můžete například zkontrolovat, jestli:
- Přijímají se jenom požadavky ze zabezpečených připojení, jako je HTTPS.
- Autorizace sdíleného klíče je zakázaná.
- Pravidla brány firewall sítě se použijí na účet.
- Nastavení diagnostiky pro Soubory Azure jsou nastavená tak, aby streamovat protokoly prostředků do pracovního prostoru protokolů služby Azure Monitor.
- Přístup z veřejné sítě je zakázán.
- Synchronizace souborů Azure se konfiguruje s privátními koncovými body tak, aby používaly privátní zóny DNS.
Komplexní zásady správného řízení najdete v předdefinovaných definicích služby Azure Policy pro úložiště a další zásady, které by mohly ovlivnit zabezpečení výpočetní vrstvy.
Doporučení Azure Advisoru
Azure Advisor je přizpůsobený cloudový konzultant, který pomáhá dodržovat osvědčené postupy pro optimalizaci nasazení Azure. Tady je několik doporučení, která vám můžou pomoct zlepšit spolehlivost, zabezpečení, nákladovou efektivitu, výkon a efektivitu provozu služby Azure Files.
Další krok
Další informace najdete v dokumentaci ke službě Azure Files.