Freigeben über


Planen der Bereitstellung von Elastic SAN

Es gibt drei Hauptaspekte für ein elastisches Speicherbereichsnetzwerk (Storage Area Network, SAN): das eigentliche SAN, Volumegruppen und Volumes. Wenn Sie ein SAN bereitstellen, treffen Sie eine Auswahl bei seiner Konfiguration, einschließlich der Redundanz des gesamten SAN sowie seiner Leistungs- und Speichergröße. Danach erstellen Sie Volumegruppen, die zum bedarfsgerechten Verwalten von Volumes verwendet werden. Alle auf eine Volumegruppe angewendeten Einstellungen werden von Volumes innerhalb dieser Gruppe geerbt. Schließlich partitionieren Sie die Speicherkapazität, die auf SAN-Ebene in einzelnen Volumes zugeordnet wurde.

Vor der Bereitstellung eines Elastic SAN sollten Sie Folgendes berücksichtigen:

  • Wie viel Speicher benötigen Sie?
  • Welche Leistungsebene benötigen Sie?
  • Welchen Redundanztyp benötigen Sie?

Die Beantwortung dieser drei Fragen kann Ihnen helfen, ein SAN (Storage Area Network), das Ihren Anforderungen entspricht, erfolgreich bereitzustellen.

Speicher und Leistung

Bei Leistung und Speicher gibt es zwei Ebenen: den gesamten Speicher und die Gesamtleistung eines Elastic SAN sowie die Leistung und den Speicher einzelner Volumes.

Elastic SAN

Es gibt zwei Möglichkeiten zum Zuordnen von Speicher für eine Elastic SAN-Instanz: Sie können entweder Basiskapazität oder zusätzliche Kapazität zuordnen. Jedes TiB von Basiskapazität erhöht auch die IOPS und den Durchsatz (MB/s) Ihres SAN, kostet aber mehr als jedes TiB von zusätzlicher Kapazität. Durch eine Erhöhung der zusätzlichen Kapazität wird die IOPS oder der Durchsatz (MB/s) Ihres SAN nicht erhöht.

Berücksichtigen Sie beim Zuordnen von Speicher für eine Elastic SAN-Instanz, wie viel Speicher und Leistung Sie benötigen. Mithilfe einer Kombination aus Basiskapazität und zusätzlicher Kapazität zur Erfüllung dieser Anforderungen können Sie Ihre Kosten optimieren. Wenn Sie beispielsweise 100 TiB Speicher, aber nur 250.000 IOPS und 4.000 MB/s benötigten, könnten Sie 50 TiB in Ihrer Basiskapazität und 50 TiB in Ihrer zusätzlichen Kapazität zuordnen.

Volumes

Sie erstellen Volumes aus dem Speicher, den Sie für Ihre Elastic SAN-Instanz zugeordnet haben. Wenn Sie ein Volume erstellen, stellen Sie sich diesen Vorgang wie das Partitionieren eines Abschnitts Ihres Elastic SAN-Speichers vor. Die maximale Leistung eines einzelnen Volumes wird durch die Menge des ihm zugeordneten Speichers bestimmt. Bei einzelnen Volumes können IOPS und Durchsatz ziemlich hoch sein, aber die Gesamt-IOPS und der Gesamtdurchsatz aller Ihrer Volumes können die Gesamt-IOPS und den Gesamtdurchsatz Ihres SAN nicht überschreiten.

Verwenden Sie dasselbe Beispiel für ein 100 TiB-SAN mit 500.000 IOPS und 20.000 MB/s. Angenommen, dieses SAN hätte 100 Volumes von 1 TiB. Dann könnten Sie dafür sorgen, dass sechs dieser Volumes mit ihrer maximalen Leistung (80.000 IOPS, 1.280 MB/s) arbeiten, da dies unter den Grenzwerten des SAN läge. Wenn aber sieben Volumes gleichzeitig mit maximaler Leistung arbeiten müssten, wäre dies nicht möglich. Stattdessen würde die Leistung des SAN zwischen ihnen gleichmäßig aufgeteilt.

Netzwerk

Im Elastic SAN können Sie den öffentlichen Netzwerkzugriff auf der Elastic SAN-Ebene aktivieren oder deaktivieren. Sie können den Zugriff auf Volumegruppen im SAN auch über öffentliche Storage-Dienstendpunkte und private Endpunkte von ausgewählten Subnetzen des virtuellen Netzwerks (VNet) konfigurieren. Sobald der Netzwerkzugriff für eine Volumegruppe konfiguriert ist, wird die Konfiguration an alle Volumes, die zu dieser Gruppe gehören, vererbt. Wenn Sie den öffentlichen Zugriff auf der SAN-Ebene deaktivieren, ist der Zugriff auf die Volumegruppen innerhalb dieses SAN unabhängig von individuellen Konfigurationen für die Volumegruppe nur über private Endpunkte verfügbar.

Um den Netzwerkzugriff oder eine einzelne Volumegruppe zuzulassen, müssen Sie einen Dienstendpunkt für Azure Storage oder einen privaten Endpunkt in Ihrem virtuellen Netzwerk aktivieren und dann in der Volumegruppe eine Netzwerkregel für alle Dienstendpunkte einrichten. Sie müssen keine Netzwerkregel konfigurieren, um Datenverkehr von einem privaten Endpunkt zuzulassen, da die Speicherfirewall nur den Zugriff über öffentliche Endpunkte steuert. Anschließend können Sie Volumes von AKS-, Linux- oder Windows-Clients im Subnetz mit dem iSCSI-Protokoll (internet Small Computer Systems Interface) einbinden.

Redundanz

Zum Schutz der Daten in Ihrem Elastic SAN vor Datenverlust oder -beschädigung speichern alle SANs mehrere Kopien jeder Datei, während sie geschrieben wird. Abhängig von den Anforderungen Ihrer Workload können Sie zusätzliche Redundanzgrade auswählen. Die folgenden Datenredundanzoptionen werden zurzeit unterstützt:

  • Lokal redundanter Speicher (LRS): Bei LRS wird jedes SAN dreimal in einem Azure-Speichercluster gespeichert. Dies schützt vor Datenverlusten aufgrund von Hardwarefehlern, z. B. bei einem schadhaften Laufwerk. Bei einem Katastrophenfall in einem Rechenzentrum wie einem Brand oder einer Überschwemmung ist es jedoch möglich, dass alle Replikate einer Elastic SAN-Instanz, die lokal redundanten Speicher (LRS) verwendet, verloren gehen oder nicht mehr wiederhergestellt werden können.
  • Zonenredundanter Speicher (ZRS): Bei ZRS werden drei Kopien jedes SAN in drei unterschiedlichen und physisch isolierten Speicherclustern in verschiedenen Azure-Verfügbarkeitszonen gespeichert. Verfügbarkeitszonen sind eindeutige physische Standorte in einer Azure-Region. Jede Zone besteht aus mindestens einem Rechenzentrum, dessen Stromversorgung, Kühlung und Netzwerkbetrieb unabhängig funktionieren. Schreibanforderungen an einen Speicher, der ZRS nutzt, erfolgen synchron. Der Schreibvorgang wird erst dann als erfolgreich zurückgegeben, nachdem die Daten in alle Replikate in den drei Verfügbarkeitszonen geschrieben wurden.

Verschlüsselung

Alle in einem Elastic SAN gespeicherten Daten werden im Ruhezustand mithilfe der Azure-Speicherdienstverschlüsselung (Storage Service Encryption, SSE) verschlüsselt. Die Speicherdienstverschlüsselung funktioniert ähnlich wie BitLocker unter Windows: Daten werden unterhalb der Dateisystemebene verschlüsselt. SSE schützt Ihre Daten und unterstützt Sie beim Einhalten der Sicherheits- und Complianceanforderungen Ihrer Organisation. In Elastic SAN gespeicherte Daten werden mit von Microsoft verwalteten Schlüsseln verschlüsselt. Bei von Microsoft verwalteten Schlüsseln bewahrt Microsoft die Schlüssel zum Verschlüsseln/Entschlüsseln der Daten auf und ist dafür zuständig, sie regelmäßig zu rotieren.

Daten in einem Azure Elastic SAN werden mithilfe der AES-256-Bit-Verschlüsselung – einer der stärksten verfügbaren Blockchiffren – auf transparente Weise ver- und entschlüsselt und sind mit dem FIPS 140-2-Standard konform. Die Verschlüsselung ist für alle Elastic SANs aktiviert und kann nicht deaktiviert werden. Weil Ihre Daten standardmäßig geschützt werden, müssen Sie weder Ihren Code noch Anwendungen ändern, um SSE nutzen zu können. Für SSE entstehen keine zusätzlichen Kosten.

Weitere Informationen zu den kryptografischen Modulen, die SSE zugrunde liegen, finden Sie unter Kryptografie-API: Die nächste Generation.

Migration

Es gibt derzeit zwei Optionen für die Migration Ihrer Daten zu Azure Elastic SAN. Beide Pfade erfordern zuerst die Bereitstellung und Konfiguration eines Elastic SAN und das anschließende Erstellen von Volumes über den Migrationsprozess.

iSCSI-Unterstützung

Elastic SAN unterstützt das internet Small Computer Systems Interface (iSCSI)-Protokoll. Die folgenden iSCSI-Befehle werden zurzeit unterstützt:

  • TESTGERÄT BEREIT
  • SINN ANFORDERN
  • ANFRAGE
  • LUNs MELDEN
  • MODUS SINN
  • LESEKAPAZITÄT (10)
  • LESEKAPAZITÄT (16)
  • LESEN (6)
  • LESEN (10)
  • LESEN (16)
  • SCHREIBEN (6)
  • SCHREIBEN (10)
  • SCHREIBEN (16)
  • SCHREIBEN ÜBERPRÜFEN (10)
  • SCHREIBEN ÜBERPRÜFEN (16)
  • ÜBERPRÜFEN (10)
  • ÜBERPRÜFEN (16)
  • CACHE SYNCHRONISIEREN (10)
  • CACHE SYNCHRONISIEREN (16)
  • RESERVE
  • RELEASE
  • PERSISTENT RESERVE IN
  • PERSISTENT RESERVE OUT

Die folgenden iSCSI-Befehle werden zurzeit nicht unterstützt:

  • CHAP-Autorisierung
  • Initiator-Registrierung
  • iSCSI-Fehlerwiederherstellungsebenen 1 und 2
  • ESXi iSCSI-Flusssteuerung
  • Mehrere LUN (logische Gerätenummern) pro iSCSI-Ziel

Nächste Schritte

Ein Video zur allgemeinen Planung und Bereitstellung mit einigen Beispielszenarien finden Sie unter Erste Schritte mit Azure Elastic SAN.