Perspectiva de Azure Well-Architected Framework en Azure Files
Azure Files es una solución de almacenamiento de archivos de Microsoft para la nube. Azure Files proporciona recursos compartidos de archivos de bloque de mensajes de servidor (SMB) y del sistema de archivos de red (NFS) que puede montar en clientes en la nube, en el entorno local o en ambos. También puede usar Azure File Sync para almacenar en caché los recursos compartidos de archivos SMB en un servidor windows local y en el nivel que se usan con poca frecuencia en la nube.
En este artículo se supone que, como arquitecto, ha revisado las opciones de almacenamiento y elegido Azure Files como servicio de almacenamiento en el que ejecutar las cargas de trabajo. Las instrucciones de este artículo proporcionan recomendaciones arquitectónicas que se asignan a los principios de los pilares de Azure Well-Architected Framework.
Importante
Cómo usar esta guía
Cada sección tiene una lista de comprobación de diseño que presenta áreas de interés arquitectónicas junto con estrategias de diseño localizadas al ámbito tecnológico.
También se incluyen recomendaciones sobre las funcionalidades tecnológicas que pueden ayudar a implementar esas estrategias. Las recomendaciones no representan una lista exhaustiva de todas las configuraciones disponibles para Azure Files y sus dependencias. En su lugar, enumeran las recomendaciones clave asignadas a las perspectivas de diseño. Use las recomendaciones para compilar la prueba de concepto o optimizar los entornos existentes.
Confiabilidad
El propósito del pilar confiabilidad es proporcionar funcionalidad continua mediante la creación de una resistencia suficiente y la capacidad de recuperarse rápidamente de los errores.
Los principios de diseño de confiabilidad proporcionan una estrategia de diseño de alto nivel aplicada para componentes individuales, cargas de trabajo, flujos del sistema y el sistema en su conjunto.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para confiabilidad.
Uso del análisis del modo de error: minimice los puntos de error teniendo en cuenta las dependencias internas, como la disponibilidad de redes virtuales, Azure Key Vault o Azure Content Delivery Network o los puntos de conexión de Azure Front Door. Los errores pueden producirse si necesita credenciales para acceder a Azure Files y las credenciales faltan en Key Vault. O bien, es posible que tenga un error si las cargas de trabajo usan un punto de conexión basado en una red de entrega de contenido que falta. En estos casos, es posible que tenga que configurar las cargas de trabajo para conectarse a un punto de conexión alternativo. Para obtener información general sobre el análisis del modo de error, vea Recomendaciones para realizar el análisis del modo de error.
Definición de objetivos de confiabilidad y recuperación: revise los acuerdos de nivel de servicio (SLA) de Azure. Derive el objetivo de nivel de servicio (SLO) de la cuenta de almacenamiento. Por ejemplo, la configuración de redundancia elegida podría afectar al SLO. Considere el efecto de una interrupción regional, la posibilidad de pérdida de datos y el tiempo necesario para restaurar el acceso después de una interrupción. Tenga en cuenta también la disponibilidad de las dependencias internas que identificó como parte del análisis del modo de error.
Configurar la redundancia de datos: para obtener la máxima durabilidad, elija una configuración que copie los datos entre zonas de disponibilidad o regiones globales. Para obtener la máxima disponibilidad, elija una configuración que permita a los clientes leer datos de la región secundaria durante una interrupción de la región primaria.
Aplicaciones de diseño: diseñe las aplicaciones para desplazarse sin problemas para que lean datos de una región secundaria si la región primaria no está disponible. Esta consideración de diseño solo se aplica a las configuraciones de almacenamiento con redundancia geográfica (GRS) y almacenamiento con redundancia de zona geográfica (GZRS). Diseñe las aplicaciones para controlar correctamente las interrupciones, lo que reduce el tiempo de inactividad de los clientes.
Explore las características para ayudarle a cumplir los objetivos de recuperación: haga que los archivos se puedan restaurar para que pueda recuperar archivos dañados, editados o eliminados.
Crear un plan de recuperación: considere la posibilidad de tener en cuenta las características de protección de datos, las operaciones de copia de seguridad y restauración o los procedimientos de conmutación por error. Prepárese para posibles pérdidas de datos e incoherencias de datos y el tiempo y el costo de la conmutación por error. Para obtener más información, consulte Recomendaciones para diseñar una estrategia de recuperación ante desastres.
Supervisión de posibles problemas de disponibilidad: suscríbase al panel de Azure Service Health para supervisar posibles problemas de disponibilidad. Use métricas de almacenamiento y registros de diagnóstico en Azure Monitor para investigar alertas.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Configure la cuenta de almacenamiento para la redundancia. Para obtener la máxima disponibilidad y durabilidad, configure la cuenta con almacenamiento con redundancia de zona (ZRS), GRS o GZRS. Las regiones de Azure limitadas admiten ZRS para recursos compartidos de archivos estándar y premium . Solo las cuentas de SMB estándar admiten GRS y GZRS. Los recursos compartidos SMB Premium y los recursos compartidos NFS no admiten GRS ni GZRS. Azure Files no admite el almacenamiento con redundancia geográfica con acceso de lectura (RA-GRS) ni el almacenamiento con redundancia de zona geográfica con acceso de lectura (RA-GZRS). Si configura una cuenta de almacenamiento para usar RA-GRS o RA-GZRS, los recursos compartidos de archivos se configuran y facturan como GRS o GZRS. |
La redundancia protege los datos frente a errores inesperados. Las opciones de configuración de ZRS y GZRS se replican en varias zonas de disponibilidad y permiten que las aplicaciones sigan leyendo datos durante una interrupción. Para obtener más información, consulte Durabilidad y disponibilidad por escenario de interrupción y Parámetros de durabilidad y disponibilidad. |
| Antes de iniciar una conmutación por error o una conmutación por recuperación, compruebe el valor de la última propiedad de hora de sincronización para evaluar el potencial de pérdida de datos. Esta recomendación solo se aplica a las configuraciones GRS y GZRS. | Esta propiedad le ayuda a calcular la cantidad de datos que podría perder si inicia una conmutación por error de cuenta. Todos los datos y metadatos escritos antes de la última hora de sincronización están disponibles en la región secundaria, pero es posible que pierda los datos y metadatos que se escriben después de la última hora de sincronización porque no se escriben en la región secundaria. |
| Como parte de la estrategia de copia de seguridad y recuperación, habilite la eliminación temporal y use instantáneas para la restauración a un momento dado. Puede usar Azure Backup para realizar copias de seguridad de los recursos compartidos de archivos SMB. También puede usar Azure File Sync para realizar copias de seguridad de recursos compartidos de archivos SMB locales en un recurso compartido de archivos de Azure. Azure Backup también le permite realizar una copia de seguridad con almacenes (versión preliminar) de Azure Files para proteger sus datos frente a ataques de ransomware o pérdida de datos de origen debido a un actor malintencionado o un administrador no autorizado. Mediante la copia de seguridad almacenada, Azure Backup copia y almacena datos en el almacén de Recovery Services. Esto crea una copia fuera del sitio de los datos que puede conservar durante un máximo de 99 años. Azure Backup crea y administra los puntos de recuperación según la programación y la retención definidas en la directiva de copia de seguridad. Más información. |
La eliminación temporal funciona en un nivel de recurso compartido de archivos para proteger los recursos compartidos de archivos de Azure frente a la eliminación accidental. La restauración a un momento dado protege contra la eliminación accidental o daños porque puede restaurar recursos compartidos de archivos a un estado anterior. Para obtener más información,consulte Información general sobre la protección de datos. |
Seguridad
El propósito del pilar seguridad es proporcionar garantías de confidencialidad, integridad y disponibilidad a la carga de trabajo.
Los principios de diseño de seguridad proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos aplicando enfoques al diseño técnico de la configuración de almacenamiento de archivos.
Los requisitos y recomendaciones de seguridad varían en función de si la carga de trabajo usa el protocolo SMB o NFS para acceder a los recursos compartidos de archivos. Por lo tanto, las secciones siguientes tienen listas de comprobación de diseño independientes y recomendaciones para recursos compartidos de archivos SMB y NFS.
Como procedimiento recomendado, debe mantener los recursos compartidos de archivos SMB y NFS en cuentas de almacenamiento independientes porque tienen requisitos de seguridad diferentes. Use este enfoque para proporcionar a la carga de trabajo una seguridad sólida y una alta flexibilidad.
Lista de comprobación de diseño para recursos compartidos de archivos SMB
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para seguridad. Identifique vulnerabilidades y controles para mejorar la posición de seguridad. Amplíe la estrategia para incluir más enfoques según sea necesario.
Revise la línea de base de seguridad de Azure Storage: para empezar, revise la línea de base de seguridad de Storage.
Considere la posibilidad de usar controles de red para restringir el tráfico de entrada y salida: es posible que le resulte cómodo exponer la cuenta de almacenamiento a la red pública de Internet en determinadas condiciones, como si usa la autenticación basada en identidades para conceder acceso a recursos compartidos de archivos. Pero se recomienda usar controles de red para conceder el nivel mínimo necesario de acceso a usuarios y aplicaciones. Para obtener más información, consulte Cómo abordar la seguridad de red para la cuenta de almacenamiento.
Reducir la superficie expuesta a ataques: use el cifrado en tránsito y evite el acceso a conexiones no seguras (HTTP) para reducir la superficie expuesta a ataques. Requerir que los clientes envíen y reciban datos mediante la versión más reciente del protocolo seguridad de la capa de transporte (TLS).
Minimizar el uso de claves de cuenta de almacenamiento: la autenticación basada en identidades proporciona una seguridad superior en comparación con el uso de una clave de cuenta de almacenamiento. Pero debe usar una clave de cuenta de almacenamiento para obtener el control administrativo total de un recurso compartido de archivos, incluida la capacidad de tomar posesión de un archivo. Conceda a las entidades de seguridad solo los permisos necesarios para realizar sus tareas.
Proteger información confidencial: proteja la información confidencial, como las claves y contraseñas de la cuenta de almacenamiento. No se recomienda usar estas formas de autorización, pero si lo hace, debe asegurarse de rotar, expirar y almacenarlas de forma segura.
Detección de amenazas: habilite Microsoft Defender para Storage para detectar intentos potencialmente dañinos de acceder o aprovechar los recursos compartidos de archivos de Azure a través de los protocolos SMB o FileREST. Los administradores de suscripciones reciben alertas por correo electrónico con detalles de actividades sospechosas y recomendaciones sobre cómo investigar y corregir amenazas. Defender para Storage no admite funcionalidades antivirus para recursos compartidos de archivos de Azure. Si usa Defender para Storage, los recursos compartidos de archivos pesados en transacciones incurren en costos significativos, por lo que considere la posibilidad de no participar en Defender for Storage para cuentas de almacenamiento específicas.
Recomendaciones para recursos compartidos de archivos SMB
| Recomendación | Prestación |
|---|---|
| Aplique un bloqueo de Azure Resource Manager en la cuenta de almacenamiento. | Bloquee la cuenta para evitar la eliminación accidental o malintencionada de la cuenta de almacenamiento, lo que puede provocar la pérdida de datos. |
| Abra el puerto TCP 445 saliente o configure una puerta de enlace de VPN o una conexión de Azure ExpressRoute para que los clientes externos a Azure accedan al recurso compartido de archivos. | SMB 3.x es un protocolo seguro para Internet, pero es posible que no tenga la capacidad de cambiar las directivas organizativas o ISP. Puede usar una puerta de enlace de VPN o una conexión expressRoute como opción alternativa. |
| Si abre el puerto 445, asegúrese de deshabilitar SMBv1 en clientes Windows y Linux . Azure Files no admite SMB 1, pero debe deshabilitarlo en los clientes. | SMB 1 es un protocolo obsoleto, ineficaz y no seguro. Deshabilite en los clientes para mejorar la posición de seguridad. |
| Considere la posibilidad de deshabilitar el acceso de red pública a la cuenta de almacenamiento. Habilite el acceso a la red pública solo si los clientes y servicios SMB externos a Azure requieren acceso a la cuenta de almacenamiento. Si deshabilita el acceso a la red pública, cree un punto de conexión privado para la cuenta de almacenamiento. Se aplican las tasas de procesamiento de datos estándar para los puntos de conexión privados. Un punto de conexión privado no bloquea las conexiones al punto de conexión público. Todavía debe deshabilitar el acceso a la red pública como se ha descrito anteriormente. Si no necesita una dirección IP estática para el recurso compartido de archivos y desea evitar el costo de los puntos de conexión privados, en su lugar puede restringir el acceso de punto de conexión público a redes virtuales y direcciones IP específicas. |
El tráfico de red viaja a través de la red troncal de Microsoft en lugar de la red pública de Internet, lo que elimina la exposición a riesgos de la red pública de Internet. |
| Habilite las reglas de firewall que limiten el acceso a redes virtuales específicas. Comience con cero acceso y proporcione de forma metódica e incremental la menor cantidad de acceso necesaria para los clientes y servicios. | Minimice el riesgo de crear aperturas para atacantes. |
| Cuando sea posible, use la autenticación basada en identidades con cifrado de vales Kerberos AES-256 para autorizar el acceso a recursos compartidos de archivos de Azure SMB. | Use la autenticación basada en identidades para reducir la posibilidad de que un atacante use una clave de cuenta de almacenamiento para acceder a los recursos compartidos de archivos. |
| Si usa claves de cuenta de almacenamiento, almacénelas en Key Vault y asegúrese de volver a generarlas periódicamente. Puede denegar completamente el acceso de la clave de la cuenta de almacenamiento al recurso compartido de archivos quitando NTLMv2 de la configuración de seguridad de SMB del recurso compartido. Pero por lo general no debe quitar NTLMv2 de la configuración de seguridad de SMB del recurso compartido porque los administradores todavía necesitan usar la clave de cuenta para algunas tareas. |
Use Key Vault para recuperar claves en tiempo de ejecución en lugar de guardarlas con la aplicación. Key Vault también facilita la rotación de las claves sin interrupciones en las aplicaciones. Rota periódicamente las claves de cuenta para reducir el riesgo de exponer los datos a ataques malintencionados. |
| En la mayoría de los casos, debe habilitar la opción Transferencia segura necesaria en todas las cuentas de almacenamiento para habilitar el cifrado en tránsito para los recursos compartidos de archivos SMB. No habilite esta opción si necesita permitir que los clientes muy antiguos accedan al recurso compartido. Si deshabilita la transferencia segura, asegúrese de usar controles de red para restringir el tráfico. |
Esta configuración garantiza que todas las solicitudes realizadas en la cuenta de almacenamiento se realicen a través de conexiones seguras (HTTPS). Las solicitudes realizadas a través de HTTP producirán un error. |
| Configure la cuenta de almacenamiento para que TLS 1.2 sea la versión mínima para que los clientes envíen y reciban datos. | TLS 1.2 es más seguro y más rápido que TLS 1.0 y 1.1, que no admiten algoritmos criptográficos modernos y conjuntos de cifrado. |
| Use solo la versión del protocolo SMB compatible más reciente (actualmente 3.1.1.) y use solo AES-256-GCM para el cifrado del canal SMB. Azure Files expone la configuración que puede usar para alternar el protocolo SMB y hacer que sea más compatible o más seguro, en función de los requisitos de su organización. De forma predeterminada, se permiten todas las versiones de SMB. Sin embargo, SMB 2.1 no se permite si habilita Requerir transferencia segura porque SMB 2.1 no admite el cifrado de datos en tránsito. Si restringe esta configuración a un alto nivel de seguridad, es posible que algunos clientes no puedan conectarse al recurso compartido de archivos. |
SMB 3.1.1, publicado con Windows 10, contiene actualizaciones importantes de seguridad y rendimiento. AES-256-GCM ofrece un cifrado de canal más seguro. |
Lista de comprobación de diseño para recursos compartidos de archivos NFS
Revise la línea de base de seguridad de Storage: para empezar, revise la línea de base de seguridad de Storage.
Comprender los requisitos de seguridad de su organización: los recursos compartidos de archivos de Azure NFS solo admiten clientes Linux que usan el protocolo NFSv4.1, con compatibilidad con la mayoría de las características de la especificación del protocolo 4.1. Algunas características de seguridad, como la autenticación Kerberos, las listas de control de acceso (ACL) y el cifrado en tránsito, no se admiten.
Use controles y seguridad de nivel de red para restringir el tráfico de entrada y salida: la autenticación basada en identidades no está disponible para los recursos compartidos de archivos de Azure NFS, por lo que debe usar la seguridad y los controles de nivel de red para conceder el nivel mínimo necesario de acceso a los usuarios y las aplicaciones. Para obtener más información, consulte Cómo abordar la seguridad de red para la cuenta de almacenamiento.
Recomendaciones para recursos compartidos de archivos NFS
| Recomendación | Prestación |
|---|---|
| Aplique un bloqueo de Resource Manager en la cuenta de almacenamiento. | Bloquee la cuenta para evitar la eliminación accidental o malintencionada de la cuenta de almacenamiento, lo que puede provocar la pérdida de datos. |
| Debe abrir el puerto 2049 en los clientes a los que desea montar el recurso compartido NFS. | Abra el puerto 2049 para permitir que los clientes se comuniquen con el recurso compartido de archivos de Azure NFS. |
| Los recursos compartidos de archivos de Azure NFS solo son accesibles a través de redes restringidas. Por lo tanto, debe crear un punto de conexión privado para la cuenta de almacenamiento o restringir el acceso de punto de conexión público a redes virtuales y direcciones IP seleccionadas. Se recomienda crear un punto de conexión privado. Debe configurar la seguridad de nivel de red para los recursos compartidos NFS porque Azure Files no admite el cifrado en tránsito con el protocolo NFS. Debe deshabilitar la opción Requerir transferencia segura en la cuenta de almacenamiento para usar recursos compartidos de archivos de Azure NFS. Las tasas de procesamiento de datos estándar se aplican a los puntos de conexión privados. Si no necesita una dirección IP estática para el recurso compartido de archivos y desea evitar el costo de los puntos de conexión privados, puede restringir el acceso al punto de conexión público en su lugar. |
El tráfico de red viaja a través de la red troncal de Microsoft en lugar de la red pública de Internet, lo que elimina la exposición a riesgos de la red pública de Internet. |
| Considere la posibilidad de no permitir el acceso a la clave de la cuenta de almacenamiento en el nivel de cuenta de almacenamiento. No necesita este acceso para montar recursos compartidos de archivos NFS. Pero tenga en cuenta que el control administrativo total de un recurso compartido de archivos, incluida la capacidad de tomar posesión de un archivo, requiere el uso de una clave de cuenta de almacenamiento. | No permitir el uso de claves de cuenta de almacenamiento para que la cuenta de almacenamiento sea más segura. |
Optimización de costos
La optimización de costos se centra en detectar patrones de gasto, priorizar las inversiones en áreas críticas y optimizar en otros usuarios para satisfacer el presupuesto de la organización al tiempo que cumple los requisitos empresariales.
Los principios de diseño de la optimización de costos proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos y hacer inconvenientes según sea necesario en el diseño técnico relacionado con el almacenamiento de archivos y su entorno.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para la optimización de costos para las inversiones. Ajuste el diseño para que la carga de trabajo esté alineada con el presupuesto asignado para la carga de trabajo. El diseño debe usar las funcionalidades adecuadas de Azure, supervisar las inversiones y encontrar oportunidades para optimizar con el tiempo.
Decida si la carga de trabajo requiere el rendimiento de los recursos compartidos de archivos Premium (SSD Premium de Azure) o si el almacenamiento hdD estándar de Azure es suficiente: determine el tipo de cuenta de almacenamiento y el modelo de facturación en función del tipo de almacenamiento que necesite. Si necesita grandes cantidades de operaciones de entrada y salida por segundo (IOPS), velocidades de transferencia de datos extremadamente rápidas o muy baja latencia, debe elegir recursos compartidos de archivos de Azure Premium. Los recursos compartidos de archivos de Azure NFS solo están disponibles en el nivel Premium. Los recursos compartidos de archivos NFS y SMB son el mismo precio en el nivel Premium.
Cree una cuenta de almacenamiento para el recurso compartido de archivos y elija un nivel de redundancia: elija una cuenta estándar (GPv2) o Premium (FileStorage). El nivel de redundancia que elija afecta al costo. Cuanto mayor sea la redundancia, mayor será el costo. El almacenamiento con redundancia local (LRS) es el más asequible. GRS solo está disponible para recursos compartidos de archivos SMB estándar. Los recursos compartidos de archivos estándar solo muestran información de transacción en el nivel de cuenta de almacenamiento, por lo que se recomienda implementar solo un recurso compartido de archivos en cada cuenta de almacenamiento para garantizar la visibilidad completa de la facturación.
Comprender cómo se calcula la factura: los recursos compartidos de archivos de Azure estándar proporcionan un modelo de pago por uso. Los recursos compartidos Premium usan un modelo aprovisionado en el que se especifica y se paga por una determinada cantidad de capacidad, IOPS y rendimiento por adelantado. En el modelo de pago por uso, los medidores realizan un seguimiento de la cantidad de datos almacenados en la cuenta, o la capacidad, y el número y el tipo de transacciones en función del uso de esos datos. El modelo de pago por uso puede ser rentable porque solo paga por lo que usa. Con el modelo de pago por uso, no es necesario sobreaprovisionar ni desaprovisionar el almacenamiento en función de los requisitos de rendimiento ni las fluctuaciones de la demanda.
Pero es posible que sea difícil planear el almacenamiento como parte de un proceso de presupuesto porque el consumo del usuario final impulsa el costo. Con el modelo aprovisionado, las transacciones no afectan a la facturación, por lo que los costos son fáciles de predecir. Pero paga por la capacidad de almacenamiento aprovisionada tanto si lo usa como si no. Para obtener un desglose detallado de cómo se calculan los costos, consulte Descripción de la facturación de Azure Files.
Calcule el costo de la capacidad y las operaciones: puede usar la calculadora de precios de Azure para modelar los costos asociados con el almacenamiento de datos, la entrada y la salida. Compare el costo asociado a varias regiones, tipos de cuenta y configuraciones de redundancia. Para más información, consulte Precios de Azure Files.
Elija el nivel de acceso más rentable: los recursos compartidos de archivos estándar de Azure SMB ofrecen tres niveles de acceso: optimizado para transacciones, frecuente y esporádico. Los tres niveles se almacenan en el mismo hardware de almacenamiento estándar. La principal diferencia para estos tres niveles es sus datos a precios de almacenamiento en reposo, que son más bajos en niveles más fríos y los precios de las transacciones, que son más altos en los niveles más fríos. Para obtener más información, consulte Diferencias en los niveles estándar.
Decida qué servicios de valor agregado necesita: Azure Files admite integraciones con servicios de valor agregado, como Backup, Azure File Sync y Defender para Storage. Estas soluciones tienen sus propias licencias y costos de producto, pero a menudo se consideran parte del costo total de propiedad para el almacenamiento de archivos. Tenga en cuenta otros aspectos de costos si usa Azure File Sync.
Crear límites de protección: cree presupuestos basados en suscripciones y grupos de recursos. Use directivas de gobernanza para restringir los tipos de recursos, las configuraciones y las ubicaciones. Además, use el control de acceso basado en rol (RBAC) para bloquear las acciones que pueden dar lugar a un exceso de gastos pendientes.
Supervisar los costos: asegúrese de que los costos permanecen dentro de los presupuestos, comparan los costos con los pronósticos y ven dónde se produce un exceso de tiempo. Puede usar el panel análisis de costos en Azure Portal para supervisar los costos. También puede exportar datos de costo a una cuenta de almacenamiento y usar Excel o Power BI para analizar esos datos.
Supervisión del uso: supervise continuamente los patrones de uso para detectar cuentas de almacenamiento no usados o infrautilizadas y recursos compartidos de archivos. Compruebe si hay aumentos inesperados en la capacidad, lo que puede indicar que está recopilando numerosos archivos de registro o archivos eliminados temporalmente. Desarrolle una estrategia para eliminar archivos o mover archivos a niveles de acceso más rentables.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Al migrar a recursos compartidos de archivos de Azure estándar, se recomienda iniciar en el nivel optimizado para transacciones durante la migración inicial. El uso de transacciones durante la migración no suele indicar el uso normal de las transacciones. Esta consideración no se aplica a los recursos compartidos de archivos Premium porque el modelo de facturación aprovisionado no cobra por las transacciones. | La migración a Azure Files es una carga de trabajo temporal con gran volumen de transacciones. Optimice el precio de las cargas de trabajo de transacciones elevadas para ayudar a reducir los costos de migración. |
| Después de migrar la carga de trabajo, si usa recursos compartidos de archivos estándar, elija cuidadosamente el nivel de acceso más rentable para el recurso compartido de archivos: frecuente, esporádico o optimizado para transacciones. Después de operar durante unos días o semanas con uso normal, puede insertar los recuentos de transacciones en la calculadora de precios para averiguar qué nivel se adapta mejor a la carga de trabajo. La mayoría de los clientes deben elegir interesante incluso si usan activamente el recurso compartido. Pero debe examinar cada recurso compartido y comparar el equilibrio de capacidad de almacenamiento con las transacciones para determinar el nivel. Si los costos de transacción constituyen un porcentaje significativo de la factura, el ahorro de usar el nivel de acceso esporádico suele compensar este costo y minimiza el costo total total. Se recomienda mover recursos compartidos de archivos estándar entre niveles de acceso solo cuando sea necesario para optimizar los cambios en el patrón de carga de trabajo. Cada movimiento incurre en transacciones. Para obtener más información, consulte Cambio entre niveles estándar. |
Seleccione el nivel de acceso adecuado para los recursos compartidos de archivos estándar para reducir considerablemente los costos. |
| Si usa recursos compartidos Premium, asegúrese de aprovisionar más de la capacidad y el rendimiento suficientes para la carga de trabajo, pero no tanto que incurre en costos innecesarios. Se recomienda sobreaprovisionar entre dos y tres veces. Puede escalar o reducir dinámicamente los recursos compartidos de archivos prémium en función de las características de rendimiento de almacenamiento y entrada y salida (E/S). | Sobreaprovisionar recursos compartidos de archivos Premium por una cantidad razonable para ayudar a mantener el rendimiento y tener en cuenta los requisitos futuros de crecimiento y rendimiento. |
| Use las reservas de Azure Files, también denominadas instancias reservadas, para precommitir el uso del almacenamiento y obtener un descuento. Use reservas para cargas de trabajo de producción o cargas de trabajo de desarrollo y pruebas con superficies coherentes. Para más información, consulte Optimización de los costos con reservas de almacenamiento. Las reservas no incluyen cargos de transacción, ancho de banda, transferencia de datos y almacenamiento de metadatos. |
Las reservas de tres años pueden proporcionar un descuento hasta el 36 % en el costo total del almacenamiento de archivos. Las reservas no afectan al rendimiento. |
| Supervisar el uso de instantáneas. Las instantáneas incurren en cargos, pero se facturan en función del uso diferencial de almacenamiento de cada instantánea. Solo paga por la diferencia en cada instantánea. Para más información, consulte Instantánea. Azure File Sync toma instantáneas de nivel de recurso compartido y de nivel de archivo como parte del uso normal, lo que puede aumentar la factura total de Azure Files. |
Las instantáneas diferenciales garantizan que no se le facturan varias veces para almacenar los mismos datos. Sin embargo, debe supervisar el uso de instantáneas para ayudar a reducir la factura de Azure Files. |
| Establezca períodos de retención para la característica de eliminación temporal, especialmente cuando empiece a usarlo por primera vez. Considere la posibilidad de empezar con un breve período de retención para comprender mejor cómo afecta la característica a la factura. El período de retención mínimo recomendado de las copias de seguridad es siete días. Al eliminar temporalmente recursos compartidos de archivos estándar y premium, se facturan como capacidad usada en lugar de capacidad aprovisionada. Y los recursos compartidos de archivos Premium se facturan a la velocidad de instantánea mientras se encuentran en estado de eliminación temporal. Los recursos compartidos de archivos estándar se facturan a la tarifa normal mientras están en estado de eliminación temporal. |
Establezca un período de retención para que los archivos eliminados temporalmente no se apilan y aumenten el costo de capacidad. Después del período de retención configurado, los datos eliminados permanentemente no incurren en costos. |
Excelencia operativa
La excelencia operativa se centra principalmente en los procedimientos para las prácticas de desarrollo, la observabilidad y la administración de versiones.
Los principios de diseño de excelencia operativa proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos para los requisitos operativos de la carga de trabajo.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para la excelencia operativa para definir procesos de observabilidad, pruebas e implementación relacionados con la configuración de almacenamiento de archivos.
Crear planes de mantenimiento y recuperación de emergencia: considere las características de protección de datos, las operaciones de copia de seguridad y restauración y los procedimientos de conmutación por error. Prepárese para posibles pérdidas de datos e incoherencias de datos y el tiempo y el costo de la conmutación por error.
Supervisión del estado de la cuenta de almacenamiento: cree paneles de Información de Almacenamiento para supervisar las métricas de disponibilidad, rendimiento y resistencia. Configure alertas para identificar y solucionar problemas en el sistema antes de que los clientes los notifiquen. Use la configuración de diagnóstico para enrutar los registros de recursos a un área de trabajo registros de Azure Monitor. A continuación, puede consultar los registros para investigar las alertas más profundamente.
Revisar periódicamente la actividad del recurso compartido de archivos: la actividad de recurso compartido puede cambiar con el tiempo. Mueva recursos compartidos de archivos estándar a niveles de acceso más esporádicos, o bien puede aprovisionar o desaprovisionar capacidad para recursos compartidos Premium. Al mover recursos compartidos de archivos estándar a un nivel de acceso diferente, se incurre en un cargo por transacción. Mueva recursos compartidos de archivos estándar solo cuando sea necesario para reducir la factura mensual.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Use la infraestructura como código (IaC) para definir los detalles de las cuentas de almacenamiento en plantillas de Azure Resource Manager (plantillas de ARM), Bicep o Terraform. | Puede usar los procesos de DevOps existentes para implementar nuevas cuentas de almacenamiento y usar Azure Policy para aplicar su configuración. |
| Use Storage Insights para realizar un seguimiento del estado y el rendimiento de las cuentas de almacenamiento. Storage Insights proporciona una vista unificada de los errores, el rendimiento, la disponibilidad y la capacidad de todas las cuentas de almacenamiento. | Puede realizar un seguimiento del estado y el funcionamiento de cada una de sus cuentas. Cree fácilmente paneles e informes que las partes interesadas pueden usar para realizar un seguimiento del estado de las cuentas de almacenamiento. |
| Use Monitor para analizar métricas, como disponibilidad, latencia y uso, y para crear alertas. | Monitor proporciona una vista de la disponibilidad, el rendimiento y la resistencia de los recursos compartidos de archivos. |
Eficiencia del rendimiento
La eficiencia del rendimiento consiste en mantener la experiencia del usuario incluso cuando hay un aumento de la carga mediante la administración de la capacidad. La estrategia incluye el escalado de recursos, la identificación y la optimización de posibles cuellos de botella y la optimización del rendimiento máximo.
Los principios de diseño de eficiencia del rendimiento proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos de capacidad con respecto al uso esperado.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para la eficiencia del rendimiento. Defina una línea base basada en indicadores clave de rendimiento para la configuración de almacenamiento de archivos.
Planeamiento de la escala: comprenda los objetivos de escalabilidad y rendimiento de las cuentas de almacenamiento, Azure Files y Azure File Sync.
Comprender los patrones de uso y la aplicación para lograr un rendimiento predecible: determine la sensibilidad de latencia, las IOPS y los requisitos de rendimiento, la duración y la frecuencia de la carga de trabajo y la paralelización de la carga de trabajo. Use Azure Files para aplicaciones multiproceso para ayudarle a lograr los límites de rendimiento superiores de un servicio. Si la mayoría de las solicitudes están centradas en metadatos, como createfile, openfile, closefile, queryinfo o querydirectory, las solicitudes crean una latencia deficiente que es mayor que las operaciones de lectura y escritura. Si tiene este problema, considere la posibilidad de separar el recurso compartido de archivos en varios recursos compartidos de archivos dentro de la misma cuenta de almacenamiento.
Elija el tipo de cuenta de almacenamiento óptimo: si la carga de trabajo requiere grandes cantidades de IOPS, velocidades de transferencia de datos extremadamente rápidas o latencia muy baja, debe elegir cuentas de almacenamiento Premium (FileStorage). Puede usar una cuenta estándar de uso general v2 para la mayoría de las cargas de trabajo de recursos compartidos de archivos SMB. El equilibrio principal entre los dos tipos de cuenta de almacenamiento es el costo frente al rendimiento.
El tamaño del recurso compartido aprovisionado, como IOPS, salida y entrada, y los límites de un solo archivo determinan el rendimiento del recurso compartido premium. Para más información, consulte Descripción del aprovisionamiento de recursos compartidos de archivos Premium. Los recursos compartidos de archivos Premium también ofrecen créditos de ráfaga como una póliza de seguro si necesita superar temporalmente el límite de IOPS de línea base de un recurso compartido de archivos Premium.
Cree cuentas de almacenamiento en las mismas regiones que conectar clientes para reducir la latencia: cuanto más lejos esté del servicio Azure Files, mayor será la latencia y los límites de escala de rendimiento más difíciles de lograr. Esta consideración es especialmente cierta cuando se accede a Azure Files desde entornos locales. Si es posible, asegúrese de que la cuenta de almacenamiento y los clientes se encuentran en la misma región de Azure. Optimice para clientes locales mediante la minimización de la latencia de red o mediante el uso de una conexión expressRoute para ampliar las redes locales a la nube de Microsoft a través de una conexión privada.
Recopilar datos de rendimiento: supervise el rendimiento de la carga de trabajo, incluidas las métricas de latencia, disponibilidad y uso . Analice los registros para diagnosticar problemas como tiempos de espera y limitación. Cree alertas para notificarle si se está limitando un recurso compartido de archivos, a punto de limitarse o experimentar una latencia alta.
Optimización para implementaciones híbridas: si usa Azure File Sync, el rendimiento de la sincronización depende de muchos factores: windows Server y la configuración del disco subyacente, el ancho de banda de red entre el servidor y el almacenamiento de Azure, el tamaño del archivo, el tamaño total del conjunto de datos y la actividad del conjunto de datos. Para medir el rendimiento de una solución basada en Azure File Sync, determine el número de objetos, como archivos y directorios, que se procesan por segundo.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Habilite SMB multicanal para recursos compartidos de archivos SMB premium. SMB multicanal permite a un cliente SMB 3.1.1 establecer varias conexiones de red a un recurso compartido de archivos de Azure SMB. SMB multicanal solo funciona cuando la característica está habilitada tanto en el lado cliente (el cliente) como en el lado del servicio (Azure). En los clientes de Windows, SMB multicanal está habilitado de forma predeterminada, pero debe habilitarlo en la cuenta de almacenamiento. |
Aumente el rendimiento y las IOPS, a la vez que reduzca el costo total de propiedad. Las ventajas de rendimiento aumentan con el número de archivos que distribuyen la carga. |
| Use la opción de montaje del lado cliente nconnect con recursos compartidos de archivos de Azure NFS en clientes Linux. Nconnect permite usar más conexiones TCP entre el cliente y el servicio Premium de Azure Files para NFSv4.1. | Aumente el rendimiento a escala y reduzca el costo total de propiedad de los recursos compartidos de archivos NFS. |
| Asegúrese de que el recurso compartido de archivos o la cuenta de almacenamiento no están limitados, lo que puede dar lugar a una latencia alta, un rendimiento bajo o una IOPS baja. Las solicitudes se limitan cuando se alcanzan los límites de IOPS, entrada o salida. En el caso de las cuentas de almacenamiento estándar, la limitación se produce en el nivel de cuenta. En el caso de los recursos compartidos de archivos Premium, la limitación normalmente se produce en el nivel de recurso compartido. |
Evite la limitación para proporcionar la mejor experiencia de cliente posible. |
Directivas de Azure
Azure proporciona un amplio conjunto de directivas integradas relacionadas con Azure Files. Algunas de las recomendaciones anteriores se pueden auditar mediante directivas de Azure. Por ejemplo, puede comprobar si:
- Solo se aceptan solicitudes de conexiones seguras, como HTTPS.
- La autorización de clave compartida está deshabilitada.
- Las reglas de firewall de red se aplican a la cuenta.
- La configuración de diagnóstico de Azure Files se establece para transmitir registros de recursos a un área de trabajo registros de Azure Monitor.
- El acceso de red pública está deshabilitado.
- Azure File Sync está configurado con puntos de conexión privados para usar zonas DNS privadas.
Para una gobernanza completa, revise las definiciones integradas de Azure Policy para el almacenamiento y otras directivas que podrían afectar a la seguridad de la capa de proceso.
Recomendaciones de Azure Advisor
Azure Advisor es un consultor en la nube personalizado que ayuda a seguir los procedimientos recomendados para optimizar las implementaciones de Azure. Estas son algunas recomendaciones que pueden ayudarle a mejorar la confiabilidad, la seguridad, la rentabilidad, el rendimiento y la excelencia operativa de Azure Files.
Paso siguiente
Para más información, consulte la documentación de Azure Files.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de