Perspective d’Azure Well-Architected Framework sur Stockage Blob Azure
Stockage Blob Azure est une solution de stockage d’objets Microsoft pour le cloud. Stockage Blob est optimisé pour le stockage de grands volumes de données non structurées. Les données non structurées sont des données qui n’obéissent pas à un modèle ou une définition de données spécifique, telles que des données texte ou binaires.
Cet article part du principe que, en tant qu’architecte, vous avez examiné vos options de stockage et choisi l’Stockage Blob comme service de stockage sur lequel exécuter vos charges de travail. Les conseils de cet article fournissent des recommandations architecturales mappées aux principes des piliers azure Well-Architected Framework.
Important
Guide pratique pour utiliser ce guide
Chaque section possède une liste de case activée de conception qui présente des domaines d’intérêt architecturaux, ainsi que des stratégies de conception.
Il y a également des recommandations sur les fonctionnalités technologiques qui peuvent aider à implémenter ces stratégies. Les recommandations ne représentent pas une liste exhaustive de toutes les configurations disponibles pour les Stockage Blob et ses dépendances. Au lieu de cela, ils répertorient les recommandations clés mappées aux perspectives de conception. Utilisez les recommandations pour créer votre preuve de concept ou optimiser vos environnements existants.
Fiabilité
L’objectif du pilier fiabilité est de fournir des fonctionnalités continues en générant suffisamment de résilience et en permettant de récupérer rapidement des défaillances.
Les principes de conception de fiabilité fournissent une stratégie de conception de haut niveau appliquée aux composants individuels, aux flux système et au système dans son ensemble.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la révision de conception case activée liste pour la fiabilité.
Utiliser l’analyse du mode d’échec : réduisez les points de défaillance en tenant compte des dépendances internes telles que la disponibilité des réseaux virtuels, Azure Key Vault ou azure réseau de distribution de contenu ou des points de terminaison Azure Front Door. Les échecs peuvent se produire si les informations d’identification requises par les charges de travail pour accéder aux objets blob Stockage sont manquantes dans Key Vault, ou si les charges de travail utilisent un point de terminaison basé sur un réseau de distribution de contenu supprimé. Dans ce cas, les charges de travail peuvent avoir besoin d’utiliser un autre point de terminaison pour se connecter. Pour obtenir des informations générales sur l’analyse du mode d’échec, consultez Recommandations pour effectuer une analyse du mode d’échec.
Définissez les cibles de fiabilité et de récupération : passez en revue les contrats de niveau de service Azure (SLA). Dérivez l’objectif de niveau de service (SLO) pour le compte de stockage. Par exemple, le SLO peut être affecté par la configuration de redondance que vous avez choisie. Tenez compte de l’effet d’une panne régionale, du risque de perte de données et du temps nécessaire pour restaurer l’accès après une panne. Considérez également la disponibilité des dépendances internes que vous avez identifiées dans le cadre de votre analyse du mode d’échec.
Configurer la redondance des données : pour une durabilité maximale, choisissez une configuration qui copie les données entre les zones de disponibilité ou les régions globales. Pour une disponibilité maximale, choisissez une configuration qui permet aux clients de lire des données à partir de la région secondaire pendant une panne de la région primaire.
Applications de conception : Concevoir des applications pour passer en toute transparence à la lecture des données de la région secondaire si la région primaire devient indisponible pour une raison quelconque. Cela s’applique uniquement aux configurations de stockage géoredondant (GRS) et de stockage géoredondant interzone (GZRS). La conception d’applications pour gérer les pannes réduit les temps d’arrêt pour les utilisateurs finaux.
Explorez les fonctionnalités pour vous aider à atteindre vos cibles de récupération : rendre les objets blob pouvant être restaurés afin qu’ils puissent être récupérés s’ils sont endommagés, modifiés ou supprimés par erreur.
Créez un plan de récupération : envisagez les fonctionnalités de protection des données, les opérations de sauvegarde et de restauration ou les procédures de basculement. Préparez la perte de données potentielle et les incohérences de données, ainsi que le temps et le coût du basculement. Pour plus d’informations, consultez Recommandations pour concevoir une stratégie de récupération d’urgence.
Surveiller les problèmes de disponibilité potentiels : abonnez-vous au tableau de bord Azure Service Health pour surveiller les problèmes de disponibilité potentiels. Utilisez les métriques de stockage dans Azure Monitor et les journaux de diagnostic pour examiner les alertes.
Recommandations
| Recommandation | Avantage |
|---|---|
| Configurez votre compte pour la redondance. Pour une disponibilité et une durabilité maximales, configurez votre compte à l’aide du stockage redondant interzone (ZRS) ou GZRS. |
La redondance protège vos données contre les défaillances inattendues. Les options de configuration ZRS et GZRS sont répliquées entre différentes zones de disponibilité et permettent aux applications de continuer à lire les données lors d’une panne. Pour plus d’informations, consultez Le scénario de durabilité et la disponibilité par scénario de panne et paramètres de durabilité et de disponibilité. |
| Avant de lancer un basculement ou une restauration automatique, évaluez le risque de perte de données en case activée la valeur de la dernière propriété d’heure de synchronisation. Cette recommandation s’applique uniquement aux configurations GRS et GZRS. | Cette propriété vous aide à estimer la quantité de données que vous risquez de perdre en lançant un basculement de compte. Toutes les données et métadonnées écrites avant la dernière heure de synchronisation sont disponibles sur la région secondaire, mais les données et métadonnées écrites après la dernière heure de synchronisation peuvent être perdues, car elles ne sont pas écrites dans la région secondaire. |
| Dans le cadre de votre stratégie de sauvegarde et de récupération, activez les options de suppression réversible de conteneur, de suppression réversible d’objets blob, de contrôle de version et de restauration dans le temps. | L’option de suppression réversible permet à un compte de stockage de récupérer les conteneurs et objets blob supprimés. L’option de contrôle de version effectue automatiquement le suivi des modifications apportées aux objets blob. Cette option vous permet de restaurer un objet blob à un état précédent. L’option de restauration dans le temps protège contre la suppression ou la corruption accidentelles d’objets blob et vous permet de restaurer des données d’objet blob de blocs à un état antérieur. Pour plus d’informations, consultez Vue d’ensemble de la protection des données. |
Sécurité
L’objectif du pilier sécurité est de fournir des garanties de confidentialité, d’intégrité et de disponibilité à la charge de travail.
Les principes de conception de la sécurité fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs en appliquant des approches à la conception technique de votre configuration Stockage Blob.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la révision de conception case activée list for Security. Identifiez les vulnérabilités et les contrôles pour améliorer la posture de sécurité. Étendez la stratégie pour inclure davantage d’approches en fonction des besoins.
Passez en revue la base de référence de sécurité pour Stockage Azure : pour commencer, commencez par passer en revue la base de référence de sécurité pour Stockage.
Utilisez des contrôles réseau pour restreindre le trafic d’entrée et de sortie : désactivez tout le trafic public vers le compte de stockage. Utilisez des contrôles réseau de compte pour accorder le niveau minimal d’accès requis par les utilisateurs et les applications. Pour plus d’informations, consultez Comment aborder la sécurité réseau pour votre compte de stockage.
Réduisez la surface d’attaque : empêcher l’accès anonyme, l’accès à la clé de compte ou l’accès via des connexions http (non sécurisées) peut réduire la surface d’attaque. Exiger que les clients envoient et reçoivent des données à l’aide de la dernière version du protocole TLS (Transport Layer Security).
Autoriser l’accès sans utiliser de mots de passe ou de clés : Microsoft Entra ID offre une sécurité et une facilité d’utilisation supérieures par rapport aux clés partagées et aux signatures d’accès partagé. Accordez uniquement aux principaux de sécurité les autorisations nécessaires pour effectuer leurs tâches.
Protéger les informations sensibles : protégez les informations sensibles telles que les clés de compte et les jetons de signature d’accès partagé. Bien que ces formes d’autorisation ne soient généralement pas recommandées, vous devez vous assurer de faire pivoter, d’expirer et de les stocker en toute sécurité.
Activez l’option de transfert sécurisé nécessaire : l’activation de ce paramètre pour tous vos comptes de stockage garantit que toutes les demandes effectuées sur le compte de stockage doivent avoir lieu sur des connexions sécurisées. Toutes les requêtes effectuées via HTTP échouent.
Protéger les objets critiques : appliquez des stratégies d’immuabilité pour protéger les objets critiques. Les stratégies protègent les objets blob stockés à des fins légales, de conformité ou d’autres fins professionnelles d’être modifiés ou supprimés. Configurez les conservations pendant des périodes définies ou jusqu’à ce que les restrictions soient levées par un administrateur.
Détecter les menaces : activez Microsoft Defender pour Stockage pour détecter les menaces. Les alertes de sécurité sont déclenchées lorsque des anomalies se produisent dans l’activité. Les alertes informent les administrateurs d’abonnement par e-mail avec des détails sur les activités suspectes et les recommandations sur la façon d’examiner et de corriger les menaces.
Recommandations
| Recommandation | Avantage |
|---|---|
| Désactivez l’accès en lecture anonyme aux conteneurs et aux objets blob. | Lorsque l’accès anonyme est autorisé pour un compte de stockage, un utilisateur disposant des autorisations appropriées peut modifier le paramètre d’accès anonyme d’un conteneur pour activer l’accès anonyme aux données de ce conteneur. |
| Appliquez un verrou Azure Resource Manager sur le compte de stockage. | Le verrouillage d’un compte empêche sa suppression et provoque une perte de données. |
| Désactivez le trafic vers les points de terminaison publics de votre compte de stockage. Créez des points de terminaison privés pour les clients qui s’exécutent dans Azure. Activez le point de terminaison public uniquement si les clients et services externes à Azure nécessitent un accès direct à votre compte de stockage. Activez les règles de pare-feu qui limitent l’accès à des réseaux virtuels spécifiques. | Commencez par zéro accès, puis autorisez de manière incrémentielle les niveaux d’accès les plus bas requis pour les clients et les services afin de réduire le risque de création d’ouvertures inutiles pour les attaquants. |
| Autoriser l’accès à l’aide du contrôle d’accès en fonction du rôle Azure (RBAC). | Avec RBAC, il n’existe aucun mot de passe ou clé qui peut être compromis. Le principal de sécurité (utilisateur, groupe, identité managée ou principal de service) est authentifié par l’ID Microsoft Entra pour retourner un jeton OAuth 2.0. Le jeton est utilisé pour autoriser une requête auprès du service blob Stockage. |
| Interdire l’autorisation de clé partagée. Cela désactive non seulement l’accès aux clés de compte, mais également les jetons de signature d’accès partagé de service et de compte, car ils sont basés sur des clés de compte. | Seules les demandes sécurisées autorisées avec l’ID Microsoft Entra sont autorisées. |
| Nous vous recommandons de ne pas utiliser de clé de compte. Si vous devez utiliser des clés de compte, stockez-les dans Key Vault et veillez à les régénérer régulièrement. | Key Vault vous permet de récupérer des clés au moment de l’exécution, au lieu de les enregistrer à l’aide de votre application. Key Vault facilite également la rotation de vos clés sans interruption de vos applications. La rotation des clés de compte réduit régulièrement le risque d’exposer vos données à des attaques malveillantes. |
| Nous vous recommandons de ne pas utiliser de jetons de signature d’accès partagé. Déterminez si vous avez besoin de jetons de signature d’accès partagé pour sécuriser l’accès aux ressources Stockage Blob. Si vous devez en créer un, passez en revue cette liste de bonnes pratiques de signature d’accès partagé avant de la créer et de la distribuer. | Les meilleures pratiques peuvent vous aider à empêcher la fuite d’un jeton de signature d’accès partagé et à récupérer rapidement si une fuite se produit. |
| Configurez votre compte de stockage afin que les clients puissent envoyer et recevoir des données à l’aide de la version minimale de TLS 1.2. | TLS 1.2 est plus sécurisé et plus rapide que TLS 1.0 et 1.1, qui ne prennent pas en charge les algorithmes de chiffrement modernes et les suites de chiffrement. |
| Envisagez d’utiliser votre propre clé de chiffrement pour protéger les données de votre compte de stockage. Pour plus d’informations, consultez Clés gérées par le client pour le chiffrement Stockage Azure. | Les clés gérées par le client offrent une plus grande flexibilité et un meilleur contrôle. Par exemple, vous pouvez stocker des clés de chiffrement dans Key Vault et les faire pivoter automatiquement. |
Optimisation des coûts
L’optimisation des coûts se concentre sur la détection des modèles de dépenses, la hiérarchisation des investissements dans les domaines critiques et l’optimisation dans d’autres pour répondre aux besoins de l’organisation en matière de budget et d’entreprise.
Les principes de conception de l’optimisation des coûts fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs et faire des compromis si nécessaire dans la conception technique liée aux Stockage Blob et à son environnement.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la révision de conception case activée list pour l’optimisation des coûts pour les investissements. Ajustez la conception afin que la charge de travail soit alignée sur le budget alloué pour la charge de travail. Votre conception doit utiliser les fonctionnalités Azure appropriées, surveiller les investissements et trouver des opportunités d’optimisation au fil du temps.
Identifiez les compteurs utilisés pour calculer votre facture : les compteurs sont utilisés pour suivre la quantité de données stockées dans le compte (capacité de données) et le nombre et le type d’opérations effectuées pour écrire et lire des données. Il existe également des compteurs associés à l’utilisation de fonctionnalités facultatives telles que les balises d’index d’objets blob, l’inventaire des objets blob, la prise en charge des flux de modification, les étendues de chiffrement et la prise en charge du protocole SFTP (SSH File Transfer Protocol). Pour plus d’informations, consultez comment vous êtes facturé pour les Stockage d’objets blob.
Comprendre le prix de chaque compteur : veillez à utiliser la page de tarification appropriée et à appliquer les paramètres appropriés dans cette page. Pour plus d’informations, consultez Recherche du prix unitaire pour chaque compteur. Considérez le nombre d’opérations associées à chaque prix. Par exemple, le prix associé aux opérations d’écriture et de lecture s’applique à 10 000 opérations. Pour déterminer le prix d’une opération individuelle, divisez le prix indiqué par 10 000.
Estimer le coût des opérations et de la capacité : vous pouvez modéliser les coûts associés au stockage de données, à l’entrée et à la sortie à l’aide de la calculatrice de prix Azure. Utilisez des champs pour comparer le coût associé à différentes régions, types de comptes, types d’espaces de noms et configurations de redondance. Pour certains scénarios, vous pouvez utiliser des exemples de calculs et des feuilles de calcul disponibles dans la documentation Microsoft. Par exemple, vous pouvez estimer le coût de l’archivage des données ou estimer le coût d’utilisation de la commande AzCopy pour transférer des objets blob.
Choisissez un modèle de facturation pour la capacité : déterminez si l’utilisation d’un modèle basé sur l’engagement est plus rentable que l’utilisation d’un modèle basé sur la consommation. Si vous n’êtes pas sûr de la quantité de capacité dont vous avez besoin, vous pouvez commencer par un modèle basé sur la consommation, surveiller les métriques de capacité, puis évaluer ultérieurement.
Choisissez un type de compte, un niveau de redondance et un niveau d’accès par défaut : vous devez sélectionner une valeur pour chacun de ces paramètres lorsque vous créez un compte de stockage. Toutes les valeurs affectent les frais de transaction et les frais de capacité. Tous ces paramètres, à l’exception du type de compte, peuvent être modifiés une fois le compte créé.
Choisissez le niveau d’accès par défaut le plus économique : sauf si un niveau est spécifié avec chaque chargement d’objet blob, les objets blob déduitnt leur niveau d’accès à partir du paramètre de niveau d’accès par défaut. Une modification du paramètre de niveau d’accès par défaut à un compte de stockage s’applique à tous les objets blob du compte pour lesquels un niveau d’accès n’a pas été défini explicitement. Ce coût peut être significatif si vous avez collecté un grand nombre d’objets blob. Pour plus d’informations sur la façon dont une modification de niveau affecte chaque objet blob existant, consultez Modification du niveau d’accès d’un objet blob.
Chargez des données directement vers le niveau d’accès le plus économique : par exemple, si le paramètre de niveau d’accès par défaut de votre compte est chaud, mais que vous chargez des fichiers à des fins d’archivage, spécifiez un niveau plus froid comme archive ou un niveau froid dans le cadre de votre opération de chargement. Après avoir chargé des objets blob, utilisez des stratégies de gestion du cycle de vie pour déplacer des objets blob vers les niveaux les plus rentables en fonction des métriques d’utilisation telles que la dernière heure d’accès. En choisissant à l’avance le niveau le plus optimal, vous pouvez réduire les coûts. Si vous modifiez le niveau d’un objet blob de blocs que vous avez déjà chargé, vous payez le coût d’écriture au niveau initial lorsque vous chargez l’objet blob pour la première fois, puis payez le coût d’écriture au niveau souhaité.
Planifiez la gestion du cycle de vie des données : optimisez les coûts de transaction et de capacité en tirant parti des niveaux d’accès et de la gestion du cycle de vie. Les données utilisées moins souvent doivent être placées dans des niveaux d’accès plus froids, tandis que les données auxquelles les données consultées doivent souvent être placées dans des niveaux d’accès plus chauds.
Déterminez les fonctionnalités dont vous avez besoin : certaines fonctionnalités telles que le contrôle de version et la suppression réversible d’objets blob entraînent des coûts de transaction et de capacité supplémentaires, ainsi que d’autres frais. Veillez à consulter les sections de tarification et de facturation des articles qui décrivent ces fonctionnalités lorsque vous choisissez les fonctionnalités à ajouter à votre compte.
Par exemple, si vous activez la fonctionnalité d’inventaire d’objets blob, vous êtes facturé pour le nombre d’objets analysés. Si vous utilisez des balises d’index d’objet blob, vous êtes facturé pour le nombre de balises d’index. Si vous activez la prise en charge de SFTP, vous êtes facturé toutes les heures, même s’il n’existe aucun transfert SFTP. Si vous décidez d’utiliser une fonctionnalité, vérifiez que la fonctionnalité est désactivée, car certaines fonctionnalités sont automatiquement activées lorsque vous créez le compte.
Créer des garde-fous : créez des budgets en fonction des abonnements et des groupes de ressources. Utilisez des stratégies de gouvernance pour restreindre les types de ressources, les configurations et les emplacements. En outre, utilisez RBAC pour bloquer les actions qui peuvent entraîner des dépassements de dépenses.
Surveiller les coûts : assurez-vous que les coûts restent dans les budgets, comparez les coûts par rapport aux prévisions et voyez où des dépenses excessives se produisent. Vous pouvez utiliser le volet Analyse des coûts dans le Portail Azure pour surveiller les coûts. Vous pouvez également exporter des données de coût vers un compte de stockage et analyser ces données à l’aide d’Excel ou de Power BI.
Surveiller l’utilisation : surveillez en continu les modèles d’utilisation et détectez les comptes et conteneurs inutilisés ou sous-utilisés. Utilisez Stockage insights pour les comptes d’identité sans utilisation ou faible. Activez les rapports d’inventaire d’objets blob et utilisez des outils tels qu’Azure Databricks ou Azure Synapse Analytics et Power BI pour analyser les données de coût. Observez les augmentations inattendues de capacité, ce qui peut indiquer que vous collectez de nombreux fichiers journaux, versions d’objets blob ou objets blob supprimés de manière réversible. Développez une stratégie pour l’expiration ou la transition d’objets vers des niveaux d’accès plus rentables. Prévoyez d’expirer des objets ou de déplacer des objets vers des niveaux d’accès plus abordables.
Recommandations
| Recommandation | Avantage |
|---|---|
| Empaquetez de petits fichiers dans des fichiers plus volumineux avant de les déplacer vers des niveaux plus froids. Vous pouvez utiliser des formats de fichier tels que TAR ou ZIP. | Les niveaux plus froids ont des coûts de transfert de données plus élevés. En ayant moins de fichiers volumineux, vous pouvez réduire le nombre d’opérations nécessaires pour transférer des données. |
| Utilisez la réhydratation de priorité standard lors de la réhydratage des objets blob à partir du stockage d’archivage. Utilisez une réhydratation à priorité élevée uniquement pour les situations de restauration des données d’urgence. Pour plus d’informations, consultez Réhydraté un objet blob archivé dans un niveau en ligne | La réactivation à priorité élevée à partir du niveau Archive peut entraîner des factures plus élevées que normales. |
| Réduisez le coût d’utilisation des journaux de ressources en choisissant l’emplacement de stockage des journaux approprié et en gérant les périodes de rétention des journaux. Si vous envisagez uniquement d’interroger des journaux d’activité occasionnellement (par exemple, interroger les journaux d’activité pour l’audit de conformité), envisagez d’envoyer des journaux de ressources à un compte de stockage au lieu de les envoyer à un espace de travail Journaux Azure Monitor. Vous pouvez utiliser une solution de requête serverless telle qu’Azure Synapse Analytics pour analyser les journaux. Pour plus d’informations, consultez Optimiser le coût des requêtes peu fréquentes. Utilisez des stratégies de gestion du cycle de vie pour supprimer ou archiver des journaux. | Le stockage des journaux de ressources dans un compte de stockage pour une analyse ultérieure peut être une option moins coûteuse. L’utilisation de stratégies de gestion du cycle de vie pour gérer la rétention des journaux dans un compte de stockage empêche un grand nombre de fichiers journaux générés au fil du temps, ce qui peut entraîner des frais de capacité inutiles. |
| Si vous activez le contrôle de version, utilisez une stratégie de gestion du cycle de vie pour supprimer automatiquement les anciennes versions d’objets blob. | Chaque opération d’écriture dans un objet blob crée une nouvelle version. Cela augmente les coûts de capacité. Vous pouvez conserver les coûts dans case activée en supprimant les versions dont vous n’avez plus besoin. |
| Si vous activez le contrôle de version, placez les objets blob fréquemment remplacés dans un compte qui n’a pas activé le contrôle de version. | Chaque fois qu’un objet blob est remplacé, une nouvelle version est ajoutée, ce qui entraîne une augmentation des frais de capacité de stockage. Pour réduire les frais de capacité, stockez fréquemment les données remplacées dans un compte de stockage distinct avec le contrôle de version désactivé. |
| Si vous activez la suppression réversible, placez les objets blob fréquemment remplacés dans un compte qui n’a pas activé la suppression réversible. Définissez les périodes de rétention. Envisagez de commencer par une courte période de rétention pour mieux comprendre comment la fonctionnalité affecte votre facture. La période de conservation minimale recommandée est de sept jours. | Chaque fois qu’un objet blob est remplacé, une nouvelle instantané est créée. La cause des frais de capacité accrus peut être difficile à accéder, car la création de ces instantané n’apparaît pas dans les journaux. Pour réduire les frais de capacité, stockez fréquemment les données remplacées dans un compte de stockage distinct avec la suppression réversible désactivée. Une période de rétention permet aux objets blob supprimés de manière réversible de s’empiler et d’ajouter au coût de la capacité. |
| Activez la prise en charge de SFTP uniquement lorsqu’elle est utilisée pour transférer des données. | L’activation du point de terminaison SFTP induit un coût horaire. En désactivant de manière réfléchie le support SFTP, puis en l’activant en fonction des besoins, vous pouvez éviter les frais passifs de s’accumuler dans votre compte. |
| Désactivez les étendues de chiffrement qui ne sont pas nécessaires pour éviter les frais inutiles. | Les étendues de chiffrement entraînent des frais par mois. |
Excellence opérationnelle
L’excellence opérationnelle se concentre principalement sur les procédures de développement, l’observabilité et la gestion des mises en production.
Les principes de conception d’excellence opérationnelle fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs pour les exigences opérationnelles de la charge de travail.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la révision de conception case activée list pour l’excellence opérationnelle pour définir des processus d’observabilité, de test et de déploiement liés à votre configuration de Stockage Blob.
Créez des plans de maintenance et de récupération d’urgence : envisagez les fonctionnalités de protection des données, les opérations de sauvegarde et de restauration et les procédures de basculement. Préparez la perte de données potentielle et les incohérences de données, ainsi que le temps et le coût du basculement.
Surveillez l’intégrité de votre compte de stockage : créez des tableaux de bord Stockage Insights pour surveiller la disponibilité, les performances et les métriques de résilience. Configurez des alertes pour identifier et résoudre les problèmes dans votre système avant que vos clients ne les remarquent. Utilisez les paramètres de diagnostic pour router les journaux de ressources vers un espace de travail Journaux Azure Monitor. Vous pouvez ensuite interroger les journaux d’activité pour examiner plus en détail les alertes.
Activer les rapports d’inventaire d’objets blob : activez les rapports d’inventaire d’objets blob pour passer en revue l’état de rétention, de conservation légale ou de chiffrement du contenu de votre compte de stockage. Vous pouvez également utiliser des rapports d’inventaire d’objets blob pour comprendre la taille totale des données, l’âge, la distribution de couches ou d’autres attributs de vos données. Utilisez des outils tels qu’Azure Databricks ou Azure Synapse Analytics et Power BI pour mieux visualiser les données d’inventaire et créer des rapports pour les parties prenantes.
Configurer des stratégies qui suppriment des objets blob ou les déplacent vers des niveaux d’accès rentables : créez une stratégie de gestion du cycle de vie avec un ensemble initial de conditions. La stratégie s’exécute automatiquement pour supprimer ou définir le niveau d’accès des objets blob en fonction des conditions que vous définissez. Analysez régulièrement l’utilisation du conteneur à l’aide des métriques Monitor et des rapports d’inventaire d’objets blob afin de pouvoir affiner les conditions afin d’optimiser l’efficacité des coûts.
Recommandations
| Recommandation | Avantage |
|---|---|
| Utilisez l’infrastructure en tant que code (IaC) pour définir les détails de vos comptes de stockage dans les modèles Azure Resource Manager (modèles ARM), Bicep ou Terraform. | Vous pouvez utiliser vos processus DevOps existants pour déployer de nouveaux comptes de stockage et utiliser Azure Policy pour appliquer leur configuration. |
| Utilisez Stockage insights pour suivre l’intégrité et les performances de vos comptes de stockage. Stockage insights fournit une vue unifiée des échecs, des performances, de la disponibilité et de la capacité de tous vos comptes de stockage. | Vous pouvez suivre l’intégrité et l’opération de chacun de vos comptes. Créez facilement des tableaux de bord et des rapports que les parties prenantes peuvent utiliser pour suivre l’intégrité de vos comptes de stockage. |
Efficacité des performances
L’efficacité des performances consiste à maintenir l’expérience utilisateur même en cas d’augmentation de la charge en gérant la capacité. La stratégie inclut la mise à l’échelle des ressources, l’identification et l’optimisation des goulots d’étranglement potentiels et l’optimisation des performances maximales.
Les principes de conception d’efficacité des performances fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs de capacité par rapport à l’utilisation attendue.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la révision de conception case activée liste pour l’efficacité des performances. Définissez une base de référence basée sur des indicateurs de performances clés pour votre configuration de Stockage Blob.
Planifier la mise à l’échelle : comprendre les cibles de mise à l’échelle pour les comptes de stockage.
Choisissez le type de compte de stockage optimal : si votre charge de travail nécessite des taux de transaction élevés, des objets plus petits et une faible latence de transaction, envisagez d’utiliser des comptes de stockage d’objets blob de blocs Premium. Un compte v2 universel standard est le plus approprié dans la plupart des cas.
Réduire la distance de déplacement entre le client et le serveur : placez les données dans les régions les plus proches de la connexion des clients (idéalement dans la même région). Optimisez les clients dans les régions éloignées à l’aide de la réplication d’objets ou d’un réseau de distribution de contenu. Les configurations réseau par défaut offrent les meilleures performances. Modifiez les paramètres réseau uniquement pour améliorer la sécurité. En général, les paramètres réseau ne diminuent pas la distance de déplacement et n’améliorent pas les performances.
Choisissez un schéma d’affectation de noms efficace : réduisez la latence des opérations de référencement, de liste, de requête et de lecture à l’aide de préfixes de balise de hachage le plus proche du début de la clé de partition d’objet blob (compte, conteneur, répertoire virtuel ou nom d’objet blob). Ce schéma bénéficie principalement des comptes qui ont un espace de noms plat.
Optimisez les performances des clients de données : choisissez un outil de transfert de données le plus approprié pour la taille des données, la fréquence de transfert et la bande passante de vos charges de travail. Certains outils tels que AzCopy sont optimisés pour les performances et nécessitent peu d’intervention. Tenez compte des facteurs qui influencent la latence et ajustent les performances en examinant les conseils d’optimisation des performances publiés avec chaque outil.
Optimisez les performances du code personnalisé : envisagez d’utiliser des sdk Stockage au lieu de créer vos propres wrappers pour les opérations REST d’objets blob. Les Kits de développement logiciel (SDK) Azure sont optimisés pour les performances et fournissent des mécanismes permettant d’affiner les performances. Avant de créer une application, passez en revue les performances et la scalabilité case activée list pour les Stockage Blob. Envisagez d’utiliser l’accélération des requêtes pour filtrer les données indésirables pendant la demande de stockage et empêcher les clients de transférer inutilement des données sur le réseau.
Collecter des données de performances : surveillez votre compte de stockage pour identifier les goulots d’étranglement des performances qui se produisent à partir de la limitation. Pour plus d’informations, consultez Surveillance de votre service de stockage avec Monitor Stockage Insights. Utilisez les métriques et les journaux. Les métriques fournissent des nombres tels que des erreurs de limitation. Les journaux décrivent l’activité. Si vous voyez des métriques de limitation, vous pouvez utiliser les journaux d’activité pour identifier les clients qui reçoivent des erreurs de limitation. Pour plus d’informations, consultez Audit des opérations de plan de données.
Recommandations
| Recommandation | Avantage |
|---|---|
| Provisionnez des comptes de stockage dans la même région où les ressources dépendantes sont placées. Pour les applications qui ne sont pas hébergées sur Azure, telles que les applications d’appareil mobile ou les services d’entreprise locaux, localisez le compte de stockage dans une région plus proche de ces clients. Pour plus d’informations, consultez Azure geographies (Zones géographiques Azure). Si les clients d’une autre région ne nécessitent pas les mêmes données, créez un compte distinct dans chaque région. Si les clients d’une autre région nécessitent uniquement certaines données, envisagez d’utiliser une stratégie de réplication d’objets pour copier de manière asynchrone des objets pertinents dans un compte de stockage dans l’autre région. |
La réduction de la distance physique entre le compte de stockage et les machines virtuelles, les services et les clients locaux peut améliorer les performances et réduire la latence réseau. La réduction de la distance physique réduit également le coût des applications hébergées dans Azure, car l’utilisation de la bande passante dans une seule région est gratuite. |
| Pour une grande consommation par les clients web (diffusion en continu de contenu vidéo, audio ou site web statique), envisagez d’utiliser un réseau de distribution de contenu via Azure Front Door. | Le contenu est remis aux clients plus rapidement, car il utilise le réseau de périphérie mondiale Microsoft avec des centaines de points de présence globaux et locaux dans le monde entier. |
| Ajoutez une séquence de caractères de hachage (par exemple, trois chiffres) le plus tôt possible dans la clé de partition d’un objet blob. La clé de partition est le nom du compte, le nom du conteneur, le nom du répertoire virtuel et le nom de l’objet blob. Si vous envisagez d’utiliser des horodatages dans des noms, envisagez d’ajouter une valeur de seconde au début de cet horodatage. Pour plus d’informations, consultez Partitionnement. | L’utilisation d’un code de hachage ou d’une valeur de seconde le plus proche du début d’une clé de partition réduit le temps nécessaire pour répertorier les requêtes et lire les objets blob. |
| Lors du chargement d’objets blob ou de blocs, utilisez une taille d’objet blob ou de bloc supérieure à 256 Kib. | Les tailles d’objets blob ou de blocs supérieures à 256 KiB tirent parti des améliorations des performances de la plateforme conçues spécifiquement pour les objets blob et les tailles de blocs plus volumineuses. |
Stratégies Azure
Azure fournit un ensemble complet de stratégies intégrées liées aux Stockage Blob et à ses dépendances. Certaines des recommandations précédentes peuvent être auditées par le biais de stratégies Azure. Par exemple, vous pouvez case activée si :
- L’accès en lecture public anonyme aux conteneurs et aux objets blob n’est pas activé.
- Les paramètres de diagnostic des Stockage Blob sont définis pour diffuser en continu les journaux de ressources vers un espace de travail Journaux Azure Monitor.
- Seules les requêtes provenant de connexions sécurisées (HTTPS) sont acceptées.
- Une stratégie d’expiration de signature d’accès partagé est activée.
- La réplication d’objets interlocataires est désactivée.
- L’autorisation de clé partagée est désactivée.
- Les règles de pare-feu réseau sont appliquées au compte.
Pour une gouvernance complète, passez en revue les définitions intégrées d’Azure Policy pour Stockage et d’autres stratégies susceptibles d’affecter la sécurité de la couche de calcul.
Recommandations Azure Advisor
Azure Advisor est un conseiller cloud personnalisé qui vous aide à suivre les bonnes pratiques pour optimiser vos déploiements Azure. Voici quelques recommandations qui peuvent vous aider à améliorer la fiabilité, la sécurité, l’efficacité des coûts, les performances et l’excellence opérationnelle des Stockage Blob.
Étape suivante
Pour plus d’informations sur les Stockage d’objets blob, consultez la documentation sur les Stockage Blob.