Megosztás a következőn keresztül:

Az Azure Well-Architected Framework perspektívája az Azure Blob Storage-ban

Az Azure Blob Storage egy Microsoft-objektumtárolási megoldás a felhőhöz. A Blob Storage nagy mennyiségű strukturálatlan adat tárolására van optimalizálva. A strukturálatlan adatok olyan adatok, amelyek nem igazodnak egy adott adatmodellhez vagy definícióhoz, például szöveges vagy bináris adatokhoz.

Ez a cikk feltételezi, hogy tervezőként áttekintette a tárolási lehetőségeit, és a Blob Storage-t választotta tárolási szolgáltatásként, amelyen futtathatja a számítási feladatokat. A cikk útmutatása olyan architekturális javaslatokat tartalmaz, amelyek az Azure Well-Architected-keretrendszer pilléreinekalapelveihez vannak megfeleltetve.

Fontos

Útmutató használata

Minden szakasz rendelkezik egy tervezési ellenőrzőlistával, amely a tervezési stratégiákkal együtt mutatja be a fontos építészeti területeket.

Emellett olyan technológiai képességekre vonatkozó javaslatokat is tartalmaz, amelyek segíthetnek ezeknek a stratégiáknak a megvalósításában. A javaslatok nem jelentik a Blob Storage-hoz és függőségeihez elérhető összes konfiguráció teljes listáját. Ehelyett felsorolják a tervezési szempontokhoz hozzárendelt legfontosabb javaslatokat. A javaslatok segítségével elkészítheti a megvalósíthatósági igazolást, vagy optimalizálhatja meglévő környezeteit.

Megbízhatóság

A megbízhatósági pillér célja a folyamatos működés biztosítása azáltal, hogy elegendő rugalmasságot épít ki, és képes gyorsan helyreállni a hibákból.

A megbízhatósági tervezési alapelvek biztosítják az egyes összetevőkre, rendszerfolyamatokra és a rendszer egészére alkalmazott magas szintű tervezési stratégiát.

Tervezési ellenőrzőlista

Kezdje a tervezési stratégiát a megbízhatósági tervezési felülvizsgálati ellenőrzőlistaalapján.

  • Hibamód-elemzésihasználata: Csökkentse a meghibásodási pontokat olyan belső függőségek figyelembevételével, mint például a virtuális hálózatok, az Azure Key Vault vagy az Azure Content Delivery Network vagy az Azure Front Door végpontjainak rendelkezésre állása. Hibák akkor fordulhatnak elő, ha a számítási feladatok által a Blob Storage eléréséhez szükséges hitelesítő adatok hiányoznak a Key Vaultból, vagy ha a számítási feladatok egy eltávolított tartalomkézbesítési hálózaton alapuló végpontot használnak. Ezekben az esetekben előfordulhat, hogy a számítási feladatoknak alternatív végpontot kell használniuk a csatlakozáshoz. A hibamód elemzésével kapcsolatos általános információkért tekintse meg A hibamód-elemzés végrehajtására vonatkozó javaslatok.

  • Megbízhatósági és helyreállítási célok meghatározása: Tekintse át az Azure szolgáltatásiszint-szerződések (SLA-k). A tárfiók szolgáltatásiszint-célkitűzésének (SLO) levezetése. Az SLO-t például befolyásolhatja a választott redundanciakonfiguráció. Vegye figyelembe a regionális kimaradás hatását, az adatvesztés lehetőségét, valamint a kimaradás utáni hozzáférés visszaállításához szükséges időt. Vegye figyelembe a hibamód-elemzés részeként azonosított belső függőségek rendelkezésre állását is.

  • Adatredundancia konfigurálása: A maximális tartósság érdekében válasszon egy konfigurációt, amely adatokat másol a rendelkezésre állási zónákba vagy a globális régiókba. A maximális rendelkezésre állás érdekében válasszon egy konfigurációt, amely lehetővé teszi az ügyfelek számára az adatok olvasását a másodlagos régióból az elsődleges régió kimaradása során.

  • Tervezési alkalmazások: Tervezőalkalmazások zökkenőmentesen áttérni a másodlagos régióból származó adatok olvasására, ha az elsődleges régió bármilyen okból elérhetetlenné válik. Ez csak a georedundáns tárolás (GRS) és a geo-zóna-redundáns tárolás (GZRS) konfigurációira vonatkozik. A kimaradásokat kezelő alkalmazások tervezése csökkenti a végfelhasználók állásidejét.

  • A helyreállítási célok teljesítését segítő funkciók megismerése: Állítsa vissza a blobokat, hogy helyreállíthatók legyenek, ha véletlenül sérültek, szerkesztettek vagy töröltek.

  • Helyreállítási terv létrehozása: Fontolja meg az adatvédelmi funkciókat, a biztonsági mentési és visszaállítási műveleteket vagy a feladatátvételi eljárásokat. Készüljön fel a lehetséges adatvesztésre és adatkövetkezetlenségekre, valamint azfeladatátvétel idejére és költségére. További információ: Vészhelyreállítási stratégiamegtervezésére vonatkozó javaslatok.

  • Lehetséges rendelkezésre állási problémák monitorozása: Iratkozzon fel az Azure Service Health irányítópultjára a lehetséges rendelkezésre állási problémák monitorozásához. A riasztások vizsgálatához használjon tárolási metrikákat az Azure Monitorban és a diagnosztikai naplókban.

Ajánlások

Ajánlás Haszon
Konfigurálja a fiókját a redundancia érdekében.

A maximális rendelkezésre állás és tartósság érdekében konfigurálja fiókját zónaredundáns tárolás (ZRS) vagy GZRShasználatával.		 A redundancia megvédi az adatokat a váratlan hibáktól. A ZRS és a GZRS konfigurációs beállításai replikálódnak a különböző rendelkezésre állási zónákban, és lehetővé teszik, hogy az alkalmazások továbbra is olvashassák az adatokat egy kimaradás során. További információ: Üzemkimaradási forgatókönyv és tartóssági és rendelkezésre állási paraméterek.
Feladatátvétel vagy feladat-visszavétel kezdeményezése előtt ki kell értékelni az adatvesztés lehetőségét a legutóbbi szinkronizálási idő tulajdonság értékének ellenőrzésével. Ez a javaslat csak a GRS- és GZRS-konfigurációkra vonatkozik. Ez a tulajdonság segít megbecsülni, hogy mennyi adat veszhet el, ha kezdeményezed egy fiók átvételét.

Az utolsó szinkronizálási idő előtt írt összes adat és metaadat elérhető a másodlagos régióban, de az utolsó szinkronizálási idő után írt adatok és metaadatok elveszhetnek, mert nem a másodlagos régióba íródott.
A biztonsági mentési és helyreállítási stratégia részeként engedélyezze a tároló helyreállítható törlését, a blobok helyreállítható törlését, a verziókövetéstés az időponthoz kötött helyreállítást. A helyreállítható törlési beállítás lehetővé teszi, hogy a tárfiók helyreállítsa a törölt tárolókat és blobokat.

A verziószámozási beállítás automatikusan nyomon követi a blobok módosításait. Ezzel a beállítással visszaállíthat egy blobot egy korábbi állapotba.

Az időponthoz kötött visszaállítási beállítás védelmet nyújt a blobok véletlen törlése vagy sérülése ellen, és lehetővé teszi a blokkblobadatok korábbi állapotba való visszaállítását.

További információ: Adatvédelem áttekintése.
A biztonsági mentési stratégia részeként konfigurálja Azure Blob tárolóalapú biztonsági mentését. Az archívált biztonsági mentés lehetővé teszi, hogy megvédje a blokk- és blobadatokat a zsarolóprogramoktól, más rosszindulatú támadásoktól vagy a forrásadatok elvesztésétől. Az adatok másolása és tárolása a Backup-tárolóban történik (az adatok helyszíni másolata), amely legfeljebb 10 évig őrizhető meg. Ha bármilyen adatvesztés történik a forrásfiókon, elindíthat egy visszaállítást egy másik fiókba, és hozzáférhet az adataihoz. Tudjon meg többet az Azure Backupszolgáltatással végzett tárolt biztonsági mentés támogatásáról.

Biztonság

A biztonsági pillér célja, hogy bizalmasságot, integritást és rendelkezésre állást biztosítson a számítási feladat számára.

A Biztonsági tervezési alapelvek magas szintű tervezési stratégiát biztosítanak e célok eléréséhez a Blob Storage-konfiguráció műszaki tervezésére alkalmazott megközelítésekkel.

Tervezési ellenőrzőlista

Indítsa el a tervezési stratégiáját a tervezési felülvizsgálati ellenőrzőlista alapján, amely a Biztonság-hez tartozik. A biztonsági helyzet javítása érdekében azonosíthatja a biztonsági réseket és a vezérlőket. Bővítse ki a stratégiát, hogy szükség szerint további megközelítéseket is tartalmazzon.

  • Tekintse át az Azure Storagebiztonsági alapkonfigurációjának áttekintését: Első lépésként tekintse át a Storagebiztonsági alapkonfigurációjának áttekintését.

  • Hálózati vezérlőkkel korlátozhatja a bejövő és kimenő forgalom: Tiltsa le a tárfiókba irányuló összes nyilvános forgalmat. Fiókhálózati vezérlők használatával biztosíthatja a felhasználók és alkalmazások számára szükséges minimális hozzáférési szintet. További információ: A tárfiók hálózati biztonságának megközelítése.

  • A támadási felület csökkentése: A névtelen hozzáférés, a fiókkulcs-hozzáférés vagy a nem biztonságos (HTTP-) kapcsolatokon keresztüli hozzáférés megakadályozása csökkentheti a támadási felületet. Az ügyfeleknek a Transport Layer Security (TLS) protokoll legújabb verziójával kell adatokat küldeni és fogadniuk.

  • Hozzáférés engedélyezése jelszavak vagy kulcsok használata nélkül: A Microsoft Entra-azonosító a megosztott kulcsokhoz és a közös hozzáférésű jogosultságkódokhoz képest kiváló biztonságot és egyszerű használatot biztosít. Csak azokat az engedélyeket adja meg a biztonsági tagoknak, amelyek szükségesek a feladataik elvégzéséhez.

  • Bizalmas adatok védelme: Bizalmas információk, például fiókkulcsok és közös hozzáférésű jogosultságkódok védelme. Bár ezek az engedélyezési formák általában nem ajánlottak, érdemes rendszeresen frissíteni őket, hagyni lejárni, és biztonságosan tárolni.

  • Engedélyezze a biztonságos átvitelhez szükséges beállítást: Ha engedélyezi ezt a beállítást az összes tárfiók számára, akkor a tárfiókra vonatkozó összes kérésnek biztonságos kapcsolatokon keresztül kell történnie. A HTTP-en keresztül küldött kérések sikertelenek.

  • Kritikus objektumok védelme: módosíthatatlansági szabályzatok alkalmazása a kritikus objektumok védelméhez. A szabályzatok védik a jogi, megfelelőségi vagy egyéb üzleti célból tárolt blobokat a módosítástól vagy a törléstől. Konfigurálja a korlátozásokat a megadott időszakokra, vagy amíg a rendszergazda fel nem oldja a korlátozásokat.

  • Fenyegetések észlelése: A fenyegetések észleléséhez engedélyezze Microsoft Defender for Storage. A biztonsági riasztások a tevékenység rendellenességei esetén aktiválódnak. A riasztások e-mailben értesítik az előfizetés rendszergazdáit a gyanús tevékenységek részleteiről, valamint a fenyegetések kivizsgálására és elhárítására vonatkozó javaslatokról.

Ajánlások

Ajánlás Haszon
A konténerekhez és blobokhoztörténő névtelen olvasási hozzáférés letiltása. Ha egy tárfiókhoz engedélyezve van a névtelen hozzáférés, a megfelelő engedélyekkel rendelkező felhasználók módosíthatják a tároló névtelen hozzáférési beállítását, hogy névtelen hozzáférést tegyenek lehetővé a tárolóban lévő adatokhoz.
Azure Resource Manager- zárolás alkalmazása a tárfiókra. A fiók zárolása megakadályozza a törlést, és adatvesztést okoz.
Tiltsa le a tárfiók nyilvános végpontjai felé forgalmat. Hozzon létre privát végpontokat az Azure-ban futó ügyfelek számára. Csak akkor engedélyezze a nyilvános végpontot, ha az Azure-on kívüli ügyfelek és szolgáltatások közvetlen hozzáférést igényelnek a tárfiókhoz. Engedélyezze azokat a tűzfalszabályokat, amelyek korlátozzák az adott virtuális hálózatokhoz való hozzáférést. Kezdje a nulla hozzáféréssel, majd növekményesen engedélyezze az ügyfelek és szolgáltatások számára szükséges legalacsonyabb hozzáférési szinteket, hogy minimalizálja a támadók számára szükségtelen nyílások létrehozásának kockázatát.
Hozzáférés engedélyezése azure-beli szerepköralapú hozzáférés-vezérléssel (RBAC) Az RBAC-vel nincsenek jelszavak vagy kulcsok, amelyek feltörhetők. A biztonsági tagot (felhasználó, csoport, felügyelt identitás vagy szolgáltatásnév) a Microsoft Entra ID hitelesíti egy OAuth 2.0-jogkivonat visszaadásához. A jogkivonat a Blob Storage szolgáltatással kapcsolatos kérések engedélyezésére szolgál.
Megosztott kulcs engedélyezésének tiltása. Ez nem csak a fiókkulcs-hozzáférést tiltja le, hanem a szolgáltatás- és fiókmegosztási jogosultságkód-jogkivonatokat is, mivel fiókkulcsokon alapulnak. Csak a Microsoft Entra-azonosítóval engedélyezett biztonságos kérések engedélyezettek.
Javasoljuk, hogy ne használjon fiókkulcsot. Ha fiókkulcsokat kell használnia, akkor a Key Vaulttárolja őket, és győződjön meg arról, hogy rendszeresen újragenerálja őket. A Key Vault lehetővé teszi a kulcsok lekérését futásidőben, ahelyett, hogy az alkalmazás használatával mentenél őket. A Key Vault emellett megkönnyíti a kulcsok megszakítás nélküli elforgatását az alkalmazásokban. A fiókkulcsok rendszeres rotálása csökkenti az adatok rosszindulatú támadásoknak való felfedésének kockázatát.
Javasoljuk, hogy ne használjon közös hozzáférésű jogosultságkód-jogkivonatokat. Annak kiértékelése, hogy szüksége van-e közös hozzáférésű jogosultságkód-jogkivonatokra a Blob Storage-erőforrásokhoz való hozzáférés biztonságossá tételéhez. Ha létre kell hoznia egyet, tekintse át a megosztott hozzáférésű jogosultságkódok ajánlott eljárásainak listáját, létrehozása és terjesztése előtt. Az ajánlott eljárások segítségével megakadályozhatja, hogy a megosztott hozzáférésű jogosultságkód jogkivonata kiszivárogjon, és gyorsan helyreálljon, ha szivárgás történik.
A tárfiók konfigurálásával az ügyfelek a TLS 1.2 minimális verziójával küldhetnek és fogadhatnak adatokat. A TLS 1.2 biztonságosabb és gyorsabb, mint a TLS 1.0 és 1.1, amely nem támogatja a modern titkosítási algoritmusokat és titkosítási csomagokat.
Fontolja meg a saját titkosítási kulcs használatát a tárfiókban lévő adatok védelméhez. További információért lásd: Ügyfél által felügyelt kulcsok az Azure Storage titkosításához. Az ügyfél által kezelt kulcsok nagyobb rugalmasságot és felügyeletet biztosítanak. Tárolhat például titkosítási kulcsokat a Key Vaultban, és automatikusan elforgathatja őket.

Költségoptimalizálás

A költségoptimalizálás a a kiadási minták észlelésére, a kritikus területeken lévő beruházások rangsorolására, valamint más optimalizálására összpontosít a szervezet költségvetési és üzleti igényeinek való megfelelés érdekében.

A Költségoptimalizálás tervezési alapelvei magas szintű tervezési stratégiát biztosítanak e célok eléréséhez és a Blob Storage-hoz és környezetéhez kapcsolódó műszaki tervezés során szükséges kompromisszumok kialakításához.

Tervezési ellenőrzőlista

Indítsa el a tervezési stratégiát a költségoptimalizálási a beruházásokra vonatkozó tervellenőrzési ellenőrzőlistája alapján. Finomhangolja a tervet, hogy a számítási feladat igazodjon a számítási feladathoz lefoglalt költségvetéshez. A tervezésnek a megfelelő Azure-képességeket kell használnia, figyelnie kell a beruházásokat, és meg kell találnia az optimalizálás lehetőségeit az idő függvényében.

  • A számla kiszámításához használt mérőszámok azonosítása: A mérők a fiókban (adatkapacitásban) tárolt adatok mennyiségének, valamint az adatok írásához és olvasásához végrehajtott műveletek számának és típusának nyomon követésére szolgálnak. Az opcionális funkciók, például a blobindex-címkék, a blobleltár, a változáscsatorna támogatása, a titkosítási hatókörök és az SSH-fájlátviteli protokoll (SFTP) használatához is vannak mérőszámok. További információért lásd: Hogyan kerül felszámításra a Blob Storage használatának díja.

  • Az egyes fogyasztásmérőkárainak ismertetése: Ügyeljen arra, hogy a megfelelő díjszabási oldalt használja, és alkalmazza a megfelelő beállításokat az oldalon. További információ: Az egyes fogyasztásmérők egységárának megkeresése. Vegye figyelembe az egyes árakhoz társított műveletek számát. Az írási és olvasási műveletekhez kapcsolódó ár például 10 000 műveletre vonatkozik. Az egyes műveletek árának meghatározásához ossza el a felsorolt árat 10 000-sel.

  • A kapacitás és a műveletek költségeinek becslése: Az adattárolással, a bejövő forgalommal és a kimenő forgalommal kapcsolatos költségeket az Azure díjkalkulátoránakhasználatával modellezheti. Mezők használatával összehasonlíthatja a különböző régiókhoz, fióktípusokhoz, névtértípusokhoz és redundanciakonfigurációkhoz kapcsolódó költségeket. Bizonyos esetekben a Microsoft dokumentációjában elérhető mintaszámításokat és munkalapokat használhatja. Megbecsülheti például az adatok archiválásának költségét, vagy megbecsülheti a blobokaz AzCopy paranccsal történő átvitelének költségeit.

  • Válasszon egy számlázási modellt a kapacitás: Annak kiértékelése, hogy a kötelezettségvállalásalapú modell használata költséghatékonyabb-e, mint a fogyasztásalapú modell használata. Ha nem biztos abban, hogy mekkora kapacitásra van szüksége, használatalapú modellel kezdheti, figyelheti a kapacitásmetrikákat, majd később kiértékelheti őket.

  • Válasszon egy fióktípust, egy redundanciaszintet és egy alapértelmezett hozzáférési szintet: Tárfiók létrehozásakor mindegyik beállításhoz meg kell adnia egy értéket. Minden érték hatással van a tranzakciós díjakra és a kapacitásdíjakra. A fióktípus kivételével ezek a beállítások a fiók létrehozása után módosíthatók.

  • Válassza ki a legköltséghatékonyabb alapértelmezett hozzáférési szintet: Ha az egyes blobfeltöltésekhez nincs megadva szint, a blobok az alapértelmezett hozzáférési szint beállításából következtetnek a hozzáférési szintjükre. A tárfiók alapértelmezett hozzáférési szintbeállításának módosítása a fiók összes olyan blobjára vonatkozik, amelyhez a hozzáférési szint nincs explicit módon beállítva. Ez a költség jelentős lehet, ha nagy számú blobot gyűjtött össze. További információ arról, hogy a rétegváltás hogyan befolyásolja az egyes meglévő blobokat: Blob hozzáférési szintjének módosítása.

  • Adatok feltöltése közvetlenül a legköltséghatékonyabb hozzáférési szintre: Ha például a fiók alapértelmezett hozzáférési rétegbeállítása a gyors elérés, de archiválás céljából tölt fel fájlokat, a feltöltési művelet részeként adjon meg egy archiválási szintet vagy egy tárolási szintet hidegként. A blobok feltöltése után életciklus-felügyeleti szabályzatokkal helyezheti át a blobokat a legköltséghatékonyabb szintekre a használati metrikák, például az utolsó elért idő alapján. A legoptimálisabb szint kiválasztása előre csökkentheti a költségeket. Ha módosítja a már feltöltött blokkblob szintjét, akkor a blob első feltöltésekor a kezdeti szintre kell fizetnie az írási költséget, majd a kívánt szintre kell fizetnie az írási költséget.

  • Rendelkezik egy tervvel az adatéletcikluskezelésére: Optimalizálja a tranzakciós és kapacitásköltségeket a hozzáférési szintek és az életciklus-kezelés előnyeinek kihasználásával. A ritkábban használt adatokat hűvösebb hozzáférési szintekre kell helyezni, míg a gyakran használt adatokat melegebb hozzáférési szintekre kell helyezni.

  • Döntse el, hogy mely funkciókra van szüksége: Egyes funkciók, például a verziószámozás és a blob helyreállítható törlése további tranzakciós és kapacitásköltségeket, valamint egyéb díjakat vonnak maguk után. Mindenképpen tekintse át a cikkek díjszabási és számlázási szakaszait, amelyek ismertetik ezeket a képességeket, amikor kiválasztja, hogy mely képességeket vegye fel a fiókjába.

    Ha például engedélyezi a blobleltár funkciót, a beolvasott objektumok számáért kell fizetnie. Ha blobindexcímkéket használ, az indexcímkék számáért kell fizetnie. Ha engedélyezi az SFTP-támogatást, óránkénti díjat számítunk fel, még akkor is, ha nincsenek SFTP-átvitelek. Ha a funkció használata mellett dönt, győződjön meg arról, hogy a szolgáltatás le van tiltva, mert a fiók létrehozásakor egyes funkciók automatikusan engedélyezve vannak.

  • Védőkorlátok létrehozása: költségvetések létrehozása előfizetések és erőforráscsoportok alapján. Szabályozási szabályzatok használatával korlátozhatja az erőforrástípusokat, konfigurációkat és helyeket. Emellett az RBAC használatával letilthatja azokat a műveleteket, amelyek túlköltekezéshez vezethetnek.

  • Költségek figyelése: Győződjön meg arról, hogy a költségek a költségvetésen belül maradnak, összehasonlítja a költségeket az előrejelzésekkel, és láthatja, hogy hol fordul elő a túlköltekezés. Az Azure Portal költségelemzési paneljén figyelheti a költségeket. Költségadatokat is exportálhat egy tárfiókba, és elemezheti az adatokat az Excel vagy a Power BI használatával.

  • Használatfigyelése: Folyamatosan figyelemmel kíséri a használati mintákat, és észleli a nem használt vagy alulhasznált fiókokat és tárolókat. A Storage insights használatával azonosíthatók azok a fiókok, amelyeknek nincs vagy alacsony a használata. Engedélyezze a blobleltár-jelentéseket, és használjon olyan eszközöket, mint Azure Databricks vagy az Azure Synapse Analytics és a Power BI a költségadatok elemzéséhez. Figyelje meg a kapacitás váratlan növekedését, ami azt jelezheti, hogy számos naplófájlt, blobverziót vagy helyreállíthatóan törölt blobot gyűjt. Stratégiát alakíthat ki az objektumok lejáró vagy költséghatékonyabb hozzáférési szintekre való átállítására. Tervvel rendelkezhet a lejáró objektumokról vagy az objektumok megfizethetőbb hozzáférési szintekre való áthelyezésről.

Ajánlások

Ajánlás Haszon
Kisebb fájlokat csomagoljon nagyobb fájlokba, mielőtt azokat hűvösebb szintre helyezené. Használhat fájlformátumokat, például TAR vagy ZIP formátumokat. A hűvösebb rétegek magasabb adatátviteli költségekkel rendelkeznek. Ha kevesebb nagy fájlt szeretne használni, csökkentheti az adatátvitelhez szükséges műveletek számát.
Standard prioritású rehidratálást használjon, ha blobokat rehidratál az archív tárolóból. Magas prioritású rehidratálást csak vészhelyzeti adat-visszaállítási helyzetekben használjon. További információkért lásd: Archivált blob rehidratálása online szintre Az archív szint magas prioritású rehidratációja a normálnál magasabb számlákhoz vezethet.
Csökkentse az erőforrásnaplók használatának költségeit a megfelelő naplótárolási hely kiválasztásával és a naplómegőrzési időszakok kezelésével. Ha csak alkalmanként tervezi lekérdezni a naplókat (például a megfelelőségi naplózás naplóinak lekérdezését), érdemes lehet erőforrásnaplókat küldeni egy tárfiókba ahelyett, hogy egy Azure Monitor-naplók munkaterületére küldené őket. A naplók elemzéséhez használhat kiszolgáló nélküli lekérdezési megoldást, például az Azure Synapse Analyticset. További információ: Ritkán használt lekérdezések költségeinek optimalizálása. A naplók törléséhez vagy archiválásához életciklus-kezelési szabályzatokat használhat. Az erőforrásnaplók tárolása egy tárfiókban későbbi elemzés céljából olcsóbb megoldás lehet. Az életciklus-felügyeleti szabályzatok használata a tárfiókokban lévő naplómegőrzés kezeléséhez megakadályozza, hogy a naplófájlok nagy száma idővel létrejönjön, ami szükségtelen kapacitásköltségekhez vezethet.
Ha engedélyezi a verziószámozást, használjon életciklus-kezelési szabályzatot a régi blobverziók automatikus törléséhez. A blob minden írási művelete létrehoz egy új verziót. Ez növeli a kapacitás költségeit. A költségeket a már nem szükséges verziók eltávolításával ellenőrizheti.
Ha engedélyezi a verziószámozást, helyezze a gyakran felülírt blobokat egy olyan fiókba, ahol nincs engedélyezve a verziószámozás. Minden alkalommal, amikor felülír egy blobot, egy új verziót adnak hozzá, ami növeli a tárkapacitási költségeket. A kapacitásköltségek csökkentése érdekében tárolja a gyakran felülírt adatokat egy külön tárfiókban, ahol a verziószámozás le van tiltva.
Ha engedélyezi a helyreállítható törlést, helyezze a gyakran felülírt blobokat egy olyan fiókba, ahol nincs engedélyezve a helyreállítható törlés. Megőrzési időszakok beállítása. Érdemes lehet egy rövid megőrzési időszakkal kezdeni, hogy jobban megértse, hogyan befolyásolja a funkció a számláját. A minimálisan ajánlott megőrzési idő hét nap. Minden alkalommal, amikor egy blobot felülírnak, létrejön egy új pillanatkép. A megnövekedett kapacitásköltségek oka nehezen érhető el, mert a pillanatképek létrehozása nem jelenik meg a naplókban. A kapacitásköltségek csökkentése érdekében tárolja a gyakran felülírt adatokat egy külön tárfiókban, ahol a helyreállítható törlés le van tiltva. A megőrzési időszak megakadályozza, hogy a helyreállíthatóan törölt blobok felhalmozódjanak és növeljék az adattárolási költségeket.
Csak akkor engedélyezze az SFTP-támogatást, ha az adatok átvitelére szolgál. Az SFTP-végpont engedélyezése óránkénti költséggel jár. Az SFTP-támogatás átgondolt letiltásával, majd szükség szerint történő engedélyezésével elkerülheti, hogy passzív díjak keletkezzenek a fiókjában.
Tiltsa le azokat a titkosítási hatóköröket, amelyekre nincs szükség a szükségtelen díjak elkerülése érdekében. A titkosítási hatókörök havi díjat számítanak fel.

Működési kiválóság

Az operatív kiválóság elsősorban a fejlesztési eljárásokra, a megfigyelhetőségre és a kiadáskezelésivonatkozó eljárásokra összpontosít.

A Működési kiválóság tervezési alapelvei magas szintű tervezési stratégiát biztosítanak a számítási feladatok működési követelményeihez kitűzött célok eléréséhez.

Tervezési ellenőrzőlista

Indítsa el a tervezési stratégiát az Operational Excellence tervezési felülvizsgálati ellenőrzőlistája alapján, amely meghatározza a Blob Storage-konfigurációhoz kapcsolódó megfigyelhetőségi, tesztelési és üzembe helyezési folyamatokat.

  • Karbantartási és vészhelyreállítási tervek létrehozása: Fontolja meg az adatvédelmi funkciókat, a biztonsági mentési és visszaállítási műveleteket, valamint a feladatátvételi eljárásokat. Készüljön fel a lehetséges adatvesztésre és adatinkonzisztenciákra, valamint azátállás idejére és költségére.

  • A tárfiók állapotának monitorozása: Storage-elemzések irányítópultok létrehozása a rendelkezésre állási, teljesítmény- és rugalmassági metrikák monitorozásához. Állítson be riasztásokat a rendszer problémáinak azonosításához és kezeléséhez, mielőtt az ügyfelek észrevennénk őket. Diagnosztikai beállítások használatával irányíthatja az erőforrásnaplókat egy Azure Monitor Logs-munkaterületre. Ezután lekérdezheti a naplókat a riasztások mélyebb vizsgálatához.

  • Blobleltár-jelentések engedélyezése: Engedélyezze a blobleltár-jelentéseket, hogy a blob tárfiók tartalmának megőrzési, jogi visszatartási vagy titkosítási állapotát áttekintse. Blobleltár-jelentések használatával is megismerheti az adatok teljes adatméretét, életkorát, rétegeloszlását vagy egyéb attribútumait. Az olyan eszközök, mint az Azure Databricks vagy az Azure Synapse Analytics és a Power BI használata a leltáradatok jobb megjelenítéséhez és jelentések létrehozásához az érdekelt felek számára.

  • Blobokat törlő vagy költséghatékony hozzáférési szintekre áthelyező házirendek beállítása: Életciklus-felügyeleti szabályzat létrehozása kezdeti feltételkészlettel. A szabályzat automatikusan törli vagy beállítja a blobok hozzáférési szintjét a megadott feltételek alapján. A tárolóhasználatot rendszeresen elemezze a figyelési mutatók és a blobleltár-jelentések segítségével, hogy finomítsa a feltételeket a költséghatékonyság optimalizálása érdekében.

Ajánlások

Ajánlás Haszon
Az infrastruktúra kódként (IaC) használatával definiálhatja a tárfiókok részleteit Azure Resource Manager-sablonokban (ARM-sablonok),Bicep-vagy Terraform-. A meglévő DevOps-folyamatokkal új tárfiókokat helyezhet üzembe, és Azure Policy- használatával kényszerítheti ki a konfigurációjukat.
A Storage insights használatával nyomon követheti a tárfiókok állapotát és teljesítményét. A Storage Insights egységes képet nyújt az összes tárfiók hibáiról, teljesítményéről, rendelkezésre állásáról és kapacitásáról. Nyomon követheti az egyes fiókok állapotát és működését. Egyszerűen létrehozhat irányítópultokat és jelentéseket, amelyekkel az érintettek nyomon követhetik a tárfiókok állapotát.

Teljesítményhatékonyság

A teljesítményhatékonyság arról szól, a felhasználói élmény fenntartása akkor is, ha a kapacitás kezelésével növekszik a terhelés. A stratégia magában foglalja az erőforrások skálázását, a lehetséges szűk keresztmetszetek azonosítását és optimalizálását, valamint a csúcsteljesítmény optimalizálását.

A Teljesítményhatékonyság tervezési alapelvei magas szintű tervezési stratégiát biztosítanak e kapacitáscélok eléréséhez a várt használattal szemben.

Tervezési ellenőrzőlista

Indítsa el tervezési stratégiáját a teljesítményhatékonyságtervezési áttekintő ellenőrzőlistája alapján. Definiáljon egy alapkonfigurációt, amely a Blob Storage-konfiguráció fő teljesítménymutatóin alapul.

  • Skálázási tervek: A tárfiókok méretezési céljainak megértése.

  • Válassza ki az optimális tárfióktípust: Ha a számítási feladat magas tranzakciós arányt, kisebb objektumokat és következetesen alacsony tranzakciós késést igényel, fontolja meg a prémium szintű blokkblobtároló-fiókok használatát. A legtöbb esetben egy általános célú v2-fiók a legmegfelelőbb.

  • Az ügyfél és a kiszolgáló közötti utazási távolság csökkentése: Helyezze az adatokat a csatlakozó ügyfelekhez legközelebbi régiókban (ideális esetben ugyanabban a régióban). Optimalizáljon távoli régiókban lévő ügyfelekre objektumreplikációs vagy tartalomkézbesítési hálózat használatával. Az alapértelmezett hálózati konfigurációk biztosítják a legjobb teljesítményt. Csak a biztonság javítása érdekében módosítsa a hálózati beállításokat. A hálózati beállítások általában nem csökkentik az utazási távolságot, és nem javítják a teljesítményt.

  • Válasszon hatékony elnevezési sémát: Csökkentse a listázási, listázási, lekérdezési és olvasási műveletek késését a blobpartíciós kulcs (fiók, tároló, virtuális könyvtár vagy blobnév) elejéhez legközelebbi kivonatcímke-előtagok használatával. Ez a séma elsősorban azokat a fiókokat használja, amelyek egysíkú névtérrel rendelkeznek.

  • Az adatügyfélszámítógépek teljesítményének optimalizálása: A számítási feladatok adatméretének, átviteli gyakoriságának és sávszélességének leginkább megfelelő adatátviteli eszköz kiválasztása. Egyes eszközök, például az AzCopy teljesítményre vannak optimalizálva, és kevés beavatkozást igényelnek. Tekintse át a késéstbefolyásoló tényezőket, és finomhangolja a teljesítményt az egyes eszközökkel közzétett teljesítményoptimalizálási útmutató áttekintésével.

  • Egyéni kódteljesítményének optimalizálása: Fontolja meg a Storage SDK-k használatát ahelyett, hogy saját burkolókat hoz létre a blob REST-műveletekhez. Az Azure SDK-k teljesítményre vannak optimalizálva, és mechanizmusokat biztosítanak a teljesítmény finomhangolásához. Alkalmazás létrehozása előtt tekintse át a Blob Storageteljesítmény- és méretezhetőségi ellenőrzőlistát. Fontolja meg lekérdezésgyorsítási használatát a nem kívánt adatok kiszűréséhez a tárolási kérelem során, és tartsa távol az ügyfeleket attól, hogy szükségtelenül továbbítják az adatokat a hálózaton.

  • Teljesítményadatok gyűjtése: A tárfiók monitorozásával azonosíthatja a szabályozásból eredő teljesítménybeli szűk keresztmetszeteket. További információ: Storage-szolgáltatás monitorozása a Storage-elemzések monitorozásával. Használjon metrikákat és naplókat is. A metrikák számokat, például szabályozási hibákat biztosítanak. A naplók a tevékenységet írják le. Ha sebességkorlátozási metrikákat lát, naplókkal azonosíthatja, hogy mely ügyfelek kapnak sebességkorlátozási hibákat. További információ: Adatsík-műveletek naplózása.

Ajánlások

Ajánlás Haszon
Gondoskodjon arról, hogy a tárfiókok abban a régióban legyenek kiépítve, ahol a kapcsolódó erőforrásokat helyezik el. Az Azure-ban nem üzemeltetett alkalmazások, például mobileszköz-alkalmazások vagy helyszíni nagyvállalati szolgáltatások esetén keresse meg a tárfiókot az ügyfelekhez közelebbi régióban. További információért lásd: Azure földrajzi régiók.

Ha egy másik régióból származó ügyfeleknek nincs szükségük ugyanazokra az adatokra, hozzon létre egy külön fiókot minden régióban.

Ha egy másik régióból származó ügyfeleknek csak néhány adatra van szükségük, érdemes lehet objektumreplikációs szabályzatot használni a releváns objektumok aszinkron másolásához a másik régióban lévő tárfiókba.		 A tárfiók és a virtuális gépek, szolgáltatások és helyszíni ügyfelek közötti fizikai távolság csökkentése javíthatja a teljesítményt és csökkentheti a hálózati késést. A fizikai távolság csökkentése az Azure-ban üzemeltetett alkalmazások költségeit is csökkenti, mivel az egyetlen régión belüli sávszélesség-használat ingyenes.
A webes ügyfelek széles körű felhasználása érdekében (video-, hang- vagy statikus webhelytartalmak streamelésével) érdemes lehet tartalomkézbesítési hálózatot használni az Azure Front Dooron keresztül. A tartalom gyorsabban jut el az ügyfelekhez, mert a Microsoft globális peremhálózatát használja globális és helyi jelenléti pontok százaival világszerte.
A blob partíciókulcsában a lehető leghamarabb adjon hozzá egy kivonat karaktersorozatot (például három számjegyet). A partíciókulcs a fiók neve, a tároló neve, a virtuális könyvtár neve és a blob neve. Ha időbélyegeket szeretne használni a nevekben, fontolja meg egy másodperces érték hozzáadását a bélyeg elejéhez. További információkért lásd: Partitioning. A partíciókulcs elejéhez legközelebbi kivonatkód vagy másodpercérték használata csökkenti a lekérdezések listázásához és a blobok olvasásához szükséges időt.
Blobok vagy blokkok feltöltésekor használjon 256 KiB-nél nagyobb blobot vagy blokkméretet. A 256 KiB feletti blob- vagy blokkméretek kihasználják a platform teljesítménybeli fejlesztéseit, kifejezetten nagyobb blobok és blokkméretek esetén.

Azure-szabályzatok

Az Azure a Blob Storage-hoz és annak függőségeihez kapcsolódó beépített szabályzatok széles halmazát biztosítja. Az előző javaslatok némelyike az Azure-szabályzatok segítségével naplózható. Például ellenőrizheti, hogy:

  • A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés nincs engedélyezve.
  • A Blob Storage diagnosztikai beállításai úgy vannak beállítva, hogy erőforrásnaplókat streameljenek egy Azure Monitor Logs-munkaterületre.
  • Csak a biztonságos kapcsolatoktól (HTTPS) érkező kérések fogadhatók el.
  • Engedélyezve van a közös hozzáférésű jogosultságkód lejárati szabályzata.
  • A tenantek közötti objektumreplikálás le van tiltva.
  • A megosztott kulcs engedélyezése le van tiltva.
  • A rendszer hálózati tűzfalszabályokat alkalmaz a fiókra.

Az átfogó szabályozáshoz tekintse át a Azure Policy beépített definícióit a Storage és egyéb olyan szabályzatokhoz, amelyek hatással lehetnek a számítási réteg biztonságára.

Az Azure Advisor javaslatok

Azure Advisor egy személyre szabott felhőtanácsadó, amely segít az Ajánlott eljárások követésében az Azure-üzemelő példányok optimalizálása érdekében. Íme néhány javaslat, amely segíthet a Blob Storage megbízhatóságának, biztonságának, költséghatékonyságának, teljesítményének és működési kiválóságának javításában.

Következő lépés

További információ a Blob Storage-ról: Blob Storage dokumentációja.