Az Azure Well-Architected Framework perspektívája az Azure Blob Storage-ban
Az Azure Blob Storage egy Microsoft-objektumtárolási megoldás a felhőhöz. A Blob Storage nagy mennyiségű strukturálatlan adat tárolására van optimalizálva. A strukturálatlan adatok olyan adatok, amelyek nem követnek egy adott adatmodellt vagy definíciót, például szöveges vagy bináris adatok.
Ez a cikk feltételezi, hogy tervezőként áttekintette a tárolási lehetőségeket , és a Blob Storage-t választotta tárolási szolgáltatásként, amelyen futtathatja a számítási feladatokat. A cikk útmutatása olyan architekturális javaslatokat tartalmaz, amelyek az Azure Well-Architected Framework alappilléreihez vannak megfeleltetve.
Fontos
Útmutató használata
Minden szakasz rendelkezik egy tervezési ellenőrzőlistával , amely a tervezési stratégiákkal együtt mutatja be az architekturális területeket.
Ezek közé tartoznak a technológiai képességekre vonatkozó javaslatok is, amelyek segíthetnek ezeknek a stratégiáknak a megvalósításában. A javaslatok nem jelentik a Blob Storage-hoz és függőségeihez elérhető összes konfiguráció teljes listáját. Ehelyett felsorolják a tervezési szempontokhoz hozzárendelt legfontosabb javaslatokat. A javaslatok segítségével elkészítheti a megvalósíthatósági igazolást, vagy optimalizálhatja meglévő környezeteit.
Megbízhatóság
A megbízhatósági pillér célja a folyamatos működés biztosítása a megfelelő rugalmasság kialakításával és a hibákból való gyors helyreállítás lehetőségével.
A megbízhatósági tervezési alapelvek magas szintű tervezési stratégiát biztosítanak az egyes összetevőkre, a rendszerfolyamatokra és a rendszer egészére vonatkozóan.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a megbízhatósági terv felülvizsgálati ellenőrzőlistája alapján.
Hibamód-elemzés használata: Csökkentse a meghibásodási pontokat olyan belső függőségek figyelembevételével, mint például a virtuális hálózatok, az Azure Key Vault vagy az Azure Content Delivery Network vagy az Azure Front Door végpontjainak rendelkezésre állása. Hibák akkor fordulhatnak elő, ha a számítási feladatok által a Blob Storage eléréséhez szükséges hitelesítő adatok hiányoznak a Key Vaultból, vagy ha a számítási feladatok egy eltávolított tartalomkézbesítési hálózaton alapuló végpontot használnak. Ezekben az esetekben előfordulhat, hogy a számítási feladatoknak alternatív végpontot kell használniuk a csatlakozáshoz. A hibamód elemzésével kapcsolatos általános információkért tekintse meg a hibamód elemzésének Javaslatok című témakört.
Megbízhatósági és helyreállítási célok meghatározása: Tekintse át az Azure szolgáltatásiszint-szerződéseket (SLA-kat). A tárfiók szolgáltatásiszint-célkitűzésének (SLO) levezetése. Az SLO-t például befolyásolhatja a választott redundanciakonfiguráció. Vegye figyelembe a regionális kimaradás hatását, az adatvesztés lehetőségét, valamint a kimaradás utáni hozzáférés visszaállításához szükséges időt. Vegye figyelembe a hibamód-elemzés részeként azonosított belső függőségek rendelkezésre állását is.
Adatredundancia konfigurálása: A maximális tartósság érdekében válasszon egy konfigurációt, amely adatokat másol a rendelkezésre állási zónákba vagy a globális régiókba. A maximális rendelkezésre állás érdekében válasszon egy konfigurációt, amely lehetővé teszi az ügyfelek számára az adatok olvasását a másodlagos régióból az elsődleges régió kimaradása során.
Alkalmazások tervezése: Alkalmazások tervezése, amelyek zökkenőmentesen áttérnek a másodlagos régióból származó adatok olvasására, ha az elsődleges régió bármilyen okból elérhetetlenné válik. Ez csak a georedundáns tárolás (GRS) és a georedundáns tárolás (GZRS) konfigurációira vonatkozik. A kimaradásokat kezelő alkalmazások tervezése csökkenti a végfelhasználók állásidejét.
Fedezze fel a helyreállítási célok teljesítését segítő funkciókat: Állítsa vissza a blobokat, hogy helyreállíthatók legyenek, ha véletlenül sérültek, szerkesztettek vagy töröltek.
Helyreállítási terv létrehozása: Fontolja meg az adatvédelmi funkciókat, a biztonsági mentési és visszaállítási műveleteket vagy a feladatátvételi eljárásokat. Készüljön fel a lehetséges adatvesztésre és adatkonzisztenciákra , valamint a feladatátvétel idejére és költségeire. További információ: Javaslatok vészhelyreállítási stratégia kialakításához.
Lehetséges rendelkezésre állási problémák monitorozása: Iratkozzon fel az Azure Service Health irányítópultjára a lehetséges rendelkezésre állási problémák monitorozásához. A riasztások vizsgálatához használjon tárolási metrikákat az Azure Monitorban és a diagnosztikai naplókban.
Ajánlások
Ajánlás | Juttatás |
---|---|
Konfigurálja a fiókját a redundancia érdekében. A maximális rendelkezésre állás és tartósság érdekében konfigurálja a fiókját zónaredundáns tárolás (ZRS) vagy GZRS használatával. |
A redundancia megvédi az adatokat a váratlan hibáktól. A ZRS és a GZRS konfigurációs beállításai replikálódnak a különböző rendelkezésre állási zónákban, és lehetővé teszik, hogy az alkalmazások továbbra is olvashassák az adatokat egy kimaradás során. További információ: Tartósság és rendelkezésre állás üzemkimaradási forgatókönyv , valamint tartóssági és rendelkezésre állási paraméterek alapján. |
Feladatátvétel vagy feladat-visszavétel kezdeményezése előtt az utolsó szinkronizálási idő tulajdonság értékének ellenőrzésével értékelje ki az adatvesztés lehetőségét. Ez a javaslat csak a GRS- és GZRS-konfigurációkra vonatkozik. | Ez a tulajdonság segít megbecsülni, hogy mennyi adat veszhet el egy fiók feladatátvételének kezdeményezésével. Az utolsó szinkronizálási idő előtt írt összes adat és metaadat elérhető a másodlagos régióban, de az utolsó szinkronizálási idő után írt adatok és metaadatok elveszhetnek, mert nem a másodlagos régióba íródott. |
A biztonsági mentési és helyreállítási stratégia részeként engedélyezze a tároló helyreállítható törlését, a blobok helyreállítható törlését, a verziószámozást és az időponthoz kötött visszaállítási beállításokat. | A helyreállítható törlési beállítás lehetővé teszi, hogy a tárfiók helyreállítsa a törölt tárolókat és blobokat. A verziószámozási beállítás automatikusan nyomon követi a blobok módosításait. Ezzel a beállítással visszaállíthat egy blobot egy korábbi állapotba. Az időponthoz kötött visszaállítási beállítás védelmet nyújt a blobok véletlen törlése vagy sérülése ellen, és lehetővé teszi a blokkblobadatok korábbi állapotba való visszaállítását. További információ: Adatvédelem – áttekintés. |
Biztonság
A biztonsági pillér célja, hogy bizalmassági, integritási és rendelkezésre állási garanciákat biztosítson a számítási feladat számára.
A biztonsági tervezési alapelvek magas szintű tervezési stratégiát biztosítanak e célok eléréséhez a Blob Storage-konfiguráció műszaki tervezésére alkalmazott megközelítések alkalmazásával.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a Biztonság tervezési felülvizsgálati ellenőrzőlistája alapján. A biztonsági helyzet javítása érdekében azonosíthatja a biztonsági réseket és a vezérlőket. Bővítse ki a stratégiát, hogy szükség szerint további megközelítéseket is tartalmazzon.
Tekintse át az Azure Storage biztonsági alapkonfigurációjának áttekintését: Első lépésként tekintse át a Storage biztonsági alapkonfigurációjának áttekintését.
Hálózati vezérlőkkel korlátozhatja a bejövő és kimenő forgalmat: Tiltsa le a tárfiókba irányuló összes nyilvános forgalmat. Fiókhálózati vezérlők használatával biztosíthatja a felhasználók és alkalmazások számára szükséges minimális hozzáférési szintet. További információ: A tárfiók hálózati biztonságának megközelítése.
A támadási felület csökkentése: A névtelen hozzáférés, a fiókkulcs-hozzáférés vagy a nem biztonságos (HTTP-) kapcsolatokon keresztüli hozzáférés megakadályozása csökkentheti a támadási felületet. Az ügyfeleknek a Transport Layer Security (TLS) protokoll legújabb verziójával kell adatokat küldeni és fogadniuk.
Hozzáférés engedélyezése jelszavak vagy kulcsok használata nélkül: A Microsoft Entra ID a megosztott kulcsokhoz és a közös hozzáférésű jogosultságkódokhoz képest kiváló biztonságot és egyszerű használatot biztosít. Csak azokat az engedélyeket adja meg a biztonsági tagoknak, amelyek szükségesek a feladataik elvégzéséhez.
Bizalmas információk védelme: Bizalmas információk, például fiókkulcsok és közös hozzáférésű jogosultságkód-jogkivonatok védelme. Bár ezek az engedélyezési formák általában nem ajánlottak, mindenképpen forgassa, járjon le és tárolja biztonságosan.
Engedélyezze a biztonságos átvitelhez szükséges beállítást: Ha engedélyezi ezt a beállítást az összes tárfiókhoz, akkor a tárfiókon keresztüli összes kérésnek biztonságos kapcsolatokon keresztül kell végbemenően végbemenő kéréseket végrehajtania. A HTTP-en keresztül küldött kérések sikertelenek.
Kritikus objektumok védelme: Módosíthatatlansági szabályzatok alkalmazása a kritikus objektumok védelméhez. A szabályzatok védik a jogi, megfelelőségi vagy egyéb üzleti célból tárolt blobokat a módosítástól vagy a törléstől. Konfigurálja a korlátozásokat a megadott időszakokra, vagy amíg a rendszergazda fel nem oldja a korlátozásokat.
Fenyegetések észlelése: Engedélyezze a Microsoft Defender for Storage számára a fenyegetések észlelését. A biztonsági riasztások akkor aktiválódnak, ha a tevékenységben rendellenességek történnek. A riasztások e-mailben értesítik az előfizetés rendszergazdáit a gyanús tevékenységek részleteiről, valamint a fenyegetések kivizsgálására és elhárítására vonatkozó javaslatokról.
Ajánlások
Ajánlás | Juttatás |
---|---|
Tiltsa le a tárolókhoz és blobokhoz való névtelen olvasási hozzáférést. | Ha egy tárfiókhoz engedélyezve van a névtelen hozzáférés, a megfelelő engedélyekkel rendelkező felhasználók módosíthatják a tároló névtelen hozzáférési beállítását, hogy névtelen hozzáférést tegyenek lehetővé a tárolóban lévő adatokhoz. |
Azure Resource Manager-zárolás alkalmazása a tárfiókra. | A fiók zárolása megakadályozza a törlést, és adatvesztést okoz. |
Tiltsa le a tárfiók nyilvános végpontjai felé történő forgalmat. Hozzon létre privát végpontokat az Azure-ban futó ügyfelek számára. Csak akkor engedélyezze a nyilvános végpontot, ha az Azure-on kívüli ügyfelek és szolgáltatások közvetlen hozzáférést igényelnek a tárfiókhoz. Engedélyezze az adott virtuális hálózatokhoz való hozzáférést korlátozó tűzfalszabályokat. | Kezdje a nulla hozzáféréssel, majd növekményesen engedélyezze az ügyfelek és szolgáltatások számára szükséges legalacsonyabb hozzáférési szinteket, hogy minimalizálja a támadók számára szükségtelen nyílások létrehozásának kockázatát. |
Hozzáférés engedélyezése azure-beli szerepköralapú hozzáférés-vezérléssel (RBAC) | Az RBAC-vel nincsenek jelszavak vagy kulcsok, amelyek feltörhetők. A biztonsági tagot (felhasználó, csoport, felügyelt identitás vagy szolgáltatásnév) a Microsoft Entra ID hitelesíti egy OAuth 2.0-jogkivonat visszaadásához. A jogkivonat a Blob Storage szolgáltatással kapcsolatos kérések engedélyezésére szolgál. |
A megosztott kulcs engedélyezésének letiltása. Ez nem csak a fiókkulcs-hozzáférést tiltja le, hanem a szolgáltatás- és fiókmegosztási jogosultságkód-jogkivonatokat is, mivel fiókkulcsokon alapulnak. | Csak a Microsoft Entra-azonosítóval engedélyezett biztonságos kérések engedélyezettek. |
Javasoljuk, hogy ne használjon fiókkulcsot. Ha fiókkulcsokat kell használnia, akkor tárolja őket a Key Vaultban, és győződjön meg arról, hogy rendszeresen újragenerálja őket. | A Key Vault lehetővé teszi a kulcsok lekérését futásidőben, ahelyett, hogy az alkalmazás használatával mentenél őket. A Key Vault emellett megkönnyíti a kulcsok megszakítás nélküli elforgatását az alkalmazásokban. A fiókkulcsok rendszeres rotálása csökkenti az adatok rosszindulatú támadásoknak való felfedésének kockázatát. |
Javasoljuk, hogy ne használjon közös hozzáférésű jogosultságkód-jogkivonatokat. Annak kiértékelése, hogy szüksége van-e közös hozzáférésű jogosultságkód-jogkivonatokra a Blob Storage-erőforrásokhoz való hozzáférés biztonságossá tételéhez. Ha létre kell hoznia egyet, tekintse át a közös hozzáférésű jogosultságkódok ajánlott eljárásainak listáját, mielőtt létrehozza és terjesztené azt. | Az ajánlott eljárások segítségével megakadályozhatja, hogy a megosztott hozzáférésű jogosultságkód jogkivonata kiszivárogjon, és gyorsan helyreálljon, ha szivárgás történik. |
Konfigurálja a tárfiókot , hogy az ügyfelek a TLS 1.2 minimális verziójával küldhessenek és fogadhassák az adatokat. | A TLS 1.2 biztonságosabb és gyorsabb, mint a TLS 1.0 és 1.1, amely nem támogatja a modern titkosítási algoritmusokat és titkosítási csomagokat. |
Fontolja meg a saját titkosítási kulcs használatát a tárfiókban lévő adatok védelméhez. További információ: Ügyfél által felügyelt kulcsok az Azure Storage-titkosításhoz. | Az ügyfél által kezelt kulcsok nagyobb rugalmasságot és felügyeletet biztosítanak. Tárolhat például titkosítási kulcsokat a Key Vaultban, és automatikusan elforgathatja őket. |
Költségoptimalizálás
A költségoptimalizálás a költségminták észlelésére , a kritikus területeken lévő beruházások rangsorolására, valamint a szervezet költségvetési és üzleti követelményeinek megfelelő optimalizálására összpontosít.
A Költségoptimalizálás tervezési alapelvei magas szintű tervezési stratégiát biztosítanak e célok eléréséhez és a Blob Storage-hoz és környezetéhez kapcsolódó műszaki tervezés során szükséges kompromisszumok kialakításához.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a beruházások költségoptimalizálási ellenőrzőlistája alapján. Finomhangolja a tervet, hogy a számítási feladat igazodjon a számítási feladathoz lefoglalt költségvetéshez. A tervezésnek a megfelelő Azure-képességeket kell használnia, figyelnie kell a beruházásokat, és meg kell találnia az optimalizálás lehetőségeit az idő függvényében.
Azonosítsa a számlája kiszámításához használt mérőszámokat: A mérők a fiókban (adatkapacitásban) tárolt adatok mennyiségének, valamint az adatok írásához és olvasásához végrehajtott műveletek számának és típusának nyomon követésére szolgálnak. Az opcionális funkciók, például a blobindex-címkék, a blobleltár, a változáscsatorna támogatása, a titkosítási hatókörök és az SSH-fájlátviteli protokoll (SFTP) használatához is vannak mérőszámok. További információ: Hogyan kell fizetnie a Blob Storage-ért.
Ismerje meg az egyes mérők árát: Ügyeljen arra, hogy a megfelelő díjszabási oldalt használja, és alkalmazza a megfelelő beállításokat az oldalon. További információ: Az egyes mérők egységárának megkeresése. Vegye figyelembe az egyes árakhoz társított műveletek számát. Az írási és olvasási műveletekhez kapcsolódó ár például 10 000 műveletre vonatkozik. Az egyes műveletek árának meghatározásához ossza el a felsorolt árat 10 000-sel.
A kapacitás és a műveletek költségeinek becslése: Az Azure díjkalkulátorával modellezheti az adattárolással, a bejövő forgalommal és a kimenő forgalommal kapcsolatos költségeket. Mezők használatával összehasonlíthatja a különböző régiókhoz, fióktípusokhoz, névtértípusokhoz és redundanciakonfigurációkhoz kapcsolódó költségeket. Bizonyos esetekben a Microsoft dokumentációjában elérhető mintaszámításokat és munkalapokat használhatja. Megbecsülheti például az adatok archiválásának költségeit, vagy megbecsülheti az AzCopy parancs blobok átvitelének költségét.
Válasszon egy számlázási modellt a kapacitáshoz: Értékelje ki, hogy a kötelezettségvállalásalapú modell használata költséghatékonyabb-e, mint a fogyasztásalapú modell használata. Ha nem biztos abban, hogy mekkora kapacitásra van szüksége, használatalapú modellel kezdheti, figyelheti a kapacitásmetrikákat, majd később kiértékelheti őket.
Válasszon egy fióktípust, egy redundanciaszintet és egy alapértelmezett hozzáférési szintet: Tárfiók létrehozásakor mindegyik beállításhoz meg kell adnia egy értéket. Minden érték hatással van a tranzakciós díjakra és a kapacitásdíjakra. A fióktípus kivételével ezek a beállítások a fiók létrehozása után módosíthatók.
Válassza ki a legköltséghatékonyabb alapértelmezett hozzáférési szintet: Ha nincs megadva szint az egyes blobfeltöltésekhez, a blobok az alapértelmezett hozzáférési szint beállításából következtetnek a hozzáférési szintjükre. A tárfiók alapértelmezett hozzáférési szintbeállításának módosítása a fiók összes olyan blobjára vonatkozik, amelyhez a hozzáférési szint nincs explicit módon beállítva. Ez a költség jelentős lehet, ha nagy számú blobot gyűjtött össze. A blobok hozzáférési szintjének módosítása című témakörben talál további információt arról, hogy a rétegváltás hogyan érinti az egyes meglévő blobokat.
Adatok feltöltése közvetlenül a legköltséghatékonyabb hozzáférési szintre: Ha például a fiók alapértelmezett hozzáférési rétegbeállítása gyakori, de archiválási célból tölt fel fájlokat, a feltöltési művelet részeként adjon meg egy hűvösebb réteget archívumként vagy hideg rétegként. A blobok feltöltése után életciklus-felügyeleti szabályzatokkal helyezheti át a blobokat a legköltséghatékonyabb szintekre a használati metrikák, például az utolsó elért idő alapján. A legoptimálisabb szint kiválasztása előre csökkentheti a költségeket. Ha módosítja a már feltöltött blokkblob szintjét, akkor a blob első feltöltésekor a kezdeti szintre kell fizetnie az írási költséget, majd a kívánt szintre kell fizetnie az írási költséget.
Rendelkezik egy tervvel az adat életciklusának kezelésére: Optimalizálja a tranzakciós és kapacitásköltségeket a hozzáférési szintek és az életciklus-kezelés előnyeinek kihasználásával. A ritkábban használt adatokat hűvösebb hozzáférési szintekre kell helyezni, míg a gyakran használt adatokat melegebb hozzáférési szintekre kell helyezni.
Döntse el, hogy mely funkciókra van szüksége: Egyes funkciók, például a verziószámozás és a blob helyreállítható törlése további tranzakciós és kapacitásköltségeket, valamint egyéb díjakat von maga után. Mindenképpen tekintse át a cikkek díjszabási és számlázási szakaszait, amelyek ismertetik ezeket a képességeket, amikor kiválasztja, hogy mely képességeket vegye fel a fiókjába.
Ha például engedélyezi a blobleltár funkciót, a beolvasott objektumok számáért kell fizetnie. Ha blobindexcímkéket használ, az indexcímkék számáért kell fizetnie. Ha engedélyezi az SFTP-támogatást, óránkénti díjat számítunk fel, még akkor is, ha nincsenek SFTP-átvitelek. Ha a funkció használata mellett dönt, győződjön meg arról, hogy a szolgáltatás le van tiltva, mert a fiók létrehozásakor egyes funkciók automatikusan engedélyezve vannak.
Védőkorlátok létrehozása: Költségvetések létrehozása előfizetések és erőforráscsoportok alapján. Szabályozási szabályzatok használatával korlátozhatja az erőforrástípusokat, konfigurációkat és helyeket. Emellett az RBAC használatával letilthatja azokat a műveleteket, amelyek túlköltekezéshez vezethetnek.
Költségek figyelése: Győződjön meg arról, hogy a költségek a költségvetésen belül maradnak, összehasonlítja a költségeket az előrejelzésekkel, és láthatja, hogy hol fordul elő a túlköltekezés. Az Azure Portal költségelemzési paneljén figyelheti a költségeket. Költségadatokat is exportálhat egy tárfiókba, és elemezheti az adatokat az Excel vagy a Power BI használatával.
Használat monitorozása: Folyamatosan monitorozza a használati mintákat, és észleli a nem használt vagy nem kihasznált fiókokat és tárolókat. A Storage insights használatával olyan identitásfiókokat használhat, amely nincs vagy kevés használatú. Engedélyezze a blobleltár-jelentéseket, és használjon olyan eszközöket, mint az Azure Databricks vagy az Azure Synapse Analytics és a Power BI a költségadatok elemzéséhez. Figyelje meg a kapacitás váratlan növekedését, ami azt jelezheti, hogy számos naplófájlt, blobverziót vagy helyreállíthatóan törölt blobot gyűjt. Stratégiát alakíthat ki az objektumok lejáró vagy költséghatékonyabb hozzáférési szintekre való átállítására. Tervvel rendelkezhet a lejáró objektumokról vagy az objektumok megfizethetőbb hozzáférési szintekre való áthelyezésről.
Ajánlások
Ajánlás | Juttatás |
---|---|
Csomagolja a kis fájlokat nagyobb fájlokba , mielőtt a magasabb szintre helyezené őket. Használhat fájlformátumokat, például TAR vagy ZIP formátumokat. | A hűvösebb rétegek magasabb adatátviteli költségekkel rendelkeznek. Ha kevesebb nagy fájlt szeretne használni, csökkentheti az adatátvitelhez szükséges műveletek számát. |
Standard prioritású rehidratálást használjon, ha blobokat rehidratál az archív tárolóból. Magas prioritású rehidratálást csak vészhelyzeti adat-visszaállítási helyzetekben használjon. További információ: Archivált blob rehidratálása online szintre | Az archív szint magas prioritású rehidratációja a normálnál magasabb számlákhoz vezethet. |
Csökkentse az erőforrásnaplók használatának költségeit a megfelelő naplótárolási hely kiválasztásával és a naplómegőrzési időszakok kezelésével. Ha csak alkalmanként tervezi lekérdezni a naplókat (például a megfelelőségi naplózás naplóinak lekérdezését), érdemes lehet erőforrásnaplókat küldeni egy tárfiókba ahelyett, hogy egy Azure Monitor-naplók munkaterületére küldené őket. A naplók elemzéséhez használhat kiszolgáló nélküli lekérdezési megoldást, például az Azure Synapse Analyticset. További információ: A ritkán használt lekérdezések költségeinek optimalizálása. A naplók törléséhez vagy archiválásához életciklus-kezelési szabályzatokat használhat. | Az erőforrásnaplók tárolása egy tárfiókban későbbi elemzés céljából olcsóbb megoldás lehet. Az életciklus-felügyeleti szabályzatok használata a tárfiókokban lévő naplómegőrzés kezeléséhez megakadályozza, hogy a naplófájlok nagy száma idővel létrejönjön, ami szükségtelen kapacitásköltségekhez vezethet. |
Ha engedélyezi a verziószámozást, használjon életciklus-kezelési szabályzatot a régi blobverziók automatikus törléséhez. | A blob minden írási művelete létrehoz egy új verziót. Ez növeli a kapacitás költségeit. A költségeket a már nem szükséges verziók eltávolításával ellenőrizheti. |
Ha engedélyezi a verziószámozást, helyezze a gyakran felülírt blobokat egy olyan fiókba, ahol nincs engedélyezve a verziószámozás. | Minden alkalommal, amikor felülír egy blobot, egy új verziót adnak hozzá, ami megnöveli a tárkapacitás díjait. A kapacitásköltségek csökkentése érdekében tárolja a gyakran felülírt adatokat egy külön tárfiókban, ahol a verziószámozás le van tiltva. |
Ha engedélyezi a helyreállítható törlést, helyezze a gyakran felülírt blobokat egy olyan fiókba, ahol nincs engedélyezve a helyreállítható törlés. Megőrzési időszakok beállítása. Érdemes lehet egy rövid megőrzési időszakkal kezdeni, hogy jobban megértse, hogyan befolyásolja a funkció a számláját. A minimálisan ajánlott megőrzési idő hét nap. | Minden alkalommal, amikor felülír egy blobot, létrejön egy új pillanatkép. A megnövekedett kapacitásköltségek oka nehezen érhető el, mert a pillanatképek létrehozása nem jelenik meg a naplókban. A kapacitásköltségek csökkentése érdekében tárolja a gyakran felülírt adatokat egy külön tárfiókban, ahol a helyreállítható törlés le van tiltva. A megőrzési időszak megakadályozza, hogy a helyreállíthatóan törölt blobok felboruljanak és hozzáadódjanak a kapacitás költségeihez. |
Csak akkor engedélyezze az SFTP-támogatást, ha az adatok átvitelére szolgál. | Az SFTP-végpont engedélyezése óránkénti költséggel jár. Az SFTP-támogatás átgondolt letiltásával, majd szükség szerint történő engedélyezésével elkerülheti, hogy passzív díjak keletkezzenek a fiókjában. |
Tiltsa le azokat a titkosítási hatóköröket, amelyekre nincs szükség a szükségtelen díjak elkerülése érdekében. | A titkosítási hatókörök havi díjat számítanak fel. |
Működésbeli kiválóság
Az operatív kiválóság elsősorban a fejlesztési gyakorlatokra, a megfigyelhetőségre és a kiadáskezelésre vonatkozó eljárásokra összpontosít.
Az Operational Excellence tervezési alapelvei magas szintű tervezési stratégiát biztosítanak a számítási feladatok működési követelményeihez kitűzött célok eléréséhez.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a Blob Storage-konfigurációhoz kapcsolódó megfigyelhetőségi, tesztelési és üzembe helyezési folyamatok meghatározásához az Operational Excellence tervezési felülvizsgálati ellenőrzőlistája alapján.
Karbantartási és vészhelyreállítási tervek létrehozása: Fontolja meg az adatvédelmi funkciókat, a biztonsági mentési és visszaállítási műveleteket, valamint a feladatátvételi eljárásokat. Készüljön fel a lehetséges adatvesztésre és adatkonzisztenciákra , valamint a feladatátvétel idejére és költségeire.
A tárfiók állapotának monitorozása: Storage Insights-irányítópultok létrehozása a rendelkezésre állási, teljesítmény- és rugalmassági metrikák monitorozásához. Állítson be riasztásokat a rendszer problémáinak azonosításához és kezeléséhez, mielőtt az ügyfelek észrevennénk őket. Diagnosztikai beállítások használatával irányíthatja az erőforrásnaplókat egy Azure Monitor Logs-munkaterületre. Ezután lekérdezheti a naplókat a riasztások mélyebb vizsgálatához.
Blobleltár-jelentések engedélyezése: A blobleltár-jelentések engedélyezése a tárfiók tartalmának megőrzési, jogi célú visszatartási vagy titkosítási állapotának áttekintéséhez. Blobleltár-jelentések használatával is megismerheti az adatok teljes adatméretét, életkorát, rétegeloszlását vagy egyéb attribútumait. Az olyan eszközök, mint az Azure Databricks vagy az Azure Synapse Analytics és a Power BI használata a leltáradatok jobb megjelenítéséhez és jelentések létrehozásához az érdekelt felek számára.
Blobokat törlő vagy költséghatékony hozzáférési szintekre áthelyező házirendek beállítása: Életciklus-felügyeleti szabályzat létrehozása kezdeti feltételekkel. A szabályzat automatikusan törli vagy beállítja a blobok hozzáférési szintjét a megadott feltételek alapján. A tárolóhasználat rendszeres elemzése monitorozási metrikák és blobleltár-jelentések használatával, hogy pontosítsa a feltételeket a költséghatékonyság optimalizálása érdekében.
Ajánlások
Ajánlás | Juttatás |
---|---|
Az infrastruktúra kódként (IaC) való használatával definiálhatja a tárfiókok részleteit az Azure Resource Manager-sablonokban (ARM-sablonok), a Bicepben vagy a Terraformban. | A meglévő DevOps-folyamatokkal új tárfiókokat helyezhet üzembe, és az Azure Policy használatával kikényszerítheti a konfigurációjukat. |
A Storage insights használatával nyomon követheti a tárfiókok állapotát és teljesítményét. A Storage Insights egységes képet nyújt az összes tárfiók hibáiról, teljesítményéről, rendelkezésre állásáról és kapacitásáról. | Nyomon követheti az egyes fiókok állapotát és működését. Egyszerűen létrehozhat irányítópultokat és jelentéseket, amelyekkel az érintettek nyomon követhetik a tárfiókok állapotát. |
Teljesítménybeli hatékonyság
A teljesítményhatékonyság a felhasználói élmény fenntartásáról szól , még akkor is, ha a kapacitás kezelésével növekszik a terhelés . A stratégia magában foglalja az erőforrások skálázását, a lehetséges szűk keresztmetszetek azonosítását és optimalizálását, valamint a csúcsteljesítmény optimalizálását.
A Teljesítményhatékonyság tervezési alapelvei magas szintű tervezési stratégiát biztosítanak ezeknek a kapacitáscéloknak a várt kihasználtsághoz való eléréséhez.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a teljesítményhatékonyság tervezési felülvizsgálati ellenőrzőlistája alapján. Definiáljon egy alapkonfigurációt, amely a Blob Storage-konfiguráció fő teljesítménymutatóin alapul.
Méretezési terv: A tárfiókok méretezési céljainak ismertetése.
Válassza ki az optimális tárfióktípust: Ha a számítási feladat magas tranzakciós arányt, kisebb objektumokat és következetesen alacsony tranzakciós késést igényel, fontolja meg a prémium szintű blokkblobtároló-fiókok használatát. A legtöbb esetben egy általános célú v2-fiók a legmegfelelőbb.
Az ügyfél és a kiszolgáló közötti utazási távolság csökkentése: Helyezze az adatokat az ügyfelekhez legközelebbi régiókban (ideális esetben ugyanabban a régióban). Optimalizáljon távoli régiókban lévő ügyfelekre objektumreplikációs vagy tartalomkézbesítési hálózat használatával. Az alapértelmezett hálózati konfigurációk biztosítják a legjobb teljesítményt. Csak a biztonság javítása érdekében módosítsa a hálózati beállításokat. A hálózati beállítások általában nem csökkentik az utazási távolságot, és nem javítják a teljesítményt.
Válasszon hatékony elnevezési sémát: Csökkentse a lista, lista, lekérdezés és olvasási műveletek késését a blobpartíciós kulcs (fiók, tároló, virtuális könyvtár vagy blobnév) elejéhez legközelebbi kivonatcímke-előtagok használatával. Ez a séma elsősorban azokat a fiókokat használja, amelyek egysíkú névtérrel rendelkeznek.
Az adatügyfélszámítógépek teljesítményének optimalizálása: Válassza ki a számítási feladatok adatméretének, átviteli gyakoriságának és sávszélességének leginkább megfelelő adatátviteli eszközt . Egyes eszközök, például az AzCopy teljesítményre vannak optimalizálva, és kevés beavatkozást igényelnek. Tekintse át a késést befolyásoló tényezőket, és finomhangolja a teljesítményt az egyes eszközökkel közzétett teljesítményoptimalizálási útmutató áttekintésével.
Optimalizálja az egyéni kód teljesítményét: Fontolja meg a Storage SDK-k használatát ahelyett, hogy saját burkolókat hoz létre a blob REST-műveletekhez. Az Azure SDK-k teljesítményre vannak optimalizálva, és mechanizmusokat biztosítanak a teljesítmény finomhangolásához. Alkalmazás létrehozása előtt tekintse át a Blob Storage teljesítmény- és méretezhetőségi ellenőrzőlistát. Fontolja meg a lekérdezésgyorsítás használatát a nem kívánt adatok kiszűréséhez a tárolási kérelem során, és tartsa távol az ügyfeleket attól, hogy szükségtelenül továbbítson adatokat a hálózaton.
Teljesítményadatok gyűjtése: A tárfiók figyelése a szabályozásból eredő teljesítménybeli szűk keresztmetszetek azonosításához. További információ: A tárolási szolgáltatás monitorozása a Storage-elemzések monitorozásával. Használjon metrikákat és naplókat is. A metrikák számokat, például szabályozási hibákat biztosítanak. A naplók a tevékenységet írják le. Ha szabályozási metrikákat lát, naplókkal azonoshatja, hogy mely ügyfelek kapnak szabályozási hibákat. További információ: Adatsík-műveletek naplózása.
Ajánlások
Ajánlás | Juttatás |
---|---|
Tárfiókok kiépítése ugyanabban a régióban, ahol a függő erőforrásokat helyezik el. Az Azure-ban nem üzemeltetett alkalmazások, például mobileszköz-alkalmazások vagy helyszíni nagyvállalati szolgáltatások esetén keresse meg a tárfiókot az ügyfelekhez közelebbi régióban. További információkért tekintse meg az Azure földrajzi helyeit. Ha egy másik régióból származó ügyfeleknek nincs szükségük ugyanazokra az adatokra, hozzon létre egy külön fiókot minden régióban. Ha egy másik régióból származó ügyfeleknek csak néhány adatra van szükségük, érdemes lehet objektumreplikációs szabályzatot használni a releváns objektumok aszinkron másolásához a másik régióban lévő tárfiókba. |
A tárfiók és a virtuális gépek, szolgáltatások és helyszíni ügyfelek közötti fizikai távolság csökkentése javíthatja a teljesítményt és csökkentheti a hálózati késést. A fizikai távolság csökkentése az Azure-ban üzemeltetett alkalmazások költségeit is csökkenti, mivel az egyetlen régión belüli sávszélesség-használat ingyenes. |
A webes ügyfelek széles körű felhasználása érdekében (video-, hang- vagy statikus webhelytartalmak streamelésével) érdemes lehet tartalomkézbesítési hálózatot használni az Azure Front Dooron keresztül. | A tartalom gyorsabban jut el az ügyfelekhez, mert a Microsoft globális peremhálózatát használja globális és helyi jelenléti pontok százaival világszerte. |
A blob partíciókulcsában a lehető leghamarabb adjon hozzá egy kivonat karaktersorozatot (például három számjegyet). A partíciókulcs a fiók neve, a tároló neve, a virtuális könyvtár neve és a blob neve. Ha időbélyegeket szeretne használni a nevekben, fontolja meg egy másodperces érték hozzáadását a bélyeg elejéhez. További információ: Particionálás. | A partíciókulcs elejéhez legközelebbi kivonatkód vagy másodpercérték használata csökkenti a lekérdezések listázásához és a blobok olvasásához szükséges időt. |
Blobok vagy blokkok feltöltésekor használjon 256 KiB-nél nagyobb blobot vagy blokkméretet. | A 256 KiB feletti blob- vagy blokkméretek kihasználják a platform teljesítménybeli fejlesztéseit, kifejezetten nagyobb blobok és blokkméretek esetén. |
Azure-szabályzatok
Az Azure a Blob Storage-hoz és annak függőségeihez kapcsolódó beépített szabályzatok széles halmazát biztosítja. Az előző javaslatok némelyike az Azure-szabályzatok segítségével naplózható. Például ellenőrizheti, hogy:
- A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés nincs engedélyezve.
- A Blob Storage diagnosztikai beállításai úgy vannak beállítva, hogy erőforrásnaplókat streameljenek egy Azure Monitor Logs-munkaterületre.
- Csak a biztonságos kapcsolatoktól (HTTPS) érkező kérések fogadhatók el.
- Engedélyezve van a közös hozzáférésű jogosultságkód lejárati szabályzata.
- A bérlők közötti objektumreplikálás le van tiltva.
- A megosztott kulcs engedélyezése le van tiltva.
- A rendszer hálózati tűzfalszabályokat alkalmaz a fiókra.
Az átfogó szabályozáshoz tekintse át a Storage beépített Azure Policy-definícióit és a számítási réteg biztonságát esetleg befolyásoló egyéb szabályzatokat.
Azure Advisor-javaslatok
Az Azure Advisor egy személyre szabott felhőtanácsadó, amely segít az Ajánlott eljárások követésében az Azure-üzemelő példányok optimalizálása érdekében. Íme néhány javaslat, amely segíthet a Blob Storage megbízhatóságának, biztonságának, költséghatékonyságának, teljesítményének és működési kiválóságának javításában.
Következő lépés
A Blob Storage-ról további információt a Blob Storage dokumentációjában talál.