Perspektif Azure Well-Architected Framework di Azure Blob Storage
Azure Blob Storage adalah solusi penyimpanan objek Microsoft untuk cloud. Penyimpanan Blob dioptimalkan untuk menyimpan sebagian besar data yang tidak terstruktur. Data tidak terstruktur adalah data yang tidak mematuhi model atau definisi data tertentu, seperti data teks atau biner.
Artikel ini mengasumsikan bahwa sebagai arsitek, Anda meninjau opsi penyimpanan Anda dan memilih Blob Storage sebagai layanan penyimpanan untuk menjalankan beban kerja Anda. Panduan dalam artikel ini memberikan rekomendasi arsitektur yang dipetakan ke prinsip pilar Azure Well-Architected Framework.
Penting
Cara menggunakan panduan ini
Setiap bagian memiliki daftar periksa desain yang menyajikan area arsitektur yang menjadi perhatian bersama dengan strategi desain.
Juga termasuk rekomendasi tentang kemampuan teknologi yang dapat membantu menerapkan strategi tersebut. Rekomendasi tidak mewakili daftar lengkap semua konfigurasi yang tersedia untuk Blob Storage dan dependensinya. Sebaliknya, mereka mencantumkan rekomendasi utama yang dipetakan ke perspektif desain. Gunakan rekomendasi untuk membangun bukti konsep Anda atau mengoptimalkan lingkungan Anda yang ada.
Keandalan
Tujuan pilar Keandalan adalah untuk memberikan fungsionalitas berkelanjutan dengan membangun ketahanan yang cukup dan kemampuan untuk memulihkan dengan cepat dari kegagalan.
Prinsip desain Keandalan menyediakan strategi desain tingkat tinggi yang diterapkan untuk komponen individu, alur sistem, dan sistem secara keseluruhan.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Keandalan.
Gunakan analisis mode kegagalan: Minimalkan titik kegagalan dengan mempertimbangkan dependensi internal seperti ketersediaan jaringan virtual, Azure Key Vault, atau Azure Content Delivery Network atau titik akhir Azure Front Door. Kegagalan dapat terjadi jika kredensial yang diperlukan oleh beban kerja untuk mengakses Blob Storage hilang dari Key Vault, atau jika beban kerja menggunakan titik akhir berdasarkan jaringan pengiriman konten yang dihapus. Dalam kasus ini, beban kerja mungkin perlu menggunakan titik akhir alternatif untuk menyambungkan. Untuk informasi umum tentang analisis mode kegagalan, lihat Rekomendasi untuk melakukan analisis mode kegagalan.
Tentukan target keandalan dan pemulihan: Tinjau perjanjian tingkat layanan (SLA) Azure. Dapatkan tujuan tingkat layanan (SLO) untuk akun penyimpanan. Misalnya, SLO mungkin dipengaruhi oleh konfigurasi redundansi yang Anda pilih. Pertimbangkan efek pemadaman regional, potensi kehilangan data, dan waktu yang diperlukan untuk memulihkan akses setelah pemadaman. Pertimbangkan juga ketersediaan dependensi internal apa pun yang Anda identifikasi sebagai bagian dari analisis mode kegagalan Anda.
Mengonfigurasi redundansi data: Untuk durabilitas maksimum, pilih konfigurasi yang menyalin data di seluruh zona ketersediaan atau wilayah global. Untuk ketersediaan maksimum, pilih konfigurasi yang memungkinkan klien membaca data dari wilayah sekunder selama pemadaman wilayah utama.
Merancang aplikasi: Merancang aplikasi untuk beralih dengan mulus ke membaca data dari wilayah sekunder jika wilayah utama menjadi tidak tersedia karena alasan apa pun. Ini hanya berlaku untuk konfigurasi penyimpanan geo-redundan (GRS) dan penyimpanan geo-zona-redundan (GZRS). Merancang aplikasi untuk menangani pemadaman mengurangi waktu henti bagi pengguna akhir.
Jelajahi fitur untuk membantu Anda memenuhi target pemulihan: Buat blob dapat dipulihkan sehingga dapat dipulihkan jika rusak, diedit, atau dihapus secara tidak sengaja.
Membuat rencana pemulihan: Pertimbangkan fitur perlindungan data, operasi pencadangan dan pemulihan, atau prosedur failover. Bersiaplah untuk potensi kehilangan data dan inkonsistensi data serta waktu dan biaya failover. Untuk informasi selengkapnya, lihat Rekomendasi untuk merancang strategi pemulihan bencana.
Pantau potensi masalah ketersediaan: Berlangganan dasbor Azure Service Health untuk memantau potensi masalah ketersediaan. Gunakan metrik penyimpanan di Azure Monitor dan log diagnostik untuk menyelidiki pemberitahuan.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Konfigurasikan akun Anda untuk redundansi. Untuk ketersediaan dan durabilitas maksimum, konfigurasikan akun Anda dengan menggunakan penyimpanan zona redundan (ZRS) atau GZRS. |
Redundansi melindungi data Anda dari kegagalan tak terduga. Opsi konfigurasi ZRS dan GZRS mereplikasi di berbagai zona ketersediaan dan memungkinkan aplikasi untuk terus membaca data selama pemadaman. Untuk informasi selengkapnya, lihat Durabilitas dan ketersediaan berdasarkan skenario pemadaman dan Parameter durabilitas dan ketersediaan. |
| Sebelum memulai failover atau failback, evaluasi potensi kehilangan data dengan memeriksa nilai properti waktu sinkronisasi terakhir. Rekomendasi ini hanya berlaku untuk konfigurasi GRS dan GZRS. | Properti ini membantu Anda memperkirakan berapa banyak data yang mungkin Anda kehilangan dengan memulai failover akun. Semua data dan metadata yang ditulis sebelum waktu sinkronisasi terakhir tersedia di wilayah sekunder, tetapi data dan metadata yang ditulis setelah waktu sinkronisasi terakhir mungkin hilang karena tidak ditulis ke wilayah sekunder. |
| Sebagai bagian dari strategi pencadangan dan pemulihan Anda, aktifkan opsi penghapusan sementara kontainer, penghapusan sementara blob, penerapan versi, dan pemulihan point-in-time. | Opsi penghapusan sementara memungkinkan akun penyimpanan memulihkan kontainer dan blob yang dihapus. Opsi penerapan versi secara otomatis melacak perubahan yang dilakukan pada blob. Opsi ini memungkinkan Anda memulihkan blob ke status sebelumnya. Opsi pemulihan point-in-time melindungi dari penghapusan atau kerusakan blob yang tidak disengaja dan memungkinkan Anda memulihkan data blob blok ke status sebelumnya. Untuk informasi selengkapnya, lihat Gambaran umum perlindungan data. |
Keamanan
Tujuan pilar Keamanan adalah untuk memberikan jaminan kerahasiaan, integritas, dan ketersediaan terhadap beban kerja.
Prinsip desain Keamanan menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dengan menerapkan pendekatan pada desain teknis konfigurasi Blob Storage Anda.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Keamanan. Identifikasi kerentanan dan kontrol untuk meningkatkan postur keamanan. Perluas strategi untuk menyertakan lebih banyak pendekatan sesuai kebutuhan.
Tinjau garis besar keamanan untuk Azure Storage: Untuk memulai, pertama-tama tinjau garis besar keamanan untuk Storage.
Gunakan kontrol jaringan untuk membatasi lalu lintas masuk dan keluar: Nonaktifkan semua lalu lintas publik ke akun penyimpanan. Gunakan kontrol jaringan akun untuk memberikan tingkat akses minimal yang diperlukan oleh pengguna dan aplikasi. Untuk informasi selengkapnya, lihat Cara mendekati keamanan jaringan untuk akun penyimpanan Anda.
Mengurangi permukaan serangan: Mencegah akses anonim, akses kunci akun, atau akses melalui koneksi non-aman (HTTP) dapat mengurangi permukaan serangan. Mengharuskan klien untuk mengirim dan menerima data dengan menggunakan versi terbaru protokol Keamanan Lapisan Transportasi (TLS).
Otorisasi akses tanpa menggunakan kata sandi atau kunci: ID Microsoft Entra memberikan keamanan yang unggul dan kemudahan penggunaan dibandingkan dengan kunci bersama dan tanda tangan akses bersama. Berikan prinsip keamanan hanya izin yang diperlukan bagi mereka untuk melakukan tugas mereka.
Lindungi informasi sensitif: Lindungi informasi sensitif seperti kunci akun dan token tanda tangan akses bersama. Meskipun bentuk otorisasi ini umumnya tidak disarankan, Anda harus memastikan untuk memutar, kedaluwarsa, dan menyimpannya dengan aman.
Aktifkan opsi transfer aman yang diperlukan: Mengaktifkan pengaturan ini untuk semua akun penyimpanan Anda memastikan bahwa semua permintaan yang dibuat terhadap akun penyimpanan harus dilakukan melalui koneksi yang aman. Setiap permintaan yang dibuat melalui HTTP gagal.
Lindungi objek penting: Terapkan kebijakan kekekalan untuk melindungi objek penting. Kebijakan melindungi blob yang disimpan untuk tujuan hukum, kepatuhan, atau bisnis lainnya agar tidak dimodifikasi atau dihapus. Konfigurasikan penangguhan untuk periode waktu yang ditetapkan atau hingga pembatasan dicabut oleh administrator.
Mendeteksi ancaman: Aktifkan Pertahanan Microsoft untuk Penyimpanan untuk mendeteksi ancaman. Peringatan keamanan dipicu ketika terjadi anomali dalam aktivitas. Pemberitahuan memberi tahu administrator langganan melalui email dengan detail aktivitas dan rekomendasi yang mencurigakan tentang cara menyelidiki dan memulihkan ancaman.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Nonaktifkan akses baca anonim ke kontainer dan blob. | Saat akses anonim diizinkan untuk akun penyimpanan, pengguna yang memiliki izin yang sesuai dapat mengubah pengaturan akses anonim kontainer untuk mengaktifkan akses anonim ke data dalam kontainer tersebut. |
| Terapkan kunci Azure Resource Manager pada akun penyimpanan. | Mengunci akun mencegahnya dihapus dan menyebabkan kehilangan data. |
| Nonaktifkan lalu lintas ke titik akhir publik akun penyimpanan Anda. Buat titik akhir privat untuk klien yang berjalan di Azure. Aktifkan titik akhir publik hanya jika klien dan layanan eksternal Azure memerlukan akses langsung ke akun penyimpanan Anda. Aktifkan aturan firewall yang membatasi akses ke jaringan virtual tertentu. | Mulailah dengan akses nol dan kemudian secara bertahap mengotorisasi tingkat akses terendah yang diperlukan bagi klien dan layanan untuk meminimalkan risiko pembuatan bukaan yang tidak perlu bagi penyerang. |
| Otorisasi akses dengan menggunakan kontrol akses berbasis peran Azure (RBAC). | Dengan RBAC, tidak ada kata sandi atau kunci yang dapat disusupi. Prinsip keamanan (pengguna, grup, identitas terkelola, atau perwakilan layanan) diautentikasi oleh ID Microsoft Entra untuk mengembalikan token OAuth 2.0. Token digunakan untuk mengotorisasi permintaan terhadap layanan Blob Storage. |
| Melarang otorisasi kunci bersama. Ini tidak hanya menonaktifkan akses kunci akun tetapi juga token tanda tangan akses bersama layanan dan akun karena didasarkan pada kunci akun. | Hanya permintaan aman yang diotorisasi dengan ID Microsoft Entra yang diizinkan. |
| Kami menyarankan agar Anda tidak menggunakan kunci akun. Jika Anda harus menggunakan kunci akun, simpan di Key Vault, dan pastikan Anda meregenerasinya secara berkala. | Key Vault memungkinkan Anda mengambil kunci saat runtime, alih-alih menyimpannya dengan menggunakan aplikasi Anda. Key Vault juga memudahkan untuk memutar kunci Anda tanpa gangguan pada aplikasi Anda. Memutar kunci akun secara berkala mengurangi risiko mengekspos data Anda ke serangan berbahaya. |
| Kami menyarankan agar Anda tidak menggunakan token tanda tangan akses bersama. Evaluasi apakah Anda memerlukan token tanda tangan akses bersama untuk mengamankan akses ke sumber daya Blob Storage. Jika Anda harus membuatnya, tinjau daftar praktik terbaik tanda tangan akses bersama ini sebelum Anda membuat dan mendistribusikannya. | Praktik terbaik dapat membantu Anda mencegah token tanda tangan akses bersama bocor dan dengan cepat pulih jika kebocoran terjadi. |
| Konfigurasikan akun penyimpanan Anda sehingga klien dapat mengirim dan menerima data dengan menggunakan versi minimum TLS 1.2. | TLS 1.2 lebih aman dan lebih cepat daripada TLS 1.0 dan 1.1, yang tidak mendukung algoritma kriptografi modern dan suite sandi. |
| Pertimbangkan untuk menggunakan kunci enkripsi Anda sendiri untuk melindungi data di akun penyimpanan Anda. Untuk informasi selengkapnya, lihat Kunci yang dikelola pelanggan untuk enkripsi Azure Storage. | Kunci yang dikelola pelanggan memberikan fleksibilitas dan kontrol yang lebih besar. Misalnya, Anda dapat menyimpan kunci enkripsi di Key Vault dan memutarnya secara otomatis. |
Pengoptimalan Biaya
Pengoptimalan Biaya berfokus pada mendeteksi pola pengeluaran, memprioritaskan investasi di area penting, dan mengoptimalkan orang lain untuk memenuhi anggaran organisasi dan persyaratan bisnis.
Prinsip desain Pengoptimalan Biaya menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dan membuat tradeoff seperlunya dalam desain teknis yang terkait dengan Blob Storage dan lingkungannya.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Pengoptimalan Biaya untuk investasi. Sesuaikan desain sehingga beban kerja selaras dengan anggaran yang dialokasikan untuk beban kerja. Desain Anda harus menggunakan kemampuan Azure yang tepat, memantau investasi, dan menemukan peluang untuk dioptimalkan dari waktu ke waktu.
Identifikasi meteran yang digunakan untuk menghitung tagihan Anda: Meter digunakan untuk melacak jumlah data yang disimpan dalam akun (kapasitas data) dan jumlah dan jenis operasi yang dilakukan untuk menulis dan membaca data. Ada juga meteran yang terkait dengan penggunaan fitur opsional seperti tag indeks blob, inventori blob, dukungan umpan perubahan, cakupan enkripsi, dan dukungan SSH File Transfer Protocol (SFTP). Untuk informasi selengkapnya, lihat Cara Anda ditagih untuk Blob Storage.
Pahami harga setiap meter: Pastikan untuk menggunakan halaman harga yang sesuai dan terapkan pengaturan yang sesuai di halaman tersebut. Untuk informasi selengkapnya, lihat Menemukan harga satuan untuk setiap meter. Pertimbangkan jumlah operasi yang terkait dengan setiap harga. Misalnya, harga yang terkait dengan operasi tulis dan baca berlaku untuk 10.000 operasi. Untuk menentukan harga operasi individu, bagi harga yang tercantum dengan 10.000.
Perkirakan biaya kapasitas dan operasi: Anda dapat memodelkan biaya yang terkait dengan penyimpanan data, ingress, dan egress dengan menggunakan kalkulator harga Azure. Gunakan bidang untuk membandingkan biaya yang terkait dengan berbagai wilayah, jenis akun, jenis namespace, dan konfigurasi redundansi. Untuk skenario tertentu, Anda bisa menggunakan sampel perhitungan dan lembar kerja yang tersedia dalam dokumentasi Microsoft. Misalnya, Anda dapat memperkirakan biaya pengarsipan data atau memperkirakan biaya penggunaan perintah AzCopy untuk mentransfer blob.
Pilih model penagihan untuk kapasitas: Mengevaluasi apakah menggunakan model berbasis komitmen lebih hemat biaya daripada menggunakan model berbasis konsumsi. Jika Anda tidak yakin tentang berapa banyak kapasitas yang Anda butuhkan, Anda dapat memulai dengan model berbasis konsumsi, memantau metrik kapasitas, lalu mengevaluasi nanti.
Pilih jenis akun, tingkat redundansi, dan tingkat akses default: Anda harus memilih nilai untuk setiap pengaturan ini saat membuat akun penyimpanan. Semua nilai memengaruhi biaya transaksi dan biaya kapasitas. Semua pengaturan ini kecuali untuk jenis akun dapat diubah setelah akun dibuat.
Pilih tingkat akses default yang paling hemat biaya: Kecuali tingkat ditentukan dengan setiap unggahan blob, blob menyimpulkan tingkat aksesnya dari pengaturan tingkat akses default. Perubahan pada pengaturan tingkat akses default akun penyimpanan berlaku untuk semua blob di akun yang tingkat aksesnya belum diatur secara eksplisit. Biaya ini bisa signifikan jika Anda telah mengumpulkan sejumlah besar blob. Untuk informasi selengkapnya tentang bagaimana perubahan tingkat memengaruhi setiap blob yang ada, lihat Mengubah tingkat akses blob.
Mengunggah data langsung ke tingkat akses yang paling hemat biaya: Misalnya, jika pengaturan tingkat akses default akun Anda panas, tetapi Anda mengunggah file untuk tujuan pengarsipan, tentukan tingkat yang lebih dingin sebagai arsip atau tingkat dingin sebagai bagian dari operasi pengunggahan Anda. Setelah mengunggah blob, gunakan kebijakan manajemen siklus hidup untuk memindahkan blob ke tingkat yang paling hemat biaya berdasarkan metrik penggunaan seperti waktu terakhir yang diakses. Memilih tingkat paling optimal di muka dapat mengurangi biaya. Jika Anda mengubah tingkat blob blok yang sudah Anda unggah, maka Anda membayar biaya penulisan ke tingkat awal ketika Anda pertama kali mengunggah blob, dan kemudian membayar biaya penulisan ke tingkat yang diinginkan.
Memiliki rencana untuk mengelola siklus hidup data: Mengoptimalkan biaya transaksi dan kapasitas dengan memanfaatkan tingkat akses dan manajemen siklus hidup. Data yang digunakan lebih jarang harus ditempatkan di tingkat akses yang lebih dingin sementara data yang sering diakses harus ditempatkan di tingkat akses yang lebih hangat.
Tentukan fitur mana yang Anda butuhkan: Beberapa fitur seperti penerapan versi dan penghapusan sementara blob dikenakan biaya transaksi dan kapasitas tambahan serta biaya lainnya. Pastikan untuk meninjau bagian harga dan penagihan dalam artikel yang menjelaskan kemampuan tersebut saat Anda memilih kemampuan mana yang akan ditambahkan ke akun Anda.
Misalnya, jika Anda mengaktifkan fitur inventori blob, Anda akan ditagih untuk jumlah objek yang dipindai. Jika Anda menggunakan tag indeks blob, Anda akan ditagih untuk jumlah tag indeks. Jika Anda mengaktifkan dukungan SFTP, Anda akan ditagih biaya per jam, meskipun tidak ada transfer SFTP. Jika Anda memutuskan untuk tidak menggunakan fitur, konfirmasikan bahwa fitur dinonaktifkan karena beberapa fitur diaktifkan secara otomatis saat Anda membuat akun.
Membuat pagar pembatas: Membuat anggaran berdasarkan langganan dan grup sumber daya. Gunakan kebijakan tata kelola untuk membatasi jenis sumber daya, konfigurasi, dan lokasi. Selain itu, gunakan RBAC untuk memblokir tindakan yang dapat menyebabkan pengeluaran berlebih.
Memantau biaya: Pastikan biaya tetap dalam anggaran, bandingkan biaya dengan prakiraan, dan lihat di mana pengeluaran berlebihan terjadi. Anda dapat menggunakan panel analisis biaya di portal Azure untuk memantau biaya. Anda juga dapat mengekspor data biaya ke akun penyimpanan dan menganalisis data tersebut dengan menggunakan Excel atau Power BI.
Memantau penggunaan: Terus memantau pola penggunaan dan mendeteksi akun dan kontainer yang tidak digunakan atau kurang digunakan. Gunakan Wawasan Penyimpanan untuk akun identitas tanpa penggunaan atau rendah. Aktifkan laporan inventori blob, dan gunakan alat seperti Azure Databricks atau Azure Synapse Analytics dan Power BI untuk menganalisis data biaya. Perhatikan peningkatan kapasitas yang tidak terduga, yang mungkin menunjukkan bahwa Anda mengumpulkan banyak file log, versi blob, atau blob yang dihapus sementara. Kembangkan strategi untuk kedaluwarsa atau transisi objek ke tingkat akses yang lebih hemat biaya. Memiliki rencana untuk kedaluwarsa objek atau memindahkan objek ke tingkat akses yang lebih terjangkau.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Kemas file kecil ke dalam file yang lebih besar sebelum memindahkannya ke tingkat yang lebih dingin. Anda dapat menggunakan format file seperti TAR atau ZIP. | Tingkat yang lebih dingin memiliki biaya transfer data yang lebih tinggi. Dengan memiliki lebih sedikit file besar, Anda dapat mengurangi jumlah operasi yang diperlukan untuk mentransfer data. |
| Gunakan rehidrasi prioritas standar saat merehidrasi blob dari penyimpanan arsip. Gunakan rehidrasi prioritas tinggi hanya untuk situasi pemulihan data darurat. Untuk informasi selengkapnya, lihat Merehidrasi blob yang diarsipkan ke tingkat online | Rehidrasi prioritas tinggi dari tingkat arsip dapat menyebabkan tagihan yang lebih tinggi dari biasanya. |
| Kurangi biaya penggunaan log sumber daya dengan memilih lokasi penyimpanan log yang sesuai dan dengan mengelola periode retensi log. Jika Anda hanya berencana untuk mengkueri log sesekali (misalnya, mengkueri log untuk audit kepatuhan), pertimbangkan untuk mengirim log sumber daya ke akun penyimpanan alih-alih mengirimnya ke ruang kerja Log Azure Monitor. Anda dapat menggunakan solusi kueri tanpa server seperti Azure Synapse Analytics untuk menganalisis log. Untuk informasi selengkapnya, lihat Mengoptimalkan biaya untuk kueri yang jarang. Gunakan kebijakan manajemen siklus hidup untuk menghapus atau mengarsipkan log. | Menyimpan log sumber daya di akun penyimpanan untuk analisis nanti dapat menjadi opsi yang lebih murah. Menggunakan kebijakan manajemen siklus hidup untuk mengelola retensi log di akun penyimpanan mencegah sejumlah besar file log yang dibangun dari waktu ke waktu, yang dapat menyebabkan biaya kapasitas yang tidak perlu. |
| Jika Anda mengaktifkan penerapan versi, gunakan kebijakan manajemen siklus hidup untuk menghapus versi blob lama secara otomatis. | Setiap operasi tulis ke blob membuat versi baru. Ini meningkatkan biaya kapasitas. Anda dapat menjaga biaya tetap terjaga dengan menghapus versi yang tidak lagi Anda butuhkan. |
| Jika Anda mengaktifkan penerapan versi, tempatkan blob yang sering ditimpa ke akun yang tidak mengaktifkan penerapan versi. | Setiap kali blob ditimpa, versi baru ditambahkan yang menyebabkan peningkatan biaya kapasitas penyimpanan. Untuk mengurangi biaya kapasitas, simpan data yang sering ditimpa di akun penyimpanan terpisah dengan penerapan versi dinonaktifkan. |
| Jika Anda mengaktifkan penghapusan sementara, tempatkan blob yang sering ditimpa ke akun yang tidak mengaktifkan penghapusan sementara. Atur periode retensi. Pertimbangkan untuk memulai dengan periode retensi singkat untuk lebih memahami bagaimana fitur tersebut memengaruhi tagihan Anda. Periode retensi minimum yang direkomendasikan adalah tujuh hari. | Setiap kali blob ditimpa, rekam jepret baru dibuat. Penyebab peningkatan biaya kapasitas mungkin sulit diakses karena pembuatan rekam jepret ini tidak muncul di log. Untuk mengurangi biaya kapasitas, simpan data yang sering ditimpa di akun penyimpanan terpisah dengan penghapusan sementara dinonaktifkan. Periode retensi membuat blob yang dihapus sementara tidak menumpuk dan menambah biaya kapasitas. |
| Aktifkan dukungan SFTP hanya saat digunakan untuk mentransfer data. | Mengaktifkan titik akhir SFTP dikenakan biaya per jam. Dengan menonaktifkan dukungan SFTP dengan cermat, dan kemudian mengaktifkannya sesuai kebutuhan, Anda dapat menghindari biaya pasif dari akumulasi di akun Anda. |
| Nonaktifkan cakupan enkripsi apa pun yang tidak diperlukan untuk menghindari biaya yang tidak perlu. | Cakupan enkripsi dikenakan biaya per bulan. |
Keunggulan Operasional
Keunggulan Operasional terutama berfokus pada prosedur untuk praktik pengembangan, pengamatan, dan manajemen rilis.
Prinsip desain Keunggulan Operasional menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut untuk persyaratan operasional beban kerja.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Keunggulan Operasional untuk menentukan proses untuk pengamatan, pengujian, dan penyebaran yang terkait dengan konfigurasi Blob Storage Anda.
Membuat rencana pemeliharaan dan pemulihan darurat: Pertimbangkan fitur perlindungan data, operasi pencadangan dan pemulihan, dan prosedur failover. Bersiaplah untuk potensi kehilangan data dan inkonsistensi data serta waktu dan biaya failover.
Memantau kesehatan akun penyimpanan Anda: Buat dasbor wawasan Penyimpanan untuk memantau metrik ketersediaan, performa, dan ketahanan. Siapkan pemberitahuan untuk mengidentifikasi dan mengatasi masalah di sistem Anda sebelum pelanggan Anda memperhatikannya. Gunakan pengaturan diagnostik untuk merutekan log sumber daya ke ruang kerja Log Azure Monitor. Kemudian Anda dapat mengkueri log untuk menyelidiki pemberitahuan lebih dalam.
Aktifkan laporan inventarisasi blob: Aktifkan laporan inventarisasi blob untuk meninjau status retensi, penahanan legal, atau enkripsi konten akun penyimpanan Anda. Anda juga dapat menggunakan laporan inventori blob untuk memahami ukuran data total, usia, distribusi tingkat, atau atribut data Anda lainnya. Gunakan alat seperti Azure Databricks atau Azure Synapse Analytics dan Power BI untuk memvisualisasikan data inventarisasi dengan lebih baik dan membuat laporan bagi pemangku kepentingan.
Siapkan kebijakan yang menghapus blob atau memindahkannya ke tingkat akses hemat biaya: Buat kebijakan manajemen siklus hidup dengan serangkaian kondisi awal. Kebijakan berjalan secara otomatis menghapus atau mengatur tingkat akses blob berdasarkan kondisi yang Anda tentukan. Analisis penggunaan kontainer secara berkala dengan menggunakan metrik Monitor dan laporan inventarisasi blob sehingga Anda dapat menyempurnakan kondisi untuk mengoptimalkan efisiensi biaya.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Gunakan infrastruktur sebagai kode (IaC) untuk menentukan detail akun penyimpanan Anda di templat Azure Resource Manager (templat ARM), Bicep, atau Terraform. | Anda dapat menggunakan proses DevOps yang ada untuk menyebarkan akun penyimpanan baru, dan menggunakan Azure Policy untuk menerapkan konfigurasinya. |
| Gunakan Wawasan Penyimpanan untuk melacak kesehatan dan performa akun penyimpanan Anda. Wawasan penyimpanan memberikan tampilan terpadu tentang kegagalan, performa, ketersediaan, dan kapasitas untuk semua akun penyimpanan Anda. | Anda dapat melacak kesehatan dan pengoperasian setiap akun Anda. Buat dasbor dan laporan yang dapat digunakan pemangku kepentingan dengan mudah untuk melacak kesehatan akun penyimpanan Anda. |
Efisiensi Performa
Efisiensi Performa adalah tentang mempertahankan pengalaman pengguna bahkan ketika ada peningkatan beban dengan mengelola kapasitas. Strategi ini mencakup penskalaan sumber daya, mengidentifikasi dan mengoptimalkan potensi hambatan, dan mengoptimalkan performa puncak.
Prinsip desain Efisiensi Performa menyediakan strategi desain tingkat tinggi untuk mencapai tujuan kapasitas tersebut terhadap penggunaan yang diharapkan.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Efisiensi Performa. Tentukan garis besar yang didasarkan pada indikator performa utama untuk konfigurasi Blob Storage Anda.
Rencanakan untuk skala: Pahami target skala untuk akun penyimpanan.
Pilih jenis akun penyimpanan yang optimal: Jika beban kerja Anda memerlukan tingkat transaksi yang tinggi, objek yang lebih kecil, dan latensi transaksi yang rendah secara konsisten, maka pertimbangkan untuk menggunakan akun penyimpanan blob blok premium. Akun v2 tujuan umum standar paling tepat dalam banyak kasus.
Kurangi jarak perjalanan antara klien dan server: Tempatkan data di wilayah terdekat dengan menghubungkan klien (idealnya di wilayah yang sama). Optimalkan untuk klien di wilayah yang jauh dengan menggunakan replikasi objek atau jaringan pengiriman konten. Konfigurasi jaringan default memberikan performa terbaik. Ubah setelan jaringan hanya untuk meningkatkan keamanan. Secara umum, pengaturan jaringan tidak mengurangi jarak perjalanan dan tidak meningkatkan performa.
Pilih skema penamaan yang efisien: Kurangi latensi operasi daftar, daftar, kueri, dan baca dengan menggunakan awalan tag hash terdekat dengan awal kunci partisi blob (akun, kontainer, direktori virtual, atau nama blob). Skema ini sebagian besar menguntungkan akun yang memiliki namespace datar.
Mengoptimalkan performa klien data: Pilih alat transfer data yang paling sesuai untuk ukuran data, frekuensi transfer, dan bandwidth beban kerja Anda. Beberapa alat seperti AzCopy dioptimalkan untuk performa dan membutuhkan sedikit intervensi. Pertimbangkan faktor-faktor yang memengaruhi latensi, dan menyempurnakan performa dengan meninjau panduan pengoptimalan performa yang diterbitkan dengan setiap alat.
Optimalkan performa kode kustom: Pertimbangkan untuk menggunakan SDK Penyimpanan alih-alih membuat pembungkus Anda sendiri untuk operasi REST blob. Azure SDK dioptimalkan untuk performa dan menyediakan mekanisme untuk menyempurnakan performa. Sebelum membuat aplikasi, tinjau daftar periksa performa dan skalabilitas untuk Blob Storage. Pertimbangkan untuk menggunakan akselerasi kueri untuk memfilter data yang tidak diinginkan selama permintaan penyimpanan dan mencegah klien mentransfer data tanpa perlu di seluruh jaringan.
Kumpulkan data performa: Pantau akun penyimpanan Anda untuk mengidentifikasi hambatan performa yang terjadi dari pembatasan. Untuk informasi selengkapnya, lihat Memantau layanan penyimpanan Anda dengan wawasan Monitor Storage. Gunakan metrik dan log. Metrik menyediakan angka seperti kesalahan pembatasan. Log menjelaskan aktivitas. Jika Anda melihat metrik pembatasan, Anda dapat menggunakan log untuk mengidentifikasi klien mana yang menerima kesalahan pembatasan. Untuk informasi selengkapnya, lihat Mengaudit operasi sarana data.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Memprovisikan akun penyimpanan di wilayah yang sama tempat sumber daya dependen ditempatkan. Untuk aplikasi yang tidak dihosting di Azure, seperti aplikasi perangkat seluler atau layanan perusahaan lokal, temukan akun penyimpanan di wilayah yang lebih dekat dengan klien tersebut. Untuk informasi selengkapnya, lihat geografi Azure. Jika klien dari wilayah lain tidak memerlukan data yang sama, buat akun terpisah di setiap wilayah. Jika klien dari wilayah yang berbeda hanya memerlukan beberapa data, pertimbangkan untuk menggunakan kebijakan replikasi objek untuk menyalin objek yang relevan secara asinkron ke akun penyimpanan di wilayah lain. |
Mengurangi jarak fisik antara akun penyimpanan dan VM, layanan, dan klien lokal dapat meningkatkan performa dan mengurangi latensi jaringan. Mengurangi jarak fisik juga mengurangi biaya untuk aplikasi yang dihosting di Azure karena penggunaan bandwidth dalam satu wilayah gratis. |
| Untuk konsumsi luas oleh klien web (streaming video, audio, atau konten situs web statis), pertimbangkan untuk menggunakan jaringan pengiriman konten melalui Azure Front Door. | Konten dikirimkan ke klien lebih cepat karena menggunakan jaringan tepi global Microsoft dengan ratusan titik kehadiran global dan lokal di seluruh dunia. |
| Tambahkan urutan karakter hash (seperti tiga digit) sedini mungkin di kunci partisi blob. Kunci partisi adalah nama akun, nama kontainer, nama direktori virtual, dan nama blob. Jika Anda berencana menggunakan tanda waktu dalam nama, maka pertimbangkan untuk menambahkan nilai detik ke awal stempel tersebut. Untuk informasi selengkapnya, lihat Pemartisian. | Menggunakan kode hash atau nilai detik yang terdekat dengan awal kunci partisi mengurangi waktu yang diperlukan untuk mencantumkan kueri dan membaca blob. |
| Saat mengunggah blob atau blok, gunakan ukuran blob atau blok yang lebih besar dari 256 KiB. | Ukuran blob atau blok di atas 256 KiB memanfaatkan peningkatan performa dalam platform yang dibuat khusus untuk blob dan ukuran blok yang lebih besar. |
Kebijakan Azure
Azure menyediakan serangkaian kebijakan bawaan yang luas yang terkait dengan Blob Storage dan dependensinya. Beberapa rekomendasi sebelumnya dapat diaudit melalui kebijakan Azure. Misalnya, Anda dapat memeriksa apakah:
- Akses baca publik anonim ke kontainer dan blob tidak diaktifkan.
- Pengaturan diagnostik untuk Blob Storage diatur untuk mengalirkan log sumber daya ke ruang kerja Log Azure Monitor.
- Hanya permintaan dari koneksi aman (HTTPS) yang diterima.
- Kebijakan kedaluwarsa tanda tangan akses bersama diaktifkan.
- Replikasi objek lintas penyewa dinonaktifkan.
- Otorisasi kunci bersama dinonaktifkan.
- Aturan firewall jaringan diterapkan ke akun.
Untuk tata kelola komprehensif, tinjau definisi bawaan Azure Policy untuk Penyimpanan dan kebijakan lain yang mungkin memengaruhi keamanan lapisan komputasi.
Rekomendasi Azure Advisor
Azure Advisor adalah konsultan cloud yang dipersonalisasi yang membantu Anda mengikuti cara terbaik untuk mengoptimalkan pengoperasian Azure Anda. Berikut adalah beberapa rekomendasi yang dapat membantu Anda meningkatkan keandalan, keamanan, efektivitas biaya, performa, dan keunggulan operasional Blob Storage.
Langkah selanjutnya
Untuk informasi selengkapnya tentang Blob Storage, lihat dokumentasi Blob Storage.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk