Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Files adalah solusi penyimpanan file Microsoft untuk cloud. Azure Files menyediakan berbagi file blok pesan server (SMB) dan sistem file jaringan (NFS) yang dapat Anda pasang ke klien di cloud, lokal, atau keduanya. Anda juga dapat menggunakan Azure File Sync untuk melakukan caching berbagi file SMB di server Windows lokal dan memindahkan file yang jarang digunakan ke cloud.
Artikel ini mengasumsikan bahwa sebagai arsitek, Anda telah meninjau opsi penyimpanan dan memilih Azure Files sebagai layanan penyimpanan untuk menjalankan beban kerja Anda. Panduan dalam artikel ini memberikan rekomendasi arsitektur yang dipetakan ke prinsip pilar Framework Azure, Well-Architected.
Penting
Cara menggunakan panduan ini
Setiap bagian memiliki daftar pengecekan desain yang menyajikan aspek arsitektur yang perlu diperhatikan serta strategi desain yang disesuaikan dengan cakupan teknologi.
Juga termasuk rekomendasi pada kemampuan teknologi yang dapat membantu menerapkan strategi tersebut. Rekomendasi tidak mewakili daftar lengkap semua konfigurasi yang tersedia untuk Azure Files dan dependensinya. Sebaliknya, mereka mencantumkan rekomendasi-rekomendasi kunci yang dipetakan berdasarkan perspektif desain. Gunakan rekomendasi untuk membangun bukti konsep Anda atau mengoptimalkan lingkungan Anda yang ada.
Keandalan
Tujuan pilar Keandalan adalah untuk memberikan fungsionalitas berkelanjutan dengan membangun ketahanan yang cukup dan kemampuan untuk memulihkan dengan cepat dari kegagalan.
Prinsip desain Keandalan menyediakan strategi desain tingkat tinggi yang diterapkan untuk komponen individu, beban kerja, alur sistem, dan sistem secara keseluruhan.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Keandalan.
Gunakan analisis mode kegagalan: Minimalkan titik kegagalan dengan mempertimbangkan dependensi internal seperti ketersediaan jaringan virtual, Azure Key Vault, atau Azure Content Delivery Network atau titik akhir Azure Front Door. Kegagalan dapat terjadi jika Anda memerlukan kredensial untuk mengakses Azure Files, dan kredensial hilang dari Key Vault. Atau Anda mungkin mengalami kegagalan jika beban kerja Anda menggunakan titik akhir yang didasarkan pada jaringan pengiriman konten yang hilang. Dalam kasus ini, Anda mungkin perlu mengonfigurasi beban kerja untuk tersambung ke titik akhir alternatif. Untuk informasi umum tentang analisis mode kegagalan, lihat rekomendasi untuk melakukan analisis mode kegagalan.
Tentukan target keandalan dan pemulihan: Tinjau perjanjian tingkat layanan (SLA) Azure. Dapatkan tujuan tingkat layanan (SLO) untuk akun penyimpanan. Misalnya, konfigurasi redundansi yang Anda pilih dapat memengaruhi SLO. Pertimbangkan efek pemadaman regional, potensi kehilangan data, dan waktu yang diperlukan untuk memulihkan akses setelah pemadaman. Pertimbangkan juga ketersediaan dependensi internal yang Anda identifikasi sebagai bagian dari analisis mode kegagalan Anda.
Mengonfigurasi redundansi data: Untuk durabilitas maksimum, pilih konfigurasi yang menyalin data di seluruh zona ketersediaan atau wilayah global. Untuk ketersediaan maksimum, pilih konfigurasi yang memungkinkan klien membaca data dari wilayah sekunder selama pemadaman wilayah utama.
Merancang aplikasi: Desain aplikasi Anda untuk bergeser dengan mulus sehingga mereka membaca data dari wilayah sekunder jika wilayah utama tidak tersedia. Pertimbangan desain ini hanya berlaku untuk konfigurasi penyimpanan geo-redundan (GRS) dan penyimpanan geo-zona-redundan (GZRS). Rancang aplikasi Anda untuk menangani pemadaman dengan benar, yang mengurangi waktu henti bagi pelanggan.
Jelajahi fitur untuk membantu Anda memenuhi target pemulihan: Buat file dapat dipulihkan sehingga Anda dapat memulihkan file yang rusak, diedit, atau dihapus.
Membuat rencana pemulihan: Pertimbangkan fitur perlindungan data, operasi pencadangan dan pemulihan, atau prosedur failover. Bersiaplah untuk potensi kehilangan data dan inkonsistensi data dan waktu dan biaya failover. Untuk informasi selengkapnya, lihat rekomendasi untuk merancang strategi pemulihan bencana.
Memantau potensi masalah ketersediaan: Berlangganan dasbor Azure Service Health untuk memantau potensi masalah ketersediaan. Gunakan metrik penyimpanan dan log diagnostik di Azure Monitor untuk menyelidiki pemberitahuan.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Konfigurasikan akun penyimpanan Anda untuk redundansi. Untuk ketersediaan dan durabilitas maksimum, konfigurasikan akun Anda dengan penyimpanan zona redundan (ZRS), GRS, atau GZRS. Wilayah Azure terbatas mendukung ZRS untuk berbagi file standar dan premium . Hanya akun SMB standar yang mendukung GRS dan GZRS. Saham SMB premium dan saham NFS tidak mendukung GRS dan GZRS. Azure Files tidak mendukung penyimpanan geo-redundan dengan akses baca (RA-GRS) atau penyimpanan geo-zona-redundan dengan akses baca (RA-GZRS). Jika Anda mengonfigurasi akun penyimpanan untuk menggunakan RA-GRS atau RA-GZRS, berbagi file dikonfigurasi dan ditagih sebagai GRS atau GZRS. |
Redundansi melindungi data Anda dari kegagalan tak terduga. Opsi konfigurasi ZRS dan GZRS mereplikasi di berbagai zona ketersediaan dan memungkinkan aplikasi untuk terus membaca data selama pemadaman. Untuk informasi selengkapnya, lihat Ketahanan dan ketersediaan berdasarkan skenario pemadaman dan parameter ketahanan dan ketersediaan . |
| Sebelum Anda memulai failover atau failback, periksa nilai properti waktu sinkronisasi terakhir untuk mengevaluasi potensi kehilangan data. Rekomendasi ini hanya berlaku untuk konfigurasi GRS dan GZRS. | Properti ini membantu Anda memperkirakan berapa banyak data yang mungkin hilang jika Anda memulai failover akun. Semua data dan metadata yang ditulis sebelum waktu sinkronisasi terakhir tersedia di wilayah sekunder, tetapi Anda mungkin kehilangan data dan metadata yang ditulis setelah waktu sinkronisasi terakhir karena tidak ditulis ke wilayah sekunder. |
| Sebagai bagian dari strategi pencadangan dan pemulihan Anda, aktifkan penghapusan sementara dan gunakan rekam jepret untuk pemulihan titik waktu. Anda dapat menggunakan Azure Backup untuk mencadangkan data dari file sharing SMB Anda. Anda juga dapat menggunakan Azure File Sync untuk mencadangkan berbagi file SMB lokal ke berbagi file di Azure. Azure Backup juga memungkinkan Anda melakukan pencadangan Azure Files yang disimpan di vault untuk melindungi data Anda dari serangan ransomware atau kehilangan data akibat aktor jahat atau admin nakal. Dengan menggunakan pencadangan vault, Azure Backup menyalin dan menyimpan data di vault Layanan Pemulihan. Ini membuat salinan data di luar lokasi yang dapat Anda simpan hingga 99 tahun. Azure Backup membuat dan mengelola titik pemulihan sesuai jadwal dan retensi yang ditentukan dalam kebijakan pencadangan. Pelajari selengkapnya. |
Penghapusan sementara berfungsi pada tingkat berbagi file untuk melindungi berbagi file Azure dari penghapusan yang tidak disengaja. Pemulihan titik waktu melindungi dari penghapusan atau kerusakan yang tidak disengaja karena Anda dapat memulihkan file share ke keadaan sebelumnya. Untuk informasi selengkapnya, lihat gambaran umum perlindungan data . |
Keamanan
Tujuan pilar keamanan adalah untuk memberikan jaminan kerahasiaan , integritas, dan ketersediaan terhadap beban kerja.
Prinsip desain Keamanan menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dengan menerapkan pendekatan pada desain teknis konfigurasi penyimpanan file Anda.
Persyaratan dan rekomendasi keamanan bervariasi tergantung pada apakah beban kerja Anda menggunakan protokol SMB atau NFS untuk mengakses berbagi file Anda. Jadi bagian berikut memiliki daftar periksa desain dan rekomendasi terpisah untuk berbagi file SMB dan NFS.
Sebagai praktik terbaik, Anda harus menyimpan berbagi file SMB dan NFS di akun penyimpanan terpisah karena memiliki persyaratan keamanan yang berbeda. Gunakan pendekatan ini untuk memberikan beban kerja Anda keamanan yang kuat dan fleksibilitas tinggi.
Daftar periksa desain untuk berbagi file SMB
Mulailah strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Keamanan. Identifikasi kerentanan dan kontrol untuk meningkatkan postur keamanan. Perluas strategi untuk menyertakan lebih banyak pendekatan sesuai kebutuhan.
Tinjau garis besar keamanan untuk Azure Storage: Untuk memulai, tinjau garis besar keamanan untuk Storage.
Pertimbangkan untuk menggunakan kontrol jaringan untuk membatasi lalu lintas masuk dan keluar: Anda mungkin nyaman mengekspos akun penyimpanan Anda ke internet publik dalam kondisi tertentu, seperti jika Anda menggunakan autentikasi berbasis identitas untuk memberikan akses ke berbagi file. Tetapi kami menyarankan agar Anda menggunakan kontrol jaringan untuk memberikan tingkat akses minimum yang diperlukan kepada pengguna dan aplikasi. Untuk informasi selengkapnya, lihat Cara mendekati keamanan jaringan untuk akun penyimpanan Anda.
Mengurangi permukaan serangan: Gunakan enkripsi saat transit dan cegah akses melalui koneksi non-aman (HTTP) untuk mengurangi permukaan serangan. Mengharuskan klien untuk mengirim dan menerima data dengan menggunakan versi terbaru protokol Keamanan Lapisan Transportasi (TLS).
Minimalkan penggunaan kunci akun penyimpanan: Autentikasi berbasis identitas memberikan keamanan yang unggul dibandingkan dengan menggunakan kunci akun penyimpanan. Tetapi Anda harus menggunakan kunci akun penyimpanan untuk mendapatkan kontrol administratif penuh atas berbagi file, termasuk kemampuan untuk mengambil kepemilikan file. Berikan prinsipal keamanan hanya izin yang diperlukan untuk melakukan tugas mereka.
Lindungi informasi sensitif: Lindungi informasi sensitif, seperti kunci akun penyimpanan dan kata sandi. Kami tidak menyarankan Anda menggunakan bentuk otorisasi ini, tetapi jika Anda melakukannya, Anda harus memastikan untuk mengganti secara berkala, mengatur masa kedaluwarsa, dan menyimpannya sebagai langkah keamanan.
Mendeteksi ancaman: Aktifkan Microsoft Defender for Storage untuk mendeteksi upaya yang berpotensi berbahaya untuk mengakses atau mengeksploitasi berbagi file Azure Anda melalui protokol SMB atau FileREST. Administrator langganan mendapatkan pemberitahuan email dengan detail aktivitas dan rekomendasi yang mencurigakan tentang cara menyelidiki dan memulihkan ancaman. Defender for Storage tidak mendukung kemampuan antivirus untuk berbagi file Azure. Jika Anda menggunakan Defender for Storage, berbagi file dengan transaksi tinggi dikenakan biaya yang signifikan, jadi pertimbangkan untuk tidak menggunakan Defender for Storage pada akun penyimpanan tertentu.
Rekomendasi untuk berbagi file SMB
| Rekomendasi | Keuntungan |
|---|---|
| Terapkan kunci Azure Resource Manager pada akun penyimpanan. | Kunci akun untuk mencegah penghapusan akun penyimpanan yang tidak disengaja atau berbahaya, yang dapat menyebabkan kehilangan data. |
| Buka port TCP 445 keluar atau siapkan gateway VPN atau koneksi Azure ExpressRoute untuk klien di luar Azure untuk mengakses berbagi file. | SMB 3.x adalah protokol yang aman untuk internet, tetapi Anda mungkin tidak memiliki kemampuan untuk mengubah kebijakan organisasi atau ISP. Anda dapat menggunakan gateway VPN atau koneksi ExpressRoute sebagai opsi alternatif. |
| Jika Anda membuka port 445, pastikan untuk menonaktifkan SMBv1 pada klien Windows dan Linux . Azure Files tidak mendukung SMB 1, tetapi Anda masih harus menonaktifkannya di klien Anda. | SMB 1 adalah protokol yang ketinggalan zaman, tidak efisien, dan tidak aman. Nonaktifkan fitur ini di perangkat klien untuk meningkatkan keamanan Anda. |
| Pertimbangkan untuk menonaktifkan akses jaringan publik ke akun penyimpanan Anda. Aktifkan akses jaringan publik hanya jika klien dan layanan SMB yang berada di luar Azure memerlukan akses ke akun penyimpanan Anda. Jika Anda menonaktifkan akses jaringan publik, buat titik akhir privat untuk akun penyimpanan Anda. Tarif pemrosesan data standar untuk titik akhir privat berlaku. Titik akhir privat tidak memblokir koneksi ke titik akhir publik. Anda masih harus menonaktifkan akses jaringan publik seperti yang dijelaskan sebelumnya. Jika Anda tidak memerlukan alamat IP statis untuk berbagi file Anda dan ingin menghindari biaya titik akhir privat, Anda dapat membatasi akses titik akhir publik ke jaringan virtual dan alamat IP tertentu. |
Lalu lintas jaringan melakukan perjalanan melalui jaringan backbone Microsoft alih-alih internet publik, yang menghilangkan paparan risiko dari internet publik. |
| Aktifkan aturan firewall yang membatasi akses ke jaringan virtual tertentu. Mulailah dengan akses nol, lalu secara metodis dan bertahap menyediakan jumlah akses paling sedikit yang diperlukan untuk klien dan layanan. | Minimalkan risiko membuat bukaan untuk penyerang. |
| Jika memungkinkan, gunakan autentikasi berbasis identitas dengan enkripsi tiket AES-256 Kerberos untuk mengotorisasi akses ke berbagi file Azure SMB. | Gunakan autentikasi berbasis identitas untuk mengurangi kemungkinan penyerang menggunakan kunci akun penyimpanan untuk mengakses berbagi file. |
| Jika Anda menggunakan kunci akun penyimpanan, simpan di Key Vault, dan pastikan untuk meregenerasinya secara berkala. Anda dapat sepenuhnya mencegah akses kunci akun penyimpanan ke share file dengan menghapus NTLMv2 dari pengaturan keamanan SMB di dalam share tersebut. Tetapi Anda umumnya tidak boleh menghapus NTLMv2 dari pengaturan keamanan SMB berbagi karena administrator masih perlu menggunakan kunci akun untuk beberapa tugas. |
Gunakan Key Vault untuk mengambil kunci pada runtime alih-alih menyimpannya dengan aplikasi Anda. Key Vault juga memudahkan untuk memutar kunci Anda tanpa gangguan pada aplikasi Anda. Putar kunci akun secara berkala untuk mengurangi risiko mengekspos data Anda ke serangan berbahaya. |
| Dalam kebanyakan kasus, Anda harus mengaktifkan opsi Transfer aman yang diperlukan pada semua akun penyimpanan Anda untuk mengaktifkan enkripsi saat transit untuk berbagi file SMB. Jangan aktifkan opsi ini jika Anda perlu mengizinkan klien versi lama untuk mengakses share. Jika Anda menonaktifkan transfer aman, pastikan untuk menggunakan kontrol jaringan untuk membatasi lalu lintas. |
Pengaturan ini memastikan bahwa semua permintaan yang dibuat terhadap akun penyimpanan terjadi melalui koneksi aman (HTTPS). Permintaan apa pun yang dibuat melalui HTTP akan gagal. |
| Konfigurasikan akun penyimpanan Anda sehingga TLS 1.2 adalah versi minimum bagi klien untuk mengirim dan menerima data. | TLS 1.2 lebih aman dan lebih cepat daripada TLS 1.0 dan 1.1, yang tidak mendukung algoritma kriptografi modern dan suite sandi. |
| Gunakan hanya versi protokol SMB terbaru yang didukung (saat ini 3.1.1.), dan hanya gunakan AES-256-GCM untuk enkripsi saluran SMB. Azure Files mengekspos pengaturan yang dapat Anda gunakan untuk mengalihkan protokol SMB dan membuatnya lebih kompatibel atau lebih aman, tergantung pada persyaratan organisasi Anda. Secara default, semua versi SMB diizinkan. Namun, SMB 2.1 tidak diizinkan jika Anda mengaktifkan Memerlukan transfer aman karena SMB 2.1 tidak mendukung enkripsi data saat transit. Jika Anda membatasi pengaturan ini ke tingkat keamanan yang tinggi, beberapa klien mungkin tidak dapat tersambung ke berbagi file. |
SMB 3.1.1, dirilis dengan Windows 10, berisi pembaruan keamanan dan performa penting. AES-256-GCM menawarkan enkripsi saluran yang lebih aman. |
Daftar periksa desain untuk berbagi file NFS
Tinjau garis besar keamanan untuk Penyimpanan: Untuk memulai, tinjau garis besar keamanan untuk Penyimpanan.
Pahami persyaratan keamanan organisasi Anda: Berbagi file NFS Azure hanya mendukung klien Linux yang menggunakan protokol NFSv4.1, dengan dukungan untuk sebagian besar fitur dari spesifikasi protokol 4.1. Beberapa fitur keamanan tidak didukung, seperti autentikasi Kerberos dan daftar kontrol akses (ACL).
Gunakan keamanan dan kontrol tingkat jaringan untuk membatasi lalu lintas masuk dan keluar: Autentikasi berbasis identitas tidak tersedia untuk berbagi file NFS Azure, jadi Anda harus menggunakan keamanan dan kontrol tingkat jaringan untuk memberikan tingkat akses minimum yang diperlukan kepada pengguna dan aplikasi. Untuk informasi selengkapnya, lihat Cara mendekati keamanan jaringan untuk akun penyimpanan Anda.
Rekomendasi untuk berbagi file NFS
| Rekomendasi | Keuntungan |
|---|---|
| Terapkan kunci Resource Manager pada akun penyimpanan. | Kunci akun untuk mencegah penghapusan akun penyimpanan yang tidak disengaja atau berbahaya, yang dapat menyebabkan kehilangan data. |
| Anda harus membuka port 2049 pada klien yang ingin mengakses share NFS Anda. | Buka port 2049 untuk memungkinkan klien berkomunikasi dengan berbagi file NFS Azure. |
| Berbagi file NFS Azure hanya dapat diakses melalui jaringan terbatas. Jadi Anda harus membuat titik akhir privat untuk akun penyimpanan Anda atau membatasi akses titik akhir publik ke jaringan virtual dan alamat IP yang dipilih. Kami menyarankan agar Anda membuat titik akhir privat. Sebaiknya konfigurasikan keamanan tingkat jaringan untuk berbagi NFS. Anda juga dapat mengaktifkan enkripsi saat transit. Tarif pemrosesan data standar berlaku untuk titik akhir privat. Jika Anda tidak memerlukan alamat IP statis untuk berbagi file Anda dan ingin menghindari biaya titik akhir privat, Anda dapat membatasi akses titik akhir publik sebagai gantinya. |
Lalu lintas jaringan melakukan perjalanan melalui jaringan backbone Microsoft alih-alih internet publik, yang menghilangkan paparan risiko dari internet publik. |
| Pertimbangkan untuk melarang akses kunci akun penyimpanan di tingkat akun penyimpanan. Anda tidak memerlukan akses ini untuk memasang berbagi file NFS. Tetapi perlu diingat bahwa kontrol administratif penuh atas berbagi file, termasuk kemampuan untuk mengambil kepemilikan file, memerlukan penggunaan kunci akun penyimpanan. | Larang penggunaan kunci akun penyimpanan untuk membuat akun penyimpanan Anda lebih aman. |
Pengoptimalan Biaya
Pengoptimalan Biaya berfokus pada mendeteksi pola pengeluaran, memprioritaskan investasi di area penting, dan mengoptimalkan area lainnya agar sesuai dengan anggaran organisasi sekaligus memenuhi persyaratan bisnis.
Prinsip desain Pengoptimalan Biaya menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dan membuat tradeoff seperlunya dalam desain teknis yang terkait dengan penyimpanan file dan lingkungannya.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk pengoptimalan biaya investasi. Sesuaikan desain sehingga beban kerja selaras dengan anggaran yang dialokasikan untuk beban kerja. Desain Anda harus menggunakan kemampuan Azure yang tepat, memantau investasi, dan menemukan peluang untuk dioptimalkan dari waktu ke waktu.
Tentukan apakah beban kerja Anda memerlukan performa berbagi file premium (Azure Premium SSD) atau apakah penyimpanan HDD Standar Azure cukup: Tentukan jenis akun penyimpanan dan model penagihan Anda berdasarkan jenis penyimpanan yang Anda butuhkan. Jika Anda memerlukan sejumlah besar operasi input/output per detik (IOPS), kecepatan transfer data yang sangat cepat, atau latensi yang sangat rendah, maka Anda harus memilih berbagi file Azure premium. NFS Azure file share hanya tersedia pada lapisan premium. Berbagi file NFS dan SMB memiliki harga yang sama pada tingkat berbayar.
Buat akun penyimpanan untuk berbagi file Anda, dan pilih tingkat redundansi: Pilih akun standar (GPv2) atau premium (FileStorage). Tingkat redundansi yang Anda pilih memengaruhi biaya. Semakin banyak redundansi, semakin tinggi biayanya. Penyimpanan redundan lokal (LRS) adalah yang paling terjangkau. GRS hanya tersedia untuk berbagi file SMB standar. Berbagi file standar hanya menampilkan informasi transaksi di tingkat akun penyimpanan, jadi kami sarankan Anda hanya menyebarkan satu berbagi file di setiap akun penyimpanan untuk memastikan visibilitas penagihan penuh.
Pahami bagaimana tagihan Anda dihitung: Azure File Shares Standar menyediakan model bayar sesuai penggunaan. Berbagi premium menggunakan model yang disediakan di mana Anda menentukan dan membayar sejumlah kapasitas, IOPS, dan throughput di muka. Dalam model bayar sesuai penggunaan, meter melacak jumlah data yang disimpan di akun, atau kapasitas, dan jumlah dan jenis transaksi berdasarkan penggunaan data tersebut. Model bayar sesuai pemakaian bisa hemat biaya karena Anda hanya membayar untuk apa yang Anda gunakan. Dengan model bayar sesuai pemakaian, Anda tidak perlu menyediakan atau mengurangi kapasitas penyimpanan berlebih berdasarkan persyaratan performa atau fluktuasi permintaan.
Tetapi Anda mungkin merasa sulit untuk merencanakan penyimpanan sebagai bagian dari proses anggaran karena konsumsi pengguna akhir mendorong biaya. Dengan model yang disediakan, transaksi tidak memengaruhi penagihan, sehingga biaya mudah diprediksi. Tetapi Anda membayar kapasitas penyimpanan yang disediakan apakah Anda menggunakannya atau tidak. Untuk perincian terperinci tentang bagaimana biaya dihitung, lihat Memahami penagihan Azure Files.
Perkirakan biaya kapasitas dan operasi: Anda dapat menggunakan kalkulator harga Azure untuk memodelkan biaya yang terkait dengan penyimpanan data, ingress, dan egress. Bandingkan biaya yang terkait dengan berbagai wilayah, jenis akun, dan konfigurasi redundansi. Untuk informasi selengkapnya, lihat Harga Azure Files.
Pilih tingkat akses yang paling hemat biaya: Berbagi file Azure SMB Standar menawarkan tiga tingkat akses: dioptimalkan untuk transaksi, aktif, dan sejuk. Ketiga tingkatan disimpan pada perangkat keras penyimpanan standar yang sama. Perbedaan utama dari ketiga tingkat ini adalah harga penyimpanan data dalam keadaan diam, yang lebih murah di tingkat yang lebih sejuk, dan harga transaksi, yang lebih mahal di tingkat yang lebih sejuk. Untuk informasi selengkapnya, lihat Perbedaan tingkat standar.
Tentukan layanan bernilai tambah mana yang Anda butuhkan: Azure Files mendukung integrasi dengan layanan bernilai tambah seperti Backup, Azure File Sync, dan Defender for Storage. Solusi ini memiliki lisensi dan biaya produk mereka sendiri tetapi sering dianggap sebagai bagian dari total biaya kepemilikan untuk penyimpanan file. Pertimbangkan aspek biaya lain jika Anda menggunakan Azure File Sync.
Buat pagar pembatas: Buat anggaran berdasarkan langganan dan grup sumber daya. Gunakan kebijakan tata kelola untuk membatasi jenis sumber daya, konfigurasi, dan lokasi. Selain itu, gunakan kontrol akses berbasis peran (RBAC) untuk memblokir tindakan yang dapat menyebabkan pengeluaran berlebih.
Memantau biaya: Pastikan biaya tetap dalam anggaran, bandingkan biaya terhadap prakiraan, dan lihat di mana pengeluaran berlebihan terjadi. Anda dapat menggunakan panel analisis biaya
di portal Microsoft Azure untuk memantau biaya. Anda juga dapat mengekspor data biaya ke akun penyimpanan, dan menggunakan Excel atau Power BI untuk menganalisis data tersebut. Memantau penggunaan: Terus memantau pola penggunaan untuk mendeteksi akun penyimpanan dan berbagi file yang tidak digunakan atau kurang digunakan. Periksa peningkatan kapasitas yang tidak terduga, yang mungkin menunjukkan bahwa Anda mengumpulkan banyak file log atau file yang dihapus sementara. Kembangkan strategi untuk menghapus file atau memindahkan file ke tingkat akses yang lebih hemat biaya.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Saat Anda bermigrasi ke berbagi file Azure standar, kami sarankan Anda memulai di tingkat yang dioptimalkan untuk transaksi selama tahap awal migrasi. Penggunaan transaksi selama migrasi biasanya tidak menunjukkan penggunaan transaksi normal. Pertimbangan ini tidak berlaku untuk berbagi file premium karena model penagihan yang disediakan tidak dikenakan biaya untuk transaksi. | Migrasi ke Azure Files merupakan beban kerja sementara yang sangat berat dalam transaksi. Optimalkan harga untuk beban kerja transaksi tinggi untuk membantu mengurangi biaya migrasi. |
| Setelah memigrasikan beban kerja Anda, jika Anda menggunakan file share standar, pilih tingkat akses yang paling hemat biaya untuk file share Anda: hot, cool, atau transaction optimized. Setelah beroperasi selama beberapa hari atau minggu dengan penggunaan reguler, Anda dapat memasukkan jumlah transaksi Anda dalam kalkulator harga untuk mengetahui tingkat mana yang paling sesuai dengan beban kerja Anda. Sebagian besar pelanggan sebaiknya memilih hemat meskipun mereka secara aktif menggunakan fungsi berbagi. Tetapi Anda harus memeriksa setiap saham dan membandingkan proporsi antara kapasitas penyimpanan dan transaksi untuk menentukan tingkat Anda. Jika biaya transaksi membentuk persentase signifikan dari tagihan Anda, penghematan dari penggunaan tingkat akses dingin sering mengimbangi biaya ini dan meminimalkan total biaya keseluruhan. Kami menyarankan agar Anda memindahkan berbagi file standar antar tingkat akses hanya jika perlu untuk mengoptimalkan perubahan dalam pola beban kerja Anda. Setiap pemindahan menimbulkan transaksi. Untuk informasi selengkapnya, lihat Beralih antar tingkat standar. |
Pilih tingkat akses yang sesuai untuk berbagi file standar untuk mengurangi biaya Anda secara besar-besaran. |
| Jika Anda menggunakan saham premium, pastikan Anda menyediakan kapasitas dan performa yang lebih dari cukup untuk beban kerja Anda tetapi tidak terlalu banyak sehingga Anda mengalami biaya yang tidak perlu. Kami merekomendasikan provisi berlebih sebanyak dua hingga tiga kali. Anda dapat menskalakan berbagi file premium secara dinamis ke atas atau ke bawah tergantung pada karakteristik performa penyimpanan dan input/output (IO) Anda. | Pembagian file premium provisi berlebih dengan jumlah yang wajar untuk membantu menjaga performa dan memperhitungkan persyaratan pertumbuhan dan performa di masa mendatang. |
| Gunakan reservasi untuk Azure Files, juga disebut sebagai instans yang dipesan, untuk berkomitmen sebelumnya pada penggunaan penyimpanan dan mendapatkan diskon. Gunakan reservasi untuk beban kerja produksi atau beban kerja pengembangan/pengujian dengan pola penggunaan yang konsisten. Untuk informasi selengkapnya, lihat Mengoptimalkan biaya dengan reservasi penyimpanan. Reservasi tidak termasuk biaya transaksi, bandwidth, transfer data, dan penyimpanan metadata. |
Reservasi tiga tahun dapat memberikan diskon hingga 36% pada total biaya penyimpanan file. Reservasi tidak memengaruhi performa. |
| Pantau penggunaan rekam jepret. Rekam jepret dikenakan biaya, tetapi ditagih berdasarkan penggunaan penyimpanan diferensial dari setiap rekam jepret. Anda hanya membayar selisih dalam setiap rekam jepret. Untuk informasi selengkapnya, lihat Snapshots. Azure File Sync mengambil rekam jepret tingkat berbagi dan tingkat file sebagai bagian dari penggunaan reguler, yang dapat meningkatkan total tagihan Azure Files Anda. |
Cuplikan diferensial memastikan bahwa Anda tidak dikenakan biaya berulang kali untuk menyimpan data yang sama. Namun, Anda masih harus memantau penggunaan rekam jepret untuk membantu mengurangi tagihan Azure Files Anda. |
| Atur periode retensi untuk fitur penghapusan sementara, terutama saat Anda pertama kali mulai menggunakannya. Pertimbangkan untuk memulai dengan periode retensi singkat untuk lebih memahami bagaimana fitur tersebut memengaruhi tagihan Anda. Periode retensi minimum yang direkomendasikan adalah tujuh hari. Saat Anda menghapus sementara berbagi file standar dan premium, mereka ditagih sebagai kapasitas yang digunakan daripada kapasitas yang disediakan. Dan berbagi file premium ditagih pada tingkat rekam jepret saat dalam status penghapusan sementara. Saat berada dalam status penghapusan sementara, berbagi file standar ditagih dengan tarif reguler. |
Atur periode retensi sehingga file yang dihapus sementara tidak menumpuk dan meningkatkan biaya kapasitas. Setelah periode retensi yang dikonfigurasi, data yang dihapus secara permanen tidak dikenakan biaya. |
Keunggulan Operasi
Keunggulan Operasional terutama berfokus pada prosedur untuk praktik pengembangan , observabilitas, dan manajemen rilis.
Prinsip desain Operational Excellence menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut untuk persyaratan operasional beban kerja.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Keunggulan Operasional untuk menentukan proses untuk pengamatan, pengujian, dan penyebaran yang terkait dengan konfigurasi penyimpanan file Anda.
Membuat rencana pemeliharaan dan pemulihan darurat: Pertimbangkan fitur perlindungan data, operasi pencadangan dan pemulihan, dan prosedur failover. Bersiaplah untuk potensi kehilangan data dan inkonsistensi data dan waktu dan biaya failover.
Memantau kesehatan akun penyimpanan Anda: Membuat dasbor wawasan Penyimpanan untuk memantau metrik ketersediaan, performa, dan ketahanan. Siapkan pemberitahuan untuk mengidentifikasi dan mengatasi masalah di sistem Anda sebelum pelanggan Anda memperhatikannya. Gunakan pengaturan diagnostik untuk merutekan log sumber daya ke ruang kerja Log Azure Monitor. Kemudian Anda dapat mengkueri log untuk menyelidiki pemberitahuan lebih dalam.
Meninjau aktivitas berbagi file secara berkala: Aktivitas berbagi dapat berubah dari waktu ke waktu. Pindahkan file share standar ke tingkat akses yang lebih ekonomi, atau Anda dapat menambah atau mengurangi kapasitas untuk file share premium. Saat Anda memindahkan berbagi file standar ke tingkat akses yang berbeda, Anda dikenakan biaya transaksi. Pindahkan berbagi file standar hanya jika diperlukan untuk mengurangi tagihan bulanan Anda.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Gunakan infrastruktur sebagai kode (IaC) untuk menentukan detail akun penyimpanan Anda di templat Azure Resource Manager (templat ARM), Bicep, atau Terraform. | Anda dapat menggunakan proses DevOps yang ada untuk menyebarkan akun penyimpanan baru, dan menggunakan Azure Policy untuk menerapkan konfigurasinya. |
| Gunakan Wawasan Penyimpanan untuk melacak kesehatan dan performa akun penyimpanan Anda. Wawasan penyimpanan memberikan tampilan terpadu tentang kegagalan, performa, ketersediaan, dan kapasitas untuk semua akun penyimpanan Anda. | Anda dapat melacak kesehatan dan pengoperasian setiap akun Anda. Buat dasbor dan laporan yang dapat digunakan pemangku kepentingan dengan mudah untuk melacak kesehatan akun penyimpanan Anda. |
| Gunakan Monitor untuk menganalisis metrik, seperti ketersediaan, latensi, dan penggunaan, dan untuk membuat pemberitahuan. | Monitor menyediakan tampilan ketersediaan, performa, dan ketahanan untuk berbagi file Anda. |
Efisiensi Performa
Efisiensi Performa adalah tentang mempertahankan pengalaman pengguna bahkan ketika ada peningkatan beban dengan mengelola kapasitas. Strategi ini mencakup penskalaan sumber daya, mengidentifikasi dan mengoptimalkan potensi hambatan, dan mengoptimalkan performa puncak.
Prinsip desain Efisiensi Performa menyediakan strategi desain tingkat tinggi untuk mencapai tujuan kapasitas tersebut terhadap penggunaan yang diharapkan.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Efisiensi Kinerja. Tentukan garis besar yang didasarkan pada indikator performa utama untuk konfigurasi penyimpanan file Anda.
Rencanakan skala: Pahami skalabilitas dan target performa untuk akun penyimpanan, Azure Files, dan Azure File Sync.
Pahami pola aplikasi dan penggunaan Anda untuk mencapai performa yang dapat diprediksi: Tentukan sensitivitas latensi, persyaratan IOPS dan throughput, durasi dan frekuensi beban kerja, dan paralelisasi beban kerja. Gunakan Azure Files untuk aplikasi multi-utas untuk membantu Anda mencapai batas performa atas layanan. Jika sebagian besar permintaan Anda berpusat pada metadata, seperti createfile, openfile, closefile, queryinfo, atau querydirectory, permintaan menciptakan latensi buruk yang lebih tinggi daripada operasi baca dan tulis. Jika Anda mengalami masalah ini, pertimbangkan untuk memisahkan pembagian file menjadi beberapa pembagian file dalam akun penyimpanan yang sama.
Pilih jenis akun penyimpanan yang optimal: Jika beban kerja Anda memerlukan IOPS dalam jumlah besar, kecepatan transfer data yang sangat cepat, atau latensi yang sangat rendah, maka Anda harus memilih akun penyimpanan premium (FileStorage). Anda dapat menggunakan akun v2 tujuan umum standar untuk sebagian besar beban kerja berbagi file SMB. Tradeoff utama antara dua jenis akun penyimpanan adalah biaya versus performa.
Ukuran berbagi yang disediakan, seperti IOPS, egress, dan ingress, dan batas file tunggal menentukan performa berbagi premium. Untuk informasi selengkapnya, lihat Memahami provisi untuk berbagi file premium. Berbagi file premium juga menawarkan kredit lonjakan sebagai jaminan tambahan jika Anda perlu sementara melebihi batas IOPS dasar berbagi file premium.
Buat akun penyimpanan di wilayah yang sama dengan menghubungkan klien untuk mengurangi latensi: Semakin jauh Anda dari layanan Azure Files, semakin besar latensi dan semakin sulit untuk mencapai batas skala performa. Pertimbangan ini terutama berlaku saat Anda mengakses Azure Files dari lingkungan lokal. Jika memungkinkan, pastikan akun penyimpanan dan klien Anda berada di wilayah Azure yang sama. Optimalkan untuk klien lokal dengan meminimalkan latensi jaringan atau dengan menggunakan koneksi ExpressRoute untuk memperluas jaringan lokal ke cloud Microsoft melalui koneksi privat.
Mengumpulkan data performa: Memantau performa beban kerja, termasuk metrik latensi, ketersediaan, dan penggunaan . Menganalisis log untuk mendiagnosis masalah seperti batas waktu dan pembatasan akses. Buat pemberitahuan untuk memberi tahu Anda jika berbagi file sedang dibatasi, akan dibatasi, atau mengalami latensi tinggi.
Optimalkan untuk penyebaran hibrid: Jika Anda menggunakan Azure File Sync, performa sinkronisasi bergantung pada banyak faktor: Windows Server Anda dan konfigurasi disk yang mendasar, bandwidth jaringan antara server dan penyimpanan Azure, ukuran file, ukuran total himpunan data, dan aktivitas pada himpunan data. Untuk mengukur performa solusi yang didasarkan pada Azure File Sync, tentukan jumlah objek, seperti file dan direktori, yang Anda proses per detik.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Aktifkan SMB Multichannel untuk berbagi file SMB premium. SMB Multichannel memungkinkan klien SMB 3.1.1 membuat beberapa koneksi jaringan ke berbagi file Azure SMB. SMB Multichannel hanya berfungsi saat fitur diaktifkan di sisi klien (klien Anda) dan sisi layanan (Azure). Pada klien Windows, SMB Multichannel diaktifkan secara default, tetapi Anda perlu mengaktifkannya di akun penyimpanan Anda. |
Tingkatkan throughput dan IOPS sekaligus mengurangi total biaya kepemilikan. Manfaat performa meningkat dengan jumlah file yang mendistribusikan beban. |
| Gunakan opsi pemasangan sisi klien nconnect dengan berbagi file NFS Azure di klien Linux. Nconnect memungkinkan Anda menggunakan lebih banyak koneksi TCP antara klien dan layanan premium Azure Files untuk NFSv4.1. | Tingkatkan performa dalam skala besar, dan kurangi total biaya kepemilikan untuk berbagi file NFS. |
| Pastikan berbagi file atau akun penyimpanan Anda tidak dibatasi, yang dapat mengakibatkan latensi tinggi, throughput rendah, atau IOPS rendah. Permintaan dibatasi ketika batas IOPS, ingress, atau egress tercapai. Untuk akun penyimpanan standar, pembatasan terjadi di tingkat akun. Untuk berbagi file premium, pembatasan biasanya terjadi di level berbagi. |
Hindari pembatasan untuk memberikan pengalaman klien terbaik. |
Kebijakan Azure
Azure menyediakan serangkaian kebijakan bawaan yang luas yang terkait dengan Azure Files. Beberapa rekomendasi sebelumnya dapat diaudit melalui kebijakan Azure. Misalnya, Anda dapat memeriksa apakah:
- Hanya permintaan dari koneksi aman, seperti HTTPS, yang diterima.
- Otorisasi kunci bersama dinonaktifkan.
- Aturan firewall jaringan diterapkan ke akun.
- Pengaturan diagnostik untuk Azure Files diatur untuk mengalirkan log sumber daya ke ruang kerja Log Azure Monitor.
- Akses jaringan publik dinonaktifkan.
- Azure File Sync dikonfigurasi dengan titik akhir privat untuk menggunakan zona DNS privat.
Untuk tata kelola komprehensif, tinjau definisi bawaan Azure Policy untuk penyimpanan dan kebijakan lain yang mungkin memengaruhi keamanan lapisan komputasi.
Rekomendasi Azure Advisor
Azure Advisor adalah konsultan cloud yang dipersonalisasi yang membantu Anda mengikuti praktik terbaik untuk mengoptimalkan penyebaran Azure Anda. Berikut adalah beberapa rekomendasi yang dapat membantu Anda meningkatkan keandalan, keamanan, efektivitas biaya, performa, dan keunggulan operasional Azure Files.
Langkah berikutnya
Untuk informasi selengkapnya, lihat dokumentasi Azure Files.