Prospettiva di Azure Well-Architected Framework su File di Azure
File di Azure è una soluzione di archiviazione file Microsoft per il cloud. File di Azure fornisce condivisioni file SMB (Server Message Block) e NFS (Network File System) che è possibile montare nei client nel cloud, in locale o in entrambi. È anche possibile usare Sincronizzazione file di Azure per memorizzare nella cache le condivisioni file SMB in un server Windows locale e i file usati raramente nel cloud.
Questo articolo presuppone che in qualità di architetto siano state esaminate le opzioni di archiviazione e sia stato scelto File di Azure come servizio di archiviazione in cui eseguire i carichi di lavoro. Le linee guida contenute in questo articolo forniscono raccomandazioni sull'architettura mappate ai principi dei pilastri di Azure Well-Architected Framework.
Importante
Come usare questa guida
Ogni sezione include un elenco di controllo di progettazione che presenta le aree di interesse dell'architettura insieme alle strategie di progettazione localizzate nell'ambito della tecnologia.
Sono inoltre incluse raccomandazioni sulle funzionalità tecnologiche che possono aiutare a implementare tali strategie. Le raccomandazioni non rappresentano un elenco completo di tutte le configurazioni disponibili per File di Azure e le relative dipendenze. Vengono invece elencate le raccomandazioni principali mappate alle prospettive di progettazione. Usare i consigli per creare il modello di verifica o ottimizzare gli ambienti esistenti.
Affidabilità
Lo scopo del pilastro Affidabilità è fornire funzionalità continue creando una resilienza sufficiente e la possibilità di recuperare rapidamente dagli errori.
I principi di progettazione dell'affidabilità forniscono una strategia di progettazione di alto livello applicata per singoli componenti, carichi di lavoro, flussi di sistema e il sistema nel suo complesso.
Elenco di controllo della progettazione
Avviare la strategia di progettazione in base all'elenco di controllo di revisione della progettazione per l'affidabilità.
Usare l'analisi della modalità di errore: ridurre al minimo i punti di errore considerando le dipendenze interne, ad esempio la disponibilità di reti virtuali, Azure Key Vault o gli endpoint di Azure rete per la distribuzione di contenuti o Frontdoor di Azure. Gli errori possono verificarsi se sono necessarie credenziali per accedere alle File di Azure e le credenziali non sono presenti in Key Vault. In alternativa, potrebbe verificarsi un errore se i carichi di lavoro usano un endpoint basato su una rete di distribuzione di contenuti mancante. In questi casi, potrebbe essere necessario configurare i carichi di lavoro per connettersi a un endpoint alternativo. Per informazioni generali sull'analisi della modalità di errore, vedere Raccomandazioni per l'esecuzione dell'analisi della modalità di errore.
Definire obiettivi di affidabilità e ripristino: esaminare i contratti di servizio di Azure. Derivare l'obiettivo del livello di servizio (SLO) per l'account di archiviazione. Ad esempio, la configurazione di ridondanza scelta potrebbe influire sull'SLO. Prendere in considerazione l'effetto di un'interruzione a livello di area, la potenziale perdita di dati e il tempo necessario per ripristinare l'accesso dopo un'interruzione. Considerare anche la disponibilità delle dipendenze interne identificate come parte dell'analisi della modalità di errore.
Configurare la ridondanza dei dati: per la durabilità massima, scegliere una configurazione che copia i dati tra zone di disponibilità o aree globali. Per la disponibilità massima, scegliere una configurazione che consenta ai client di leggere i dati dall'area secondaria durante un'interruzione dell'area primaria.
Progettare applicazioni: progettare le applicazioni per spostarsi senza problemi in modo che leggano i dati da un'area secondaria se l'area primaria non è disponibile. Questa considerazione di progettazione si applica solo alle configurazioni di archiviazione con ridondanza geografica e archiviazione con ridondanza geografica della zona.This design considerations applies to geo-redundant storage (GRS) and geo-zone-redundant storage (GZRS) configurations. Progettare le applicazioni per gestire correttamente le interruzioni, riducendo così i tempi di inattività per i clienti.
Esplorare le funzionalità per soddisfare le destinazioni di ripristino: rendere i file ripristinabili in modo da poter recuperare file danneggiati, modificati o eliminati.
Creare un piano di ripristino: prendere in considerazione le funzionalità di protezione dei dati, le operazioni di backup e ripristino o le procedure di failover. Prepararsi per potenziali perdite di dati e incoerenze dei dati e il tempo e il costo del failover. Per altre informazioni, vedere Raccomandazioni per la progettazione di una strategia di ripristino di emergenza.
Monitorare i potenziali problemi di disponibilità: sottoscrivere il dashboard integrità dei servizi di Azure per monitorare i potenziali problemi di disponibilità. Usare le metriche di archiviazione e i log di diagnostica in Monitoraggio di Azure per analizzare gli avvisi.
Consigli
| Elemento consigliato | Vantaggio |
|---|---|
| Configurare l'account di archiviazione per la ridondanza. Per la massima disponibilità e durabilità, configurare l'account con archiviazione con ridondanza della zona, archiviazione con ridondanza della zona, archiviazione con ridondanza geografica o archiviazione con ridondanza della zona o archiviazione con ridondanza della zona. Le aree di Azure limitate supportano l'archiviazione con ridondanza della zona per condivisioni file Standard e Premium . Solo gli account SMB standard supportano l'archiviazione con ridondanza geografica e archiviazione con ridondanza geografica e accesso in lettura. Le condivisioni SMB Premium e le condivisioni NFS non supportano l'archiviazione con ridondanza geografica e archiviazione con ridondanza geografica e archiviazione con ridondanza geografica. File di Azure non supporta l'archiviazione con ridondanza geografica e accesso in lettura (RA-GRS) o l'archiviazione con ridondanza geografica della zona (RA-GZRS). Se si configura un account di archiviazione per l'uso di archiviazione con ridondanza geografica o archiviazione con ridondanza geografica e accesso in lettura, le condivisioni file vengono configurate e fatturate come archiviazione con ridondanza geografica o archiviazione con ridondanza geografica e accesso in lettura. |
La ridondanza protegge i dati da errori imprevisti. Le opzioni di configurazione dell'archiviazione con ridondanza della zona e dell'archiviazione con ridondanza geografica della zona vengono replicate in diverse zone di disponibilità e consentono alle applicazioni di continuare a leggere i dati durante un'interruzione. Per altre informazioni, vedere Durabilità e disponibilità in base a scenari di interruzione e parametri di durabilità e disponibilità. |
| Prima di avviare un failover o un failback, controllare il valore dell'ultima proprietà dell'ora di sincronizzazione per valutare il potenziale di perdita di dati. Questa raccomandazione si applica solo alle configurazioni di archiviazione con ridondanza geografica e archiviazione con ridondanza geografica e archiviazione con ridondanza geografica. | Questa proprietà consente di stimare la quantità di dati che si potrebbero perdere se si avvia un failover dell'account. Tutti i dati e i metadati scritti prima dell'ora dell'ultima sincronizzazione sono disponibili nell'area secondaria, ma è possibile che i dati e i metadati scritti dopo l'ora dell'ultima sincronizzazione non vengano scritti nell'area secondaria. |
| Come parte della strategia di backup e ripristino, abilitare l'eliminazione temporanea e usare gli snapshot per il ripristino temporizzato. È possibile usare Backup di Azure per eseguire il backup delle condivisioni file SMB. È anche possibile usare Sincronizzazione file di Azure per eseguire il backup di condivisioni file SMB locali in una condivisione file di Azure. Backup di Azure consente anche di eseguire un backup con insieme di credenziali (anteprima) di File di Azure per proteggere i dati da attacchi ransomware o perdita di dati di origine a causa di un attore malintenzionato o di un amministratore non autorizzato. Usando il backup con insieme di credenziali, Backup di Azure copia e archivia i dati nell'insieme di credenziali di Servizi di ripristino. In questo modo viene creata una copia esterna dei dati che è possibile conservare per un massimo di 99 anni. Backup di Azure crea e gestisce i punti di ripristino in base alla pianificazione e alla conservazione definiti nei criteri di backup. Altre informazioni. |
L'eliminazione temporanea funziona a livello di condivisione file per proteggere le condivisioni file di Azure da eliminazioni accidentali. Il ripristino temporizzato protegge da eliminazioni o danneggiamenti accidentali perché è possibile ripristinare le condivisioni file in uno stato precedente. Per altre informazioni, vedere Panoramica della protezione dati. |
Sicurezza
Lo scopo del pilastro Sicurezza è fornire garanzie di riservatezza, integrità e disponibilità al carico di lavoro.
I principi di progettazione della sicurezza forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi applicando approcci alla progettazione tecnica della configurazione di archiviazione file.
I requisiti di sicurezza e le raccomandazioni variano a seconda che il carico di lavoro usi il protocollo SMB o NFS per accedere alle condivisioni file. Le sezioni seguenti includono quindi elenchi di controllo di progettazione e consigli separati per condivisioni file SMB e NFS.
Come procedura consigliata, è consigliabile mantenere condivisioni file SMB e NFS in account di archiviazione separati perché hanno requisiti di sicurezza diversi. Usare questo approccio per offrire al carico di lavoro una sicurezza avanzata e una flessibilità elevata.
Elenco di controllo di progettazione per condivisioni file SMB
Avviare la strategia di progettazione in base all'elenco di controllo per la revisione della progettazione per la sicurezza. Identificare vulnerabilità e controlli per migliorare il comportamento di sicurezza. Estendere la strategia per includere altri approcci in base alle esigenze.
Esaminare la baseline di sicurezza per Archiviazione di Azure: per iniziare, esaminare la baseline di sicurezza per Archiviazione.
Prendere in considerazione l'uso dei controlli di rete per limitare il traffico in ingresso e in uscita: potrebbe essere utile esporre l'account di archiviazione a Internet pubblico in determinate condizioni, ad esempio se si usa l'autenticazione basata sull'identità per concedere l'accesso alle condivisioni file. È tuttavia consigliabile usare i controlli di rete per concedere il livello minimo necessario di accesso a utenti e applicazioni. Per altre informazioni, vedere Come affrontare la sicurezza di rete per l'account di archiviazione.
Ridurre la superficie di attacco: usare la crittografia in transito e impedire l'accesso tramite connessioni HTTP (non sicure) per ridurre la superficie di attacco. Richiedere ai client di inviare e ricevere dati usando la versione più recente del protocollo TLS (Transport Layer Security).
Ridurre al minimo l'uso delle chiavi dell'account di archiviazione: l'autenticazione basata su identità offre una sicurezza superiore rispetto all'uso di una chiave dell'account di archiviazione. È tuttavia necessario usare una chiave dell'account di archiviazione per ottenere il controllo amministrativo completo di una condivisione file, inclusa la possibilità di acquisire la proprietà di un file. Concedere alle entità di sicurezza solo le autorizzazioni necessarie per eseguire le attività.
Proteggere le informazioni riservate: proteggere le informazioni riservate, ad esempio le chiavi e le password dell'account di archiviazione. Non è consigliabile usare queste forme di autorizzazione, ma, in caso affermativo, è consigliabile assicurarsi di ruotare, scadere e archiviarli in modo sicuro.
Rilevare le minacce: abilitare Microsoft Defender per Archiviazione per rilevare tentativi potenzialmente dannosi di accedere o sfruttare le condivisioni file di Azure tramite protocolli SMB o FileREST. Gli amministratori delle sottoscrizioni ricevono avvisi di posta elettronica con informazioni dettagliate sulle attività sospette e sulle raccomandazioni su come analizzare e correggere le minacce. Defender per Archiviazione non supporta le funzionalità antivirus per le condivisioni file di Azure. Se si usa Defender per Archiviazione, le condivisioni file con un numero elevato di transazioni comportano costi significativi, pertanto è consigliabile rifiutare esplicitamente Defender per archiviazione per account di archiviazione specifici.
Raccomandazioni per le condivisioni file SMB
| Elemento consigliato | Vantaggio |
|---|---|
| Applicare un blocco di Azure Resource Manager all'account di archiviazione. | Bloccare l'account per impedire l'eliminazione accidentale o dannosa dell'account di archiviazione, che può causare la perdita di dati. |
| Aprire la porta TCP 445 in uscita o configurare un gateway VPN o una connessione Azure ExpressRoute per i client esterni ad Azure per accedere alla condivisione file. | SMB 3.x è un protocollo sicuro da Internet, ma potrebbe non essere possibile modificare i criteri aziendali o ISP. È possibile usare un gateway VPN o una connessione ExpressRoute come opzione alternativa. |
| Se si apre la porta 445, assicurarsi di disabilitare SMBv1 nei client Windows e Linux . File di Azure non supporta SMB 1, ma è comunque consigliabile disabilitarlo nei client. | SMB 1 è un protocollo obsoleto, inefficiente e non sicuro. Disabilitarla nei client per migliorare il comportamento di sicurezza. |
| Valutare la possibilità di disabilitare l'accesso alla rete pubblica all'account di archiviazione. Abilitare l'accesso alla rete pubblica solo se i client e i servizi SMB esterni ad Azure richiedono l'accesso all'account di archiviazione. Se si disabilita l'accesso alla rete pubblica, creare un endpoint privato per l'account di archiviazione. Si applicano le tariffe di elaborazione dati standard per gli endpoint privati. Un endpoint privato non blocca le connessioni all'endpoint pubblico. È comunque consigliabile disabilitare l'accesso alla rete pubblica come descritto in precedenza. Se non è necessario un indirizzo IP statico per la condivisione file e si vuole evitare il costo degli endpoint privati, è invece possibile limitare l'accesso dell'endpoint pubblico a reti virtuali e indirizzi IP specifici. |
Il traffico di rete passa attraverso la rete backbone Microsoft anziché la rete Internet pubblica, eliminando così l'esposizione al rischio dalla rete Internet pubblica. |
| Abilitare le regole del firewall che limitano l'accesso a reti virtuali specifiche. Iniziare con zero accesso e quindi fornire in modo metodico e incrementale la quantità minima di accesso necessaria per client e servizi. | Ridurre al minimo il rischio di creare aperture per gli utenti malintenzionati. |
| Quando possibile, usare l'autenticazione basata su identità con la crittografia del ticket Kerberos AES-256 per autorizzare l'accesso alle condivisioni file di Azure SMB. | Usare l'autenticazione basata su identità per ridurre la possibilità che un utente malintenzionato usi una chiave dell'account di archiviazione per accedere alle condivisioni file. |
| Se si usano le chiavi dell'account di archiviazione, archiviarle in Key Vault e assicurarsi di rigenerarle periodicamente. È possibile impedire completamente l'accesso della chiave dell'account di archiviazione alla condivisione file rimuovendo NTLMv2 dalle impostazioni di sicurezza SMB della condivisione. Tuttavia, in genere non è consigliabile rimuovere NTLMv2 dalle impostazioni di sicurezza SMB della condivisione perché gli amministratori devono comunque usare la chiave dell'account per alcune attività. |
Usare Key Vault per recuperare le chiavi in fase di esecuzione anziché salvarle con l'applicazione. Key Vault semplifica anche la rotazione delle chiavi senza interruzioni nelle applicazioni. Ruotare periodicamente le chiavi dell'account per ridurre il rischio di esporre i dati ad attacchi dannosi. |
| Nella maggior parte dei casi, è necessario abilitare l'opzione Trasferimento sicuro obbligatorio in tutti gli account di archiviazione per abilitare la crittografia in transito per le condivisioni file SMB. Non abilitare questa opzione se è necessario consentire ai client molto vecchi di accedere alla condivisione. Se si disabilita il trasferimento sicuro, assicurarsi di usare i controlli di rete per limitare il traffico. |
Questa impostazione garantisce che tutte le richieste effettuate sull'account di archiviazione vengano eseguite tramite connessioni sicure (HTTPS). Tutte le richieste effettuate su HTTP avranno esito negativo. |
| Configurare l'account di archiviazione in modo che TLS 1.2 sia la versione minima per l'invio e la ricezione dei dati da parte dei client. | TLS 1.2 è più sicuro e più veloce di TLS 1.0 e 1.1, che non supporta algoritmi di crittografia moderni e suite di crittografia. |
| Usare solo la versione del protocollo SMB supportata più recente (attualmente 3.1.1.) e usare solo AES-256-GCM per la crittografia del canale SMB. File di Azure espone le impostazioni che è possibile usare per attivare o disattivare il protocollo SMB e renderlo più compatibile o più sicuro, a seconda dei requisiti dell'organizzazione. Per impostazione predefinita, tutte le versioni SMB sono consentite. Tuttavia, SMB 2.1 non è consentito se si abilita Richiedi trasferimento sicuro perché SMB 2.1 non supporta la crittografia dei dati in transito. Se si limitano queste impostazioni a un livello elevato di sicurezza, alcuni client potrebbero non essere in grado di connettersi alla condivisione file. |
SMB 3.1.1, rilasciato con Windows 10, contiene importanti aggiornamenti della sicurezza e delle prestazioni. AES-256-GCM offre una crittografia del canale più sicura. |
Elenco di controllo di progettazione per le condivisioni file NFS
Esaminare la baseline di sicurezza per Archiviazione: per iniziare, esaminare la baseline di sicurezza per Archiviazione.
Comprendere i requisiti di sicurezza dell'organizzazione: le condivisioni file di Azure NFS supportano solo i client Linux che usano il protocollo NFSv4.1, con il supporto per la maggior parte delle funzionalità della specifica del protocollo 4.1. Alcune funzionalità di sicurezza, ad esempio l'autenticazione Kerberos, gli elenchi di controllo di accesso (ACL) e la crittografia in transito, non sono supportate.
Usare la sicurezza e i controlli a livello di rete per limitare il traffico in ingresso e in uscita: l'autenticazione basata su identità non è disponibile per le condivisioni file di Azure NFS, quindi è necessario usare la sicurezza a livello di rete e i controlli per concedere il livello minimo necessario di accesso agli utenti e alle applicazioni. Per altre informazioni, vedere Come affrontare la sicurezza di rete per l'account di archiviazione.
Raccomandazioni per le condivisioni file NFS
| Elemento consigliato | Vantaggio |
|---|---|
| Applicare un blocco di Resource Manager all'account di archiviazione. | Bloccare l'account per impedire l'eliminazione accidentale o dannosa dell'account di archiviazione, che potrebbe causare la perdita di dati. |
| È necessario aprire la porta 2049 nei client in cui si vuole montare la condivisione NFS. | Aprire la porta 2049 per consentire ai client di comunicare con la condivisione file di Azure NFS. |
| Le condivisioni file di Azure NFS sono accessibili solo tramite reti con restrizioni. È quindi necessario creare un endpoint privato per l'account di archiviazione o limitare l'accesso dell'endpoint pubblico alle reti virtuali e agli indirizzi IP selezionati. È consigliabile creare un endpoint privato. È necessario configurare la sicurezza a livello di rete per le condivisioni NFS perché File di Azure non supporta la crittografia in transito con il protocollo NFS. È necessario disabilitare l'impostazione Richiedi trasferimento sicuro nell'account di archiviazione per usare condivisioni file di Azure NFS. Le tariffe standard per l'elaborazione dei dati si applicano agli endpoint privati. Se non è necessario un indirizzo IP statico per la condivisione file e si vuole evitare il costo degli endpoint privati, è invece possibile limitare l'accesso agli endpoint pubblici. |
Il traffico di rete passa attraverso la rete backbone Microsoft anziché la rete Internet pubblica, eliminando così l'esposizione al rischio dalla rete Internet pubblica. |
| Valutare la possibilità di impedire l'accesso alla chiave dell'account di archiviazione a livello di account di archiviazione. Non è necessario questo accesso per montare condivisioni file NFS. Tenere tuttavia presente che il controllo amministrativo completo di una condivisione file, inclusa la possibilità di assumere la proprietà di un file, richiede l'uso di una chiave dell'account di archiviazione. | Non consentire l'uso delle chiavi dell'account di archiviazione per rendere l'account di archiviazione più sicuro. |
Ottimizzazione dei costi
L'ottimizzazione dei costi è incentrata sul rilevamento dei modelli di spesa, sulla definizione delle priorità degli investimenti in aree critiche e sull'ottimizzazione in altri casi in modo da soddisfare il budget dell'organizzazione rispettando i requisiti aziendali.
I principi di progettazione di Ottimizzazione costi forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi e fare compromessi in base alle esigenze nella progettazione tecnica relativa all'archiviazione file e al relativo ambiente.
Elenco di controllo della progettazione
Avviare la strategia di progettazione in base all'elenco di controllo della revisione della progettazione per l'ottimizzazione dei costi per gli investimenti. Ottimizzare la progettazione in modo che il carico di lavoro sia allineato al budget allocato per il carico di lavoro. La progettazione deve usare le funzionalità di Azure appropriate, monitorare gli investimenti e trovare opportunità per ottimizzare nel tempo.
Decidere se il carico di lavoro richiede le prestazioni delle condivisioni file Premium (SSD Premium di Azure) o se l'archiviazione HDD Standard di Azure è sufficiente: determinare il tipo di account di archiviazione e il modello di fatturazione in base al tipo di archiviazione necessario. Se sono necessarie grandi quantità di operazioni di input/output al secondo (IOPS), velocità di trasferimento dei dati estremamente veloci o una latenza molto bassa, è consigliabile scegliere condivisioni file di Azure Premium. Le condivisioni file di Azure NFS sono disponibili solo nel livello Premium. Le condivisioni file NFS e SMB sono lo stesso prezzo del livello Premium.
Creare un account di archiviazione per la condivisione file e scegliere un livello di ridondanza: scegliere un account Standard (GPv2) o Premium (FileStorage). Il livello di ridondanza scelto influisce sui costi. Maggiore è la ridondanza, maggiore è il costo. L'archiviazione con ridondanza locale è il più conveniente. L'archiviazione con ridondanza geografica è disponibile solo per condivisioni file SMB standard. Le condivisioni file standard mostrano solo le informazioni sulle transazioni a livello di account di archiviazione, pertanto è consigliabile distribuire una sola condivisione file in ogni account di archiviazione per garantire la visibilità completa della fatturazione.
Informazioni sul modo in cui viene calcolata la fattura: le condivisioni file standard di Azure forniscono un modello con pagamento in base al consumo. Le condivisioni Premium usano un modello con provisioning in cui si specifica e si paga per una determinata quantità di capacità, operazioni di I/O al secondo e velocità effettiva in anticipo. Nel modello con pagamento in base al consumo, i contatori tengono traccia della quantità di dati archiviati nell'account o della capacità e del numero e del tipo di transazioni in base all'utilizzo di tali dati. Il modello con pagamento in base al consumo può essere conveniente perché si paga solo per ciò che si usa. Con il modello con pagamento in base al consumo, non è necessario effettuare il provisioning eccessivo o il deprovisioning dell'archiviazione in base ai requisiti di prestazioni o alle fluttuazioni della domanda.
Tuttavia, potrebbe risultare difficile pianificare l'archiviazione come parte di un processo di budget, perché il consumo degli utenti finali determina i costi. Con il modello con provisioning, le transazioni non influiscono sulla fatturazione, quindi i costi sono facili da prevedere. Ma si paga per la capacità di archiviazione con provisioning, indipendentemente dal fatto che venga usata o meno. Per una suddivisione dettagliata del modo in cui vengono calcolati i costi, vedere Informazioni sulla fatturazione File di Azure.
Stimare il costo della capacità e delle operazioni: è possibile usare il calcolatore prezzi di Azure per modellare i costi associati all'archiviazione dei dati, all'ingresso e all'uscita. Confrontare il costo associato a diverse aree, tipi di account e configurazioni di ridondanza. Per altre informazioni, vedere prezzi File di Azure.
Scegliere il livello di accesso più conveniente: le condivisioni file di Azure SMB Standard offrono tre livelli di accesso: ottimizzato per le transazioni, ad accesso frequente e sporadico. Tutti e tre i livelli vengono archiviati nello stesso hardware di archiviazione standard. La differenza principale per questi tre livelli è costituita dai relativi dati a prezzi di archiviazione inattivi, che sono inferiori nei livelli di raffreddamento e i prezzi delle transazioni, che sono più elevati nei livelli più sporadici. Per altre informazioni, vedere Differenze nei livelli standard.
Decidere quali servizi a valore aggiunto sono necessari: File di Azure supporta le integrazioni con servizi a valore aggiunto, ad esempio Backup, Sincronizzazione file di Azure e Defender for Storage. Queste soluzioni hanno le proprie licenze e i costi del prodotto, ma sono spesso considerati parte del costo totale di proprietà per l'archiviazione file. Prendere in considerazione altri aspetti dei costi se si usa Sincronizzazione file di Azure.
Creare protezioni: creare budget basati su sottoscrizioni e gruppi di risorse. Usare i criteri di governance per limitare tipi di risorse, configurazioni e posizioni. Inoltre, usare il controllo degli accessi in base al ruolo per bloccare le azioni che possono causare sovraccariche.
Monitorare i costi: assicurarsi che i costi rimangano all'interno dei budget, confrontare i costi rispetto alle previsioni e verificare dove si verificano eccedenze. È possibile usare il riquadro analisi dei costi nel portale di Azure per monitorare i costi. È anche possibile esportare i dati dei costi in un account di archiviazione e usare Excel o Power BI per analizzare tali dati.
Monitorare l'utilizzo: monitorare continuamente i modelli di utilizzo per rilevare gli account di archiviazione inutilizzati o sottoutilizzo e le condivisioni file. Verificare l'aumento imprevisto della capacità, che potrebbe indicare che si raccolgono numerosi file di log o file eliminati soft-delete. Sviluppare una strategia per l'eliminazione di file o lo spostamento di file in livelli di accesso più convenienti.
Consigli
| Elemento consigliato | Vantaggio |
|---|---|
| Quando si esegue la migrazione alle condivisioni file standard di Azure, è consigliabile iniziare nel livello ottimizzato per le transazioni durante la migrazione iniziale. L'utilizzo delle transazioni durante la migrazione non è in genere indicativo del normale utilizzo delle transazioni. Questa considerazione non si applica alle condivisioni file Premium perché il modello di fatturazione con provisioning non viene addebitato per le transazioni. | La migrazione a File di Azure è un carico di lavoro temporaneo e temporaneo. Ottimizzare il prezzo per carichi di lavoro con transazioni elevate per ridurre i costi di migrazione. |
| Dopo la migrazione del carico di lavoro, se si usano condivisioni file standard, scegliere con attenzione il livello di accesso più conveniente per la condivisione file: ad accesso frequente, sporadico o ottimizzato per le transazioni. Dopo aver eseguito il funzionamento per alcuni giorni o settimane con un utilizzo regolare, è possibile inserire i conteggi delle transazioni nel calcolatore dei prezzi per individuare il livello più adatto al carico di lavoro. La maggior parte dei clienti dovrebbe scegliere cool anche se usano attivamente la condivisione. È tuttavia necessario esaminare ogni condivisione e confrontare il saldo della capacità di archiviazione con le transazioni per determinare il livello. Se i costi delle transazioni costituiscono una percentuale significativa della fattura, i risparmi derivanti dall'uso del livello di accesso sporadico spesso sfalsa questo costo e riduce al minimo il costo complessivo. È consigliabile spostare condivisioni file standard tra livelli di accesso solo quando necessario per ottimizzare le modifiche nel modello di carico di lavoro. Ogni spostamento comporta transazioni. Per altre informazioni, vedere Passaggio tra livelli standard. |
Selezionare il livello di accesso appropriato per le condivisioni file standard per ridurre notevolmente i costi. |
| Se si usano condivisioni Premium, assicurarsi di effettuare il provisioning di capacità e prestazioni sufficienti per il carico di lavoro, ma non tanto da comportare costi non necessari. È consigliabile effettuare il provisioning eccessivo di due o tre volte. È possibile ridimensionare dinamicamente le condivisioni file Premium in base alle caratteristiche di archiviazione e input/output (I/O). | Effettuare il overprovisioning delle condivisioni file Premium per una quantità ragionevole per mantenere le prestazioni e tenere conto dei futuri requisiti di crescita e prestazioni. |
| Usare File di Azure prenotazioni, dette anche istanze riservate, per precommettere l'utilizzo dell'archiviazione e ottenere uno sconto. Usare prenotazioni per carichi di lavoro di produzione o carichi di lavoro di sviluppo/test con footprint coerenti. Per altre informazioni, vedere Ottimizzare i costi con le prenotazioni di archiviazione. Le prenotazioni non includono addebiti per transazioni, larghezza di banda, trasferimento dei dati e archiviazione dei metadati. |
Le prenotazioni di tre anni possono offrire uno sconto fino al 36% sul costo totale di archiviazione file. Le prenotazioni non influiscono sulle prestazioni. |
| Monitorare l'utilizzo degli snapshot. Gli snapshot comportano addebiti, ma vengono fatturati in base all'utilizzo differenziale dell'archiviazione di ogni snapshot. Si paga solo per la differenza in ogni snapshot. Per altre informazioni, vedere Snapshot. Sincronizzazione file di Azure acquisisce snapshot a livello di condivisione e a livello di file come parte dell'utilizzo regolare, che può aumentare il totale File di Azure fattura. |
Gli snapshot differenziali assicurano che non vengano fatturati più volte per l'archiviazione degli stessi dati. Tuttavia, è comunque consigliabile monitorare l'utilizzo degli snapshot per ridurre la fattura File di Azure. |
| Impostare i periodi di conservazione per la funzionalità di eliminazione temporanea, in particolare quando si inizia a usarlo per la prima volta. Prendere in considerazione l'avvio con un breve periodo di conservazione per comprendere meglio il modo in cui la funzionalità influisce sulla fattura. Il periodo di conservazione minimo consigliato è di sette giorni. Quando si eliminano in modo leggero le condivisioni file Standard e Premium, vengono fatturate come capacità usata anziché capacità di cui è stato effettuato il provisioning. E le condivisioni file Premium vengono fatturate alla tariffa snapshot durante lo stato di eliminazione temporanea. Le condivisioni file standard vengono fatturate a una tariffa regolare durante lo stato di eliminazione temporanea. |
Impostare un periodo di conservazione in modo che i file eliminati economicamente non vengano accumulati e aumentino il costo della capacità. Dopo il periodo di conservazione configurato, i dati eliminati definitivamente non comportano costi. |
Eccellenza operativa
L'eccellenza operativa si concentra principalmente sulle procedure per le procedure di sviluppo, l'osservabilità e la gestione del rilascio.
I principi di progettazione dell'eccellenza operativa forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi per i requisiti operativi del carico di lavoro.
Elenco di controllo della progettazione
Avviare la strategia di progettazione in base all'elenco di controllo della revisione della progettazione per l'eccellenza operativa per definire i processi per l'osservabilità, i test e la distribuzione correlati alla configurazione dell'archiviazione file.
Creare piani di manutenzione e ripristino di emergenza: prendere in considerazione le funzionalità di protezione dei dati, le operazioni di backup e ripristino e le procedure di failover. Prepararsi per potenziali perdite di dati e incoerenze dei dati e il tempo e il costo del failover.
Monitorare l'integrità dell'account di archiviazione: creare dashboard di Informazioni dettagliate archiviazione per monitorare le metriche di disponibilità, prestazioni e resilienza. Configurare gli avvisi per identificare e risolvere i problemi nel sistema prima che i clienti li notino. Usare le impostazioni di diagnostica per instradare i log delle risorse a un'area di lavoro Log di Monitoraggio di Azure. È quindi possibile eseguire query sui log per analizzare gli avvisi in modo più approfondito.
Esaminare periodicamente l'attività di condivisione file: l'attività di condivisione può cambiare nel tempo. Spostare condivisioni file standard in livelli di accesso più sporadici oppure è possibile effettuare il provisioning o il deprovisioning della capacità per le condivisioni Premium. Quando si spostano condivisioni file standard in un livello di accesso diverso, viene addebitato un addebito per le transazioni. Spostare condivisioni file standard solo quando necessario per ridurre la fattura mensile.
Consigli
| Elemento consigliato | Vantaggio |
|---|---|
| Usare l'infrastruttura come codice (IaC) per definire i dettagli degli account di archiviazione nei modelli di Azure Resource Manager (modelli arm), Bicep o Terraform. | È possibile usare i processi DevOps esistenti per distribuire nuovi account di archiviazione e usare Criteri di Azure per applicare la configurazione. |
| Usare Informazioni dettagliate sull'archiviazione per tenere traccia dell'integrità e delle prestazioni degli account di archiviazione. Informazioni dettagliate sull'archiviazione offre una visualizzazione unificata degli errori, delle prestazioni, della disponibilità e della capacità per tutti gli account di archiviazione. | È possibile tenere traccia dell'integrità e del funzionamento di ogni account. Creare facilmente dashboard e report che gli stakeholder possono usare per tenere traccia dell'integrità degli account di archiviazione. |
| Usare Monitoraggio per analizzare le metriche, ad esempio disponibilità, latenza e utilizzo e per creare avvisi. | Monitoraggio offre una visualizzazione della disponibilità, delle prestazioni e della resilienza per le condivisioni file. |
Efficienza delle prestazioni
L'efficienza delle prestazioni riguarda la gestione dell'esperienza utente anche quando si verifica un aumento del carico gestendo la capacità. La strategia include il ridimensionamento delle risorse, l'identificazione e l'ottimizzazione dei potenziali colli di bottiglia e l'ottimizzazione delle prestazioni massime.
I principi di progettazione dell'efficienza delle prestazioni forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi di capacità rispetto all'utilizzo previsto.
Elenco di controllo della progettazione
Avviare la strategia di progettazione in base all'elenco di controllo di revisione della progettazione per l'efficienza delle prestazioni. Definire una linea di base basata su indicatori di prestazioni chiave per la configurazione dell'archiviazione file.
Pianificare la scalabilità: comprendere gli obiettivi di scalabilità e prestazioni per account di archiviazione, File di Azure e Sincronizzazione file di Azure.
Comprendere i modelli di utilizzo e dell'applicazione per ottenere prestazioni prevedibili: determinare la sensibilità alla latenza, i requisiti di I/O al secondo e velocità effettiva, la durata e la frequenza del carico di lavoro e la parallelizzazione del carico di lavoro. Usare File di Azure per applicazioni multithread per ottenere i limiti di prestazioni superiori di un servizio. Se la maggior parte delle richieste è incentrata sui metadati, ad esempio createfile, openfile, closefile, queryinfo o querydirectory, le richieste creano una latenza scarsa superiore alle operazioni di lettura e scrittura. Se si verifica questo problema, è consigliabile separare la condivisione file in più condivisioni file all'interno dello stesso account di archiviazione.
Scegliere il tipo di account di archiviazione ottimale: se il carico di lavoro richiede grandi quantità di operazioni di I/O al secondo, velocità di trasferimento dei dati estremamente veloci o una latenza molto bassa, è consigliabile scegliere gli account di archiviazione Premium (FileStorage). È possibile usare un account standard per utilizzo generico v2 per la maggior parte dei carichi di lavoro di condivisione file SMB. Il compromesso principale tra i due tipi di account di archiviazione è il costo rispetto alle prestazioni.
Le dimensioni della condivisione di cui è stato effettuato il provisioning, ad esempio operazioni di I/O al secondo, in uscita e in ingresso e limiti di file singoli determinano le prestazioni della condivisione Premium. Per altre informazioni, vedere Informazioni sul provisioning per le condivisioni file Premium. Le condivisioni file Premium offrono anche crediti burst come criterio assicurativo se è necessario superare temporaneamente il limite di IOPS previsto di una condivisione file premium.
Creare account di archiviazione nelle stesse aree di connessione dei client per ridurre la latenza: più si è lontani dal servizio File di Azure, maggiore è la latenza e più difficile raggiungere i limiti di scalabilità delle prestazioni. Questa considerazione è particolarmente importante quando si accede File di Azure da ambienti locali. Se possibile, assicurarsi che l'account di archiviazione e i client si trovino nella stessa area di Azure. Ottimizzare per i client locali riducendo al minimo la latenza di rete o usando una connessione ExpressRoute per estendere le reti locali nel cloud Microsoft tramite una connessione privata.
Raccogliere dati sulle prestazioni: monitorare le prestazioni del carico di lavoro, tra cui latenza, disponibilità e metriche di utilizzo . Analizzare i log per diagnosticare problemi quali timeout e limitazione. Creare avvisi per notificare se una condivisione file viene limitata, che sta per essere limitata o che si verifica una latenza elevata.
Ottimizzare le distribuzioni ibride: se si usa Sincronizzazione file di Azure, le prestazioni di sincronizzazione dipendono da molti fattori: Windows Server e la configurazione del disco sottostante, la larghezza di banda di rete tra il server e l'archiviazione di Azure, le dimensioni dei file, le dimensioni totali del set di dati e l'attività nel set di dati. Per misurare le prestazioni di una soluzione basata su Sincronizzazione file di Azure, determinare il numero di oggetti, ad esempio file e directory, elaborati al secondo.
Consigli
| Elemento consigliato | Vantaggio |
|---|---|
| Abilitare SMB multicanale per le condivisioni file SMB Premium. SMB multicanale consente a un client SMB 3.1.1 di stabilire più connessioni di rete a una condivisione file di Azure SMB. SMB multicanale funziona solo quando la funzionalità è abilitata sia sul lato client (il client) che sul lato servizio (Azure). Nei client Windows SMB multicanale è abilitato per impostazione predefinita, ma è necessario abilitarlo nell'account di archiviazione. |
Aumentare la velocità effettiva e le operazioni di I/O al secondo riducendo il costo totale di proprietà. I vantaggi delle prestazioni aumentano con il numero di file che distribuiscono il carico. |
| Usare l'opzione di montaggio lato client nconnect con condivisioni file di Azure NFS nei client Linux. Nconnect consente di usare più connessioni TCP tra il client e il servizio Premium File di Azure per NFSv4.1. | Aumentare le prestazioni su larga scala e ridurre il costo totale di proprietà per le condivisioni file NFS. |
| Assicurarsi che la condivisione file o l'account di archiviazione non siano limitate, il che può comportare una latenza elevata, una velocità effettiva bassa o un numero ridotto di operazioni di I/O al secondo. Le richieste vengono limitate quando vengono raggiunti i limiti di IOPS, ingresso o uscita. Per gli account di archiviazione standard, la limitazione avviene a livello di account. Per le condivisioni file Premium, la limitazione si verifica in genere a livello di condivisione. |
Evitare la limitazione per offrire la migliore esperienza client possibile. |
Criteri di Azure
Azure offre un set completo di criteri predefiniti correlati alle File di Azure. È possibile controllare alcune delle raccomandazioni precedenti tramite i criteri di Azure. Ad esempio, è possibile verificare se:
- Vengono accettate solo le richieste provenienti da connessioni sicure, ad esempio HTTPS.
- L'autorizzazione con chiave condivisa è disabilitata.
- Le regole del firewall di rete vengono applicate all'account.
- Le impostazioni di diagnostica per File di Azure sono impostate per trasmettere i log delle risorse a un'area di lavoro Log di Monitoraggio di Azure.
- L'accesso alla rete pubblica è disabilitato.
- Sincronizzazione file di Azure è configurato con endpoint privati per l'uso di zone DNS private.
Per una governance completa, esaminare le definizioni predefinite Criteri di Azure per l'archiviazione e altri criteri che potrebbero influire sulla sicurezza del livello di calcolo.
Consigli di Azure Advisor
Azure Advisor è un consulente cloud personalizzato che facilita l'applicazione delle procedure consigliate per ottimizzare le distribuzioni di Azure. Ecco alcune raccomandazioni che consentono di migliorare l'affidabilità, la sicurezza, l'efficacia dei costi, le prestazioni e l'eccellenza operativa di File di Azure.
Passaggio successivo
Per altre informazioni, vedere File di Azure documentazione.