Bewerken

Delen via


SAS in Azure-architectuur

Azure Virtual Machines
Azure Virtual Network
Azure Files

Met deze oplossing worden SAS-analyseworkloads uitgevoerd in Azure. De richtlijnen hebben betrekking op verschillende implementatiescenario's. Er zijn bijvoorbeeld meerdere versies van SAS beschikbaar. U kunt SAS-software uitvoeren op zelfbeheerde virtuele machines (VM's). U kunt ook versies op basis van containers implementeren met behulp van Azure Kubernetes Service (AKS).

Architectuur

Architectuurdiagram waarin wordt getoond hoe u SAS-producten implementeert in Azure.

Het diagram bevat een grote rechthoek met het label Azure Virtual Network. Binnenin heeft een andere grote rechthoek de label nabijheidsplaatsingsgroep. Er zitten twee rechthoeken in. Ze worden verticaal gestapeld en elk heeft de labelnetwerkbeveiligingsgroep. Elke rechthoek van een beveiligingsgroep bevat verschillende computerpictogrammen die in rijen zijn gerangschikt. In de bovenste rechthoek hebben de computerpictogrammen aan de linkerkant van de bovenste rij het label Mid-laag. De pictogrammen aan de rechterkant hebben de labelmetagegevenslaag. De onderste rij met pictogrammen heeft de label compute-laag. In de onderste rechthoek bevat de bovenste rij met computerpictogrammen het label MGS- en MDS-servers. De onderste rij bevat de label OST's en OSS-servers.

Een Visio-bestand van deze architectuur downloaden.

Workflow

SAS Azure-implementaties bevatten doorgaans drie lagen:

  • Een API- of visualisatielaag. Binnen deze laag:

    • De metagegevenslaag biedt client-apps toegang tot metagegevens op gegevensbronnen, resources, servers en gebruikers.
    • Web-apps bieden toegang tot intelligentiegegevens in de middellaag.
  • Een rekenplatform, waar SAS-servers gegevens verwerken.

  • Een opslaglaag die SAS gebruikt voor permanente opslag. Populaire opties in Azure zijn:

    • Lustre
    • IBM Spectrum Scale
    • Netwerkbestandssysteem (NFS)

Een virtueel Azure-netwerk isoleert het systeem in de cloud. Binnen dat netwerk:

  • Een nabijheidsplaatsingsgroep vermindert de latentie tussen VM's.
  • Netwerkbeveiligingsgroepen beschermen SAS-resources tegen ongewenst verkeer.

Vereisten

Voordat u een SAS-workload implementeert, moet u ervoor zorgen dat de volgende onderdelen aanwezig zijn:

  • Een aanbeveling voor het aanpassen van de grootte van een SAS-grootteteam
  • Een SAS-licentiebestand
  • Toegang tot een resourcegroep voor het implementeren van uw resources
  • Een vCPU-abonnementsquotum (virtual Central Processing Unit) waarin rekening wordt gehouden met het formaat van het document en de VM-keuze
  • Toegang tot een LDAP-server (Secure Lightweight Directory Access Protocol)

Scenariodetails

Naast het bespreken van verschillende implementaties, is deze handleiding ook afgestemd op de Microsoft Azure Well-Architected Framework-tenets voor het bereiken van uitmuntendheid op het gebied van kosten, DevOps, tolerantie, schaalbaarheid en beveiliging. Maar neem naast het gebruik van deze handleiding contact op met een SAS-team voor aanvullende validatie van uw specifieke use-case.

Als partners werken Microsoft en SAS aan het ontwikkelen van een roadmap voor organisaties die innoveren in de cloud. Beide bedrijven streven ernaar om hoogwaardige implementaties van SAS-producten en -oplossingen in Azure te garanderen.

Inleiding tot SAS

SAS-analysesoftware biedt een reeks services en hulpprogramma's voor het tekenen van inzichten uit gegevens en het nemen van intelligente beslissingen. SAS-platforms ondersteunen de oplossingen volledig voor gebieden zoals gegevensbeheer, fraudedetectie, risicoanalyse en visualisatie. SAS biedt deze primaire platforms, die Door Microsoft zijn gevalideerd:

  • SAS Grid 9.4
  • SAS Viya

De volgende architecturen zijn getest:

  • SAS Grid 9.4 op Linux
  • SAS 9 Foundation
  • SAS Viya 3.5 met symmetrische multiprocessing (SMP) en MPP-architecturen (Massively Parallel Processing) op Linux
  • SAS Viya 2020 en hoger met een MPP-architectuur op AKS

Deze handleiding bevat algemene informatie voor het uitvoeren van SAS op Azure, niet platformspecifieke informatie. In deze richtlijnen wordt ervan uitgegaan dat u uw eigen SAS-oplossing host in Azure in uw eigen tenant. SAS host geen oplossing voor u in Azure. Zie SAS Managed Application Services voor meer informatie over de Azure-hosting- en beheerservices die SAS biedt.

Aanbevelingen

Houd rekening met de punten in de volgende secties bij het ontwerpen van uw implementatie.

SAS-documentatie biedt vereisten per kern, wat betekent dat per fysieke CPU-kern. Maar Azure biedt vCPU-vermeldingen. Op de VM's die we aanbevelen voor gebruik met SAS, zijn er twee vCPU's voor elke fysieke kern. Als u de waarde van een vCPU-vereiste wilt berekenen, gebruikt u de helft van de kernvereistewaarde. Een fysieke kernvereiste van 150 MBps wordt bijvoorbeeld omgezet in 75 MBps per vCPU. Zie Azure Compute Unit (ACU) voor meer informatie over de prestaties van Azure-computing.

Notitie

Als u gegevens opschaalt en ophoudt in een SAS-implementatie met één knooppunt (en niet naar een extern bestandssysteem), raadt de SAS-documentatie de bandbreedte van ten minste 150 MB/s aan. Om deze bandbreedte te bereiken, moet u meerdere P30 Premium-schijven (of grotere) stripen.

Besturingssystemen

Linux werkt het beste voor het uitvoeren van SAS-workloads. SAS ondersteunt 64-bits versies van de volgende besturingssystemen:

  • Red Hat 7 of hoger
  • SUSE Linux Enterprise Server (SLES) 12.2
  • Oracle Linux 6 of hoger

Zie de ondersteuningsmatrix van het SAS-besturingssysteem voor meer informatie over specifieke SAS-releases. In omgevingen die meerdere computers gebruiken, kunt u het beste dezelfde versie van Linux op alle computers uitvoeren. Azure biedt geen ondersteuning voor 32-bits Linux-implementaties.

Als u de compatibiliteit en integratie met Azure wilt optimaliseren, begint u met een installatiekopieën van een besturingssysteem vanuit Azure Marketplace. Het gebruik van een aangepaste installatiekopieën zonder extra configuraties kan de SAS-prestaties verminderen.

Kernelproblemen

Wanneer u een besturingssysteem kiest, moet u rekening houden met een voorlopig vergrendelingsprobleem dat van invloed is op de hele Red Hat 7.x-serie. Dit gebeurt in deze kernels:

  • Linux 3.x-kernels
  • Versies ouder dan 4.4

Een probleem met het geheugen- en I/O-beheer van Linux en Hyper-V veroorzaakt het probleem. Wanneer dit gebeurt, bevatten de systeemlogboeken vermeldingen zoals deze die een niet-maskerbare interrupt (NMI) vermelden:

Message from syslogd@ronieuwe-sas-e48-2 at Sep 13 08:26:08
kernel:NMI watchdog: BUG: soft lockup - CPU#12 stuck for 22s! [swapper/12:0]

Een ander probleem is van invloed op oudere versies van Red Hat. Het kan specifiek gebeuren in versies die voldoen aan deze voorwaarden:

  • Linux-kernels hebben die voorafgaan aan 3.10.0-957.27.2
  • NvMe-stations (non-volatile memory express) gebruiken

Wanneer het systeem een hoge geheugenbelasting ondervindt, kan het algemene NVMe-stuurprogramma voor Linux onvoldoende geheugen toewijzen voor een schrijfbewerking. Als gevolg hiervan rapporteert het systeem een zachte vergrendeling die voortvloeit uit een werkelijke impasse.

Voer een upgrade uit van uw kernel om beide problemen te voorkomen. U kunt ook deze mogelijke tijdelijke oplossing proberen:

  • Ingesteld /sys/block/nvme0n1/queue/max_sectors_kb op 128 in plaats van de standaardwaarde te gebruiken. 512
  • Wijzig deze instelling op elk NVMe-apparaat in de VIRTUELE machine en op elke VM-opstartbewerking.

Voer deze opdrachten uit om die instelling aan te passen:

# cat /sys/block/nvme0n1/queue/max_sectors_kb
512
# echo 128 >/sys/block/nvme0n1/queue/max_sectors_kb
# cat /sys/block/nvme0n1/queue/max_sectors_kb
128

Aanbevelingen voor vm-grootte

SAS-implementaties maken vaak gebruik van de volgende VM-SKU's:

Edsv5-serie

VM's in de Edsv5-serie zijn de standaard SAS-machines voor Viya en Grid. Ze bieden deze functies:

  • Beperkte kernen. Met veel machines in deze reeks kunt u het aantal VM-vCPU's beperken.
  • Een goede CPU-geheugenverhouding.
  • Een schijf met een hoge doorvoer die lokaal is gekoppeld. I/O-snelheid is belangrijk voor mappen zoals SASWORK en de CAS-cache CAS_CACHE(Cloud Analytics Services), die SAS gebruikt voor tijdelijke bestanden.

Als de vm's uit de Edsv5-serie niet beschikbaar zijn, is het raadzaam om de vorige generatie te gebruiken. De VM's uit de Edsv4-serie zijn getest en goed presteren op SAS-workloads.

Ebsv5-serie

In sommige gevallen beschikt de lokaal gekoppelde schijf niet over voldoende opslagruimte voor SASWORK of CAS_CACHE. Gebruik de Ebsv5-serie vm's met premium gekoppelde schijven om een grotere werkmap te krijgen. Deze VM's bieden de volgende functies:

  • Dezelfde specificaties als de Edsv5- en Esv5-VM's
  • Hoge doorvoer voor externe gekoppelde schijf, tot 4 GB/s, waardoor u zo groot of SASWORK CAS_CACHE zo nodig bent bij de I/O-behoeften van SAS.

Als de vm's uit de Edsv5-serie voldoende opslagruimte bieden, is het beter om ze te gebruiken omdat ze rendabeler zijn.

M-serie

Veel workloads maken gebruik van VM's uit de M-serie, waaronder:

  • SPRE-implementaties (SAS Programming Runtime Environment) die gebruikmaken van een Viya-benadering voor softwarearchitectuur.
  • Bepaalde SAS Grid-workloads.

VM's uit de M-serie bieden de volgende functies:

  • Beperkte kernen
  • Maximaal 3,8 TiB geheugen, geschikt voor workloads die een grote hoeveelheid geheugen gebruiken
  • Hoge doorvoer naar externe schijven, wat goed werkt voor de SASWORK map wanneer de lokaal beschikbare schijf onvoldoende is

Ls-serie

Bepaalde I/O-zware omgevingen moeten vm's uit de Lsv2-serie of Lsv3-serie gebruiken. Met name implementaties die snelle I/O-snelheid met lage latentie vereisen en een grote hoeveelheid geheugen profiteren van dit type machine. Voorbeelden hiervan zijn systemen die intensief gebruikmaken van de SASWORK map of CAS_CACHE.

Notitie

SAS optimaliseert de services voor gebruik met de Intel Math Kernel Library (MKL).

  • Vermijd met rekenworkloads vm's die geen Intel-processors gebruiken: Lsv2 en Lasv3.
  • Wanneer u een AMD CPU selecteert, valideert u hoe de MKL erop presteert.

Waarschuwing

Vermijd indien mogelijk het gebruik van Lsv2-VM's. Gebruik in plaats daarvan de Lsv3-VM's met Intel-chipsets.

Met Azure kunt u SAS Viya-systemen op aanvraag schalen om te voldoen aan deadlines:

  • Door de rekencapaciteit van de knooppuntgroep te vergroten.
  • Door de automatische schaalaanpassing van AKS-clusters te gebruiken om knooppunten toe te voegen en horizontaal te schalen.
  • Door de infrastructuur tijdelijk op te schalen om een SAS-workload te versnellen.

Notitie

Bij het schalen van computeronderdelen kunt u ook overwegen om opslag-I/O-knelpunten te voorkomen.

Met Viya 3.5- en Grid-workloads biedt Azure momenteel geen ondersteuning voor horizontaal of verticaal schalen. Viya 2022 ondersteunt horizontaal schalen.

Overwegingen voor netwerk- en VM-plaatsing

SAS-workloads zijn vaak chattyp. Hierdoor kunnen ze een aanzienlijke hoeveelheid gegevens overdragen. Volg bij alle SAS-platforms deze aanbevelingen om de gevolgen van chatter te verminderen:

  • Implementeer SAS- en opslagplatforms in hetzelfde virtuele netwerk. Deze aanpak voorkomt ook dat er peeringkosten in rekening worden gebracht.
  • Plaats SAS-machines in een nabijheidsplaatsingsgroep om de latentie tussen knooppunten te verminderen.
  • Implementeer indien mogelijk SAS-machines en op VM's gebaseerde gegevensopslagplatforms in dezelfde nabijheidsplaatsingsgroep.
  • Implementeer SAS- en opslagapparaten in dezelfde beschikbaarheidszone om latentie tussen zones te voorkomen. Als u niet kunt bevestigen dat uw oplossingsonderdelen in dezelfde zone zijn geïmplementeerd, neemt u contact op met ondersteuning voor Azure.

SAS heeft specifieke FQDN-vereisten (Fully Qualified Domain Name) voor VM's. Stel de FQDN's van de computer correct in en zorg ervoor dat DNS-services (Domain Name System) werken. U kunt de namen instellen met Azure DNS. U kunt het hosts bestand ook bewerken in de etc configuratiemap.

Notitie

Schakel versneld netwerken in op alle knooppunten in de SAS-implementatie. Wanneer u deze functie uitschakelt, lijden de prestaties aanzienlijk.

Voer de volgende stappen uit om versneld netwerken op een virtuele machine in te schakelen:

  1. Voer deze opdracht uit in de Azure CLI om de toewijzing van de VM ongedaan te maken:

    az vm deallocate --resource-group <resource_group_name> --name <VM_name>

  2. Schakel de VIRTUELE machine uit.

  3. Voer deze opdracht uit in de CLI:

    az network nic update -n <network_interface_name> -g <resource_group_name> --accelerated-networking true

Wanneer u gegevens migreert of communiceert met SAS in Azure, wordt u aangeraden een van deze oplossingen te gebruiken om on-premises resources te verbinden met Azure:

Voor productie-SAS-workloads in Azure biedt ExpressRoute een privé-, toegewezen en betrouwbare verbinding die deze voordelen biedt via een site-naar-site-VPN:

  • Hogere snelheid
  • Lagere latentie
  • Strakkere beveiliging

Let op latentiegevoelige interfaces tussen SAS- en niet-SAS-toepassingen. Overweeg om gegevensbronnen en sinks dicht bij SAS te verplaatsen.

Identiteitsbeheer

SAS-platforms kunnen lokale gebruikersaccounts gebruiken. Ze kunnen ook een secure LDAP-server gebruiken om gebruikers te valideren. U wordt aangeraden een domeincontroller uit te voeren in Azure. Gebruik vervolgens de functie domeindeelname om de toegang tot de beveiliging correct te beheren. Als u geen domeincontrollers hebt ingesteld, kunt u Microsoft Entra Domain Services implementeren. Wanneer u de functie domeindeelname gebruikt, moet u ervoor zorgen dat computernamen niet groter zijn dan de limiet van 15 tekens.

Notitie

In sommige omgevingen is er een vereiste voor on-premises connectiviteit of gedeelde gegevenssets tussen on-premises en door Azure gehoste SAS-omgevingen. In deze situaties raden we sterk aan om een domeincontroller in Azure te implementeren.

Het Microsoft Entra Domain Services-forest maakt gebruikers die kunnen worden geverifieerd met Microsoft Entra-apparaten, maar niet on-premises resources en vice versa.

Gegevensbronnen

SAS-oplossingen hebben vaak toegang tot gegevens van meerdere systemen. Deze gegevensbronnen vallen in twee categorieën:

  • SAS-gegevenssets, die door SAS in de SASDATA map worden opgeslagen
  • Databases, waarvoor SAS vaak een zware belasting heeft

Voor de beste prestaties:

  • Plaats gegevensbronnen zo dicht mogelijk bij de SAS-infrastructuur.
  • Beperk het aantal netwerkhops en apparaten tussen gegevensbronnen en SAS-infrastructuur.

Notitie

Als u gegevensbronnen niet dicht bij de SAS-infrastructuur kunt verplaatsen, vermijdt u het uitvoeren van analyses. Voer in plaats daarvan eerst ETL-processen (Extract, Transform, Load) uit en voer later analyses uit. Neem dezelfde benadering met gegevensbronnen die onder stress vallen.

Permanente externe opslag voor SAS-gegevens

SAS en Microsoft hebben een reeks gegevensplatforms getest die u kunt gebruiken om SAS-gegevenssets te hosten. De SAS-blogs documenteren de resultaten in detail, inclusief prestatiekenmerken. De tests omvatten de volgende platformen:

SAS biedt scripts voor het testen van prestaties voor de Viya- en Grid-architecturen. De SAS-forums bieden documentatie over tests met scripts op deze platforms.

Sycomp Storage Fueled by IBM Spectrum Scale (GPFS)

Zie DE SAS-beoordeling van Sycomp voor SAS Grid voor meer informatie over hoe Sycomp Storage die wordt gevoed door IBM Spectrum Scale voldoet aan de verwachtingen van de prestaties.

Voor het aanpassen van de grootte doet Sycomp de volgende aanbevelingen:

  • Geef één GPFS-schaalknooppunt per acht kernen op met een configuratie van 150 MBps per kern.
  • Gebruik minimaal vijf P30-stations per exemplaar.
Azure Managed Lustre

Azure Managed Lustre is een beheerd bestandssysteem dat is gemaakt voor HPC-workloads (High Performance Computing) en AI. Managed Lustre kan parallel SAS 9- en Viya-workloads uitvoeren. Volg deze aanbevelingen om de prestaties van uw bestandssysteem te optimaliseren:

  • Wanneer u Managed Lustre implementeert, voert u afstemming uit op alle clientknooppunten om het leeshoofd van de Lustre-client te verhogen en de gelijktijdigheid voor SAS I/O-patronen te optimaliseren. Voer de volgende opdracht uit om deze afstemming uit te voeren:

    lctl set_param mdc.*.max_rpcs_in_flight=128 osc.*.max_pages_per_rpc=16M osc.*.max_rpcs_in_flight=16 osc.*.max_dirty_mb=1024 llite.*.max_read_ahead_mb=2048 osc.*.checksums=0  llite.*.max_read_ahead_per_file_mb=256
    
  • Schakel versneld netwerken in op alle SAS-VM's.

  • Als u de netwerklatentie wilt verminderen, plaatst u de SAS-VM's in dezelfde beschikbaarheidszone waarin Managed Lustre is geïmplementeerd.

Premium-laag van Azure Files

De Premium-laag van Azure Files is een beheerde service die ondersteuning biedt voor het NFS 4.1-protocol. Het biedt een kostenefficiënt, elastisch, performant en POSIX-compatibel bestandssysteem. De IOPS en doorvoer van NFS-shares worden geschaald met de ingerichte capaciteit. SAS heeft de Premium-laag van Azure Files uitgebreid getest en heeft vastgesteld dat de prestaties meer dan voldoende zijn om SAS-installaties aan te kunnen.

U kunt deze gebruiken nconnect om de prestaties te verbeteren. Met deze koppelingsoptie worden IO-aanvragen verspreid over meerdere kanalen. Zie NFS-prestaties voor meer informatie.

Houd rekening met de volgende punten wanneer u een NFS Azure-bestandsshare in Azure Files gebruikt:

  • Pas de ingerichte capaciteit aan om te voldoen aan de prestatievereisten. De IOPS en doorvoer van NFS-shares worden geschaald met de ingerichte capaciteit. Zie NFS-prestaties voor meer informatie.
  • Gebruik nConnect in uw koppelingen met een instelling voor nconnect=4 optimaal parallel kanaalgebruik.
  • Optimaliseer de lees-vooruit-instellingen zodat ze 15 keer zo rsize zijn als en wsize. Voor de meeste workloads raden we een rsize en wsize van 1 MB en een read-ahead instelling van 15 MB aan. Zie Voor meer informatie vergroot u de leesgrootte.
Azure NetApp Files (NFS)

SAS-tests hebben NetApp-prestaties voor SAS Grid gevalideerd. Testen laat zien dat Azure NetApp Files een bruikbare primaire opslagoptie is voor SAS Grid-clusters van maximaal 32 fysieke kernen op meerdere computers. Wanneer NetApp optimalisaties en Linux-functies worden gebruikt, kan Azure NetApp Files de primaire optie zijn voor clusters tot 48 fysieke kernen op meerdere computers.

Houd rekening met de volgende punten wanneer u deze service gebruikt:

  • Azure NetApp Files werkt goed met Viya-implementaties. Gebruik Azure NetApp Files niet voor de CAS-cache in Viya, omdat de schrijfdoorvoer onvoldoende is. Gebruik indien mogelijk de lokale tijdelijke schijf van uw VIRTUELE machine.
  • Op SAS 9 Foundation met Grid 9.4 zijn de prestaties van Azure NetApp Files met SAS voor SASDATA bestanden geschikt voor clusters met maximaal 32 fysieke kernen. Dit verhoogt tot 48 kernen wanneer afstemming wordt toegepast.
  • Om goede prestaties te garanderen, selecteert u ten minste een serviceniveau van de Premium- of Ultra-opslaglaag bij het implementeren van Azure NetApp Files. U kunt het standaardserviceniveau kiezen voor zeer grote volumes. Overweeg om te beginnen met het Premium-niveau en later over te schakelen naar Ultra of Standard. Wijzigingen op serviceniveau kunnen online worden uitgevoerd, zonder onderbrekingen of gegevensmigraties.
  • Leesprestaties en schrijfprestaties verschillen voor Azure NetApp Files. Schrijfdoorvoer voor SAS bereikt limieten van ongeveer 1600 MiB/s, terwijl leesdoorvoer verder gaat dan dat, tot ongeveer 4500 MiB/s. Als u continue hoge schrijfdoorvoer nodig hebt, is Azure NetApp Files mogelijk niet geschikt.
NFS read-ahead tuning

Om de prestaties van uw SAS-workload te verbeteren, is het belangrijk om de read-ahead kernelinstelling af te stemmen, wat van invloed is op hoe NFS-shares worden gekoppeld. Wanneer lezen is ingeschakeld, kan de Linux-kernel blokken aanvragen voordat de toepassing daadwerkelijk I/O gebruikt. Het resultaat is een verbeterde sequentieel leesdoorvoer. De meeste SAS-workloads lezen veel grote bestanden voor verdere verwerking, dus SAS profiteert enorm van grote read-ahead buffers.

Met Linux-kernels 5.4 of hoger is de standaardinstelling voor lezen gewijzigd van 15 MB in 128 KB. De nieuwe standaardinstelling vermindert de leesprestaties voor SAS. Als u uw prestaties wilt maximaliseren, verhoogt u de instelling voor lezen op uw SAS Linux-VM's. SAS en Microsoft raden u aan om voorlezen in te stellen op 15 keer de rsize en wsize. Idealiter zijn de rsize en wsize beide 1 MB en de read-ahead is 15 MB.

Het instellen van de leesbewerking op een virtuele machine is eenvoudig. Hiervoor moet u een udev-regel toevoegen.

Voor Kubernetes is dit proces complexer omdat dit moet worden uitgevoerd op de host en niet op de pod. SAS biedt scripts voor Viya in AKS die automatisch de waarde voor lezen op het bericht instellen. Zie NFS Premium-shares gebruiken in Azure Files voor SAS Viya in Kubernetes voor meer informatie.

Andere gegevensbronnen

SAS-platforms ondersteunen verschillende gegevensbronnen:

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

De uitvoer van uw SAS-workloads kan een van de essentiële assets van uw organisatie zijn. SAS-uitvoer biedt inzicht in interne efficiëntie en kan een cruciale rol spelen in uw rapportagestrategie. Het is dan belangrijk om de toegang tot uw SAS-architectuur te beveiligen. Gebruik veilige verificatie en adressering van netwerkproblemen om dit doel te bereiken. Gebruik versleuteling om alle gegevens te beveiligen die in en uit uw architectuur worden verplaatst.

Azure levert SAS met behulp van een IaaS-cloudmodel (Infrastructure as a Service). Microsoft bouwt beveiligingsbeveiligingen in de service op de volgende niveaus:

  • Fysiek datacenter
  • Fysiek netwerk
  • Fysieke host
  • Hypervisor

Evalueer zorgvuldig de services en technologieën die u selecteert voor de gebieden boven de hypervisor, zoals het gastbesturingssysteem voor SAS. Zorg ervoor dat u de juiste beveiligingsmaatregelen voor uw architectuur biedt.

SAS biedt momenteel geen volledige ondersteuning voor Microsoft Entra-id. Voor verificatie in de visualisatielaag voor SAS kunt u Microsoft Entra-id gebruiken. Voor back-endautorisatie gebruikt u echter een strategie die vergelijkbaar is met on-premises verificatie. Bij het beheren van IaaS-resources kunt u Microsoft Entra-id gebruiken voor verificatie en autorisatie voor Azure Portal. Wanneer u Microsoft Entra Domain Services gebruikt, kunt u geen gastaccounts verifiëren. Pogingen van gasten om zich aan te melden mislukken.

Gebruik netwerkbeveiligingsgroepen om netwerkverkeer naar en van resources in uw virtuele netwerk te filteren. Met deze groepen kunt u regels definiëren waarmee toegang tot uw SAS-services wordt verleend of geweigerd. Voorbeelden zijn:

  • Toegang verlenen tot CAS-werkpoorten vanuit on-premises IP-adresbereiken.
  • De toegang tot SAS-services vanaf internet blokkeren.

U kunt Azure Disk Encryption gebruiken voor versleuteling binnen het besturingssysteem. Deze oplossing maakt gebruik van de DM-Crypt-functie van Linux. Maar momenteel raden we het gebruik van Azure Disk Encryption niet aan. Het kan de prestaties ernstig verminderen, met name wanneer u bestanden lokaal gebruikt SASWORK .

Versleuteling aan de serverzijde (SSE) van Azure Disk Storage beveiligt uw gegevens. Het helpt u ook om te voldoen aan de beveiligings- en nalevingsverplichtingen van de organisatie. Met beheerde Azure-schijven versleutelt SSE de data-at-rest wanneer deze in de cloud worden bewaard. Dit gedrag is standaard van toepassing op zowel besturingssysteem- als gegevensschijven. U kunt door het platform beheerde sleutels of uw eigen sleutels gebruiken om uw beheerde schijf te versleutelen.

Uw infrastructuur beveiligen

Beheer de toegang tot de Azure-resources die u implementeert. Elk Azure-abonnement heeft een vertrouwensrelatie met een Microsoft Entra-tenant. Gebruik op Azure-rollen gebaseerd toegangsbeheer (Azure RBAC) om gebruikers binnen uw organisatie de juiste machtigingen voor Azure-resources te verlenen. Verleen toegang door een Azure-rol toe te wijzen aan gebruikers of groepen met een bepaald bereik. Het bereik kan een abonnement, een resourcegroep of één resource zijn. Zorg ervoor dat u alle wijzigingen in de infrastructuur controleert.

Externe toegang tot uw VM's beheren via Azure Bastion. Maak geen van deze onderdelen beschikbaar op internet:

  • VM's
  • SSH-poorten (Secure Shell Protocol)
  • RDP-poorten (Remote Desktop Protocol)

Dit scenario implementeren

U kunt workloads het beste implementeren met behulp van een IaC-proces (Infrastructure as Code). SAS-workloads kunnen gevoelig zijn voor onjuiste configuraties die vaak voorkomen in handmatige implementaties en de productiviteit verminderen.

Wanneer u uw omgeving bouwt, raadpleegt u het snelstartmateriaal in CoreCompete SAS 9 of Viya in Azure.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Belangrijkste auteurs:

Andere Inzenders:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

Zie de volgende bronnen voor hulp bij het aan de slag gaan:

Zie de volgende sjablonen die SAS biedt voor hulp bij het automatiseringsproces: