Perspectief van Azure Well-Architected Framework in Azure Blob Storage
Azure Blob Storage is een Microsoft-oplossing voor objectopslag voor de cloud. Blob Storage is geoptimaliseerd voor het opslaan van enorme hoeveelheden ongestructureerde gegevens. Ongestructureerde gegevens zijn gegevens die niet voldoen aan een specifiek gegevensmodel of een specifieke definitie, zoals tekst of binaire gegevens.
In dit artikel wordt ervan uitgegaan dat u als architect uw opslagopties hebt gecontroleerd en Blob Storage hebt gekozen als de opslagservice waarop uw workloads moeten worden uitgevoerd. De richtlijnen in dit artikel bevatten architectuuraanbevelingen die zijn toegewezen aan de principes van de pijlers van het Azure Well-Architected Framework.
Belangrijk
Deze handleiding gebruiken
Elke sectie bevat een controlelijst voor ontwerpen die architectonische aandachtspunten samen met ontwerpstrategieën presenteert.
Ook zijn inbegrepen aanbevelingen voor de technologiemogelijkheden die kunnen helpen bij het implementeren van deze strategieën. De aanbevelingen vertegenwoordigen geen volledige lijst met alle configuraties die beschikbaar zijn voor Blob Storage en de bijbehorende afhankelijkheden. In plaats daarvan worden de belangrijkste aanbevelingen vermeld die zijn toegewezen aan de ontwerpperspectieven. Gebruik de aanbevelingen om uw proof-of-concept te bouwen of uw bestaande omgevingen te optimaliseren.
Betrouwbaarheid
Het doel van de pijler Betrouwbaarheid is om doorlopende functionaliteit te bieden door voldoende tolerantie en de mogelijkheid om snel te herstellen na storingen.
De principes voor betrouwbaarheidsontwerp bieden een ontwerpstrategie op hoog niveau die wordt toegepast op afzonderlijke onderdelen, systeemstromen en het systeem als geheel.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor betrouwbaarheid.
Analyse van foutmodus gebruiken: minimaliseer punten van fouten door interne afhankelijkheden te overwegen, zoals de beschikbaarheid van virtuele netwerken, Azure Key Vault of Azure Content Delivery Network of Azure Front Door-eindpunten. Er kunnen fouten optreden als referenties die zijn vereist voor workloads voor toegang tot Blob Storage ontbreken in Key Vault of als workloads een eindpunt gebruiken op basis van een netwerk voor contentlevering dat wordt verwijderd. In dergelijke gevallen moeten workloads mogelijk een alternatief eindpunt gebruiken om verbinding te maken. Zie Aanbevelingen voor algemene informatie over het analyseren van foutmodus.
Definieer betrouwbaarheids- en hersteldoelen: Controleer de Sla's (Service Level Agreements) van Azure. Leid de serviceniveaudoelstelling (SLO) af voor het opslagaccount. De SLO kan bijvoorbeeld worden beïnvloed door de redundantieconfiguratie die u hebt gekozen. Houd rekening met het effect van een regionale storing, het potentieel voor gegevensverlies en de tijd die nodig is om de toegang na een storing te herstellen. Houd ook rekening met de beschikbaarheid van interne afhankelijkheden die u hebt geïdentificeerd als onderdeel van uw analyse van de foutmodus.
Gegevensredundantie configureren: kies voor maximale duurzaamheid een configuratie waarmee gegevens in beschikbaarheidszones of globale regio's worden gekopieerd. Kies voor maximale beschikbaarheid een configuratie waarmee clients gegevens uit de secundaire regio kunnen lezen tijdens een storing in de primaire regio.
Ontwerptoepassingen: ontwerptoepassingen om naadloos over te schakelen naar het lezen van gegevens uit de secundaire regio als de primaire regio om welke reden dan ook niet beschikbaar is. Dit geldt alleen voor configuraties van geografisch redundante opslag (GRS) en geografisch zone-redundante opslag (GZRS). Het ontwerpen van toepassingen voor het afhandelen van storingen vermindert downtime voor eindgebruikers.
Verken functies om te voldoen aan uw hersteldoelen: maak blobs herstelbaar zodat ze per ongeluk kunnen worden hersteld als ze beschadigd, bewerkt of verwijderd zijn.
Maak een herstelplan: Overweeg functies voor gegevensbeveiliging, back-up- en herstelbewerkingen of failoverprocedures. Bereid u voor op mogelijke gegevensverlies en inconsistenties van gegevens en de tijd en kosten van failover. Zie Aanbevelingen voor meer informatie over het ontwerpen van een strategie voor herstel na noodgevallen.
Mogelijke beschikbaarheidsproblemen bewaken: abonneer u op het Dashboard van Azure Service Health om mogelijke beschikbaarheidsproblemen te controleren. Gebruik metrische opslaggegevens in Azure Monitor en diagnostische logboeken om waarschuwingen te onderzoeken.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Configureer uw account voor redundantie. Configureer uw account voor maximale beschikbaarheid en duurzaamheid met behulp van zone-redundante opslag (ZRS) of GZRS. |
Redundantie beschermt uw gegevens tegen onverwachte fouten. De ZRS- en GZRS-configuratieopties worden gerepliceerd in verschillende beschikbaarheidszones en stellen toepassingen in staat om gegevens tijdens een storing verder te lezen. Zie Duurzaamheid en beschikbaarheid per storingsscenario en parameters voor duurzaamheid en beschikbaarheid voor meer informatie. |
| Voordat u een failover of failback start, evalueert u het potentieel voor gegevensverlies door de waarde van de laatste eigenschap van de synchronisatietijd te controleren. Deze aanbeveling is alleen van toepassing op GRS- en GZRS-configuraties. | Met deze eigenschap kunt u schatten hoeveel gegevens u kwijtraakt door een accountfailover te starten. Alle gegevens en metagegevens die vóór de laatste synchronisatietijd zijn geschreven, zijn beschikbaar in de secundaire regio, maar gegevens en metagegevens die na de laatste synchronisatietijd zijn geschreven, gaan mogelijk verloren omdat deze niet naar de secundaire regio worden geschreven. |
| Schakel als onderdeel van uw back-up- en herstelstrategie de opties voor voorlopig verwijderen van containers, voorlopig verwijderen van blobs, versiebeheer en herstel naar een bepaald tijdstip in. | Met de optie voorlopig verwijderen kan een opslagaccount verwijderde containers en blobs herstellen. Met de optie voor versiebeheer worden wijzigingen in blobs automatisch bijgehouden. Met deze optie kunt u een blob herstellen naar een eerdere status. De hersteloptie voor een bepaald tijdstip beschermt tegen onbedoeld verwijderen of beschadigd blobs en stelt u in staat om blok-blobgegevens te herstellen naar een eerdere status. Zie het overzicht van gegevensbescherming voor meer informatie. |
Beveiliging
Het doel van de beveiligingspijler is het bieden van vertrouwelijkheid, integriteit en beschikbaarheidsgaranties voor de workload.
De principes voor beveiligingsontwerp bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelen door benaderingen toe te passen op het technische ontwerp van uw Blob Storage-configuratie.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Beveiliging. Identificeer beveiligingsproblemen en besturingselementen om het beveiligingspostuur te verbeteren. Breid de strategie uit om zo nodig meer benaderingen op te nemen.
Bekijk de beveiligingsbasislijn voor Azure Storage: Bekijk eerst de beveiligingsbasislijn voor Storage om aan de slag te gaan.
Netwerkbesturingselementen gebruiken om inkomend en uitgaand verkeer te beperken: schakel al het openbare verkeer naar het opslagaccount uit. Gebruik netwerkbesturingselementen voor accounts om het minimale toegangsniveau te verlenen dat vereist is voor gebruikers en toepassingen. Zie Netwerkbeveiliging benaderen voor uw opslagaccount voor meer informatie.
Verminder het kwetsbaarheid voor aanvallen: anonieme toegang, toegang tot accountsleutels of toegang via niet-beveiligde (HTTP)-verbindingen voorkomen, kan het kwetsbaarheid voor aanvallen verminderen. Vereisen dat clients gegevens verzenden en ontvangen met behulp van de nieuwste versie van het TLS-protocol (Transport Layer Security).
Toegang autoriseren zonder wachtwoorden of sleutels te gebruiken: Microsoft Entra ID biedt superieure beveiliging en gebruiksgemak in vergelijking met gedeelde sleutels en handtekeningen voor gedeelde toegang. Verlenen alleen de machtigingen die nodig zijn om hun taken uit te voeren.
Gevoelige informatie beveiligen: beveilig gevoelige informatie, zoals accountsleutels en shared access Signature-tokens. Hoewel deze autorisatievormen over het algemeen niet worden aanbevolen, moet u ervoor zorgen dat u ze veilig draait, verloopt en opslaat.
Schakel de vereiste optie voor veilige overdracht in: als u deze instelling inschakelt voor al uw opslagaccounts, zorgt u ervoor dat alle aanvragen die zijn gedaan voor het opslagaccount, moeten plaatsvinden via beveiligde verbindingen. Alle aanvragen die zijn uitgevoerd via HTTP-failover.
Kritieke objecten beveiligen: beleid voor onveranderbaarheid toepassen om kritieke objecten te beveiligen. Beleidsregels beschermen blobs die zijn opgeslagen voor juridische, nalevingsdoeleinden of andere zakelijke doeleinden, zodat ze niet kunnen worden gewijzigd of verwijderd. Configureer bewaringen voor ingestelde tijdsperioden of totdat beperkingen worden opgeheven door een beheerder.
Bedreigingen detecteren: Schakel Microsoft Defender voor Storage in om bedreigingen te detecteren. Beveiligingswaarschuwingen worden geactiveerd wanneer zich afwijkingen in de activiteit voordoen. De waarschuwingen melden abonnementsbeheerders via e-mail met details van verdachte activiteiten en aanbevelingen voor het onderzoeken en oplossen van bedreigingen.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Anonieme leestoegang tot containers en blob uitschakelen. | Wanneer anonieme toegang is toegestaan voor een opslagaccount, kan een gebruiker met de juiste machtigingen de instelling voor anonieme toegang van een container wijzigen om anonieme toegang tot de gegevens in die container in te schakelen. |
| Pas een Azure Resource Manager-vergrendeling toe op het opslagaccount. | Het vergrendelen van een account voorkomt dat het wordt verwijderd en gegevensverlies veroorzaakt. |
| Schakel verkeer naar de openbare eindpunten van uw opslagaccount uit. Maak privé-eindpunten voor clients die worden uitgevoerd in Azure. Schakel het openbare eindpunt alleen in als clients en services buiten Azure directe toegang tot uw opslagaccount vereisen. Schakel firewallregels in waarmee de toegang tot specifieke virtuele netwerken wordt beperkt. | Begin met nul toegang en autoriseer vervolgens incrementeel de laagste toegangsniveaus die vereist zijn voor clients en services om het risico te minimaliseren dat er onnodige openingen voor aanvallers ontstaan. |
| Toegang autoriseren met behulp van op rollen gebaseerd toegangsbeheer van Azure (RBAC). | Met RBAC zijn er geen wachtwoorden of sleutels die kunnen worden aangetast. De beveiligingsprincipaal (gebruiker, groep, beheerde identiteit of service-principal) wordt geverifieerd door Microsoft Entra-id om een OAuth 2.0-token te retourneren. Het token wordt gebruikt om een aanvraag te autoriseren voor de Blob Storage-service. |
| Autorisatie van gedeelde sleutels is niet toe te staat. Hierdoor wordt niet alleen toegang tot accountsleutels, maar ook gedeelde toegangstokens voor services en accounts uitgeschakeld, omdat deze zijn gebaseerd op accountsleutels. | Alleen beveiligde aanvragen die zijn geautoriseerd met Microsoft Entra ID zijn toegestaan. |
| U wordt aangeraden geen accountsleutel te gebruiken. Als u accountsleutels moet gebruiken, slaat u deze op in Key Vault en zorgt u ervoor dat u ze periodiek opnieuw genereert. | Met Key Vault kunt u sleutels tijdens runtime ophalen in plaats van ze op te slaan met behulp van uw toepassing. Met Key Vault kunt u uw sleutels ook eenvoudig roteren zonder onderbreking van uw toepassingen. Als u de accountsleutels regelmatig roteert, wordt het risico beperkt dat uw gegevens worden blootgesteld aan schadelijke aanvallen. |
| U wordt aangeraden geen shared access Signature-tokens te gebruiken. Evalueer of u handtekeningtokens voor gedeelde toegang nodig hebt om de toegang tot Blob Storage-resources te beveiligen. Als u er een moet maken, bekijkt u deze lijst met aanbevolen procedures voor handtekeningen voor gedeelde toegang voordat u deze maakt en distribueert. | Aanbevolen procedures kunnen u helpen voorkomen dat een Shared Access Signature-token wordt gelekt en snel kan worden hersteld als er een lek optreedt. |
| Configureer uw opslagaccount zodat clients gegevens kunnen verzenden en ontvangen met behulp van de minimale versie van TLS 1.2. | TLS 1.2 is veiliger en sneller dan TLS 1.0 en 1.1, die geen ondersteuning bieden voor moderne cryptografische algoritmen en coderingssuites. |
| Overweeg uw eigen versleutelingssleutel te gebruiken om de gegevens in uw opslagaccount te beveiligen. Zie Door de klant beheerde sleutels voor Azure Storage-versleuteling voor meer informatie. | Door de klant beheerde sleutels bieden meer flexibiliteit en controle. U kunt bijvoorbeeld versleutelingssleutels opslaan in Key Vault en deze automatisch roteren. |
Kostenoptimalisatie
Kostenoptimalisatie is gericht op het detecteren van uitgavenpatronen, het prioriteren van investeringen in kritieke gebieden en het optimaliseren van anderen om te voldoen aan de budget- en bedrijfsvereisten van de organisatie.
De ontwerpprincipes voor kostenoptimalisatie bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelen en het waar nodig maken van compromissen in het technische ontwerp met betrekking tot Blob Storage en de bijbehorende omgeving.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Kostenoptimalisatie voor investeringen. Verfijn het ontwerp zodat de workload is afgestemd op het budget dat is toegewezen voor de workload. Uw ontwerp moet gebruikmaken van de juiste Azure-mogelijkheden, investeringen bewaken en mogelijkheden vinden om in de loop van de tijd te optimaliseren.
Identificeer de meters die worden gebruikt om uw factuur te berekenen: Meters worden gebruikt om de hoeveelheid gegevens bij te houden die zijn opgeslagen in het account (gegevenscapaciteit) en het aantal en het type bewerkingen dat wordt uitgevoerd om gegevens te schrijven en te lezen. Er zijn ook meters gekoppeld aan het gebruik van optionele functies, zoals blob-indextags, blob-inventaris, ondersteuning voor wijzigingenfeeds, versleutelingsbereiken en ONDERSTEUNING voor SSH File Transfer Protocol (SFTP). Zie Hoe er kosten in rekening worden gebracht voor Blob Storage voor meer informatie.
De prijs van elke meter begrijpen: zorg ervoor dat u de juiste pagina met prijzen gebruikt en de juiste instellingen op die pagina toepast. Zie De eenheidsprijs voor elke meter zoeken voor meer informatie. Houd rekening met het aantal bewerkingen dat aan elke prijs is gekoppeld. De prijs die is gekoppeld aan schrijf- en leesbewerkingen is bijvoorbeeld van toepassing op 10.000 bewerkingen. Als u de prijs van een afzonderlijke bewerking wilt bepalen, deelt u de vermelde prijs door 10.000.
Maak een schatting van de kosten van capaciteit en bewerkingen: u kunt de kosten die zijn gekoppeld aan gegevensopslag, inkomend en uitgaand verkeer modelleren met behulp van de Azure-prijscalculator. Gebruik velden om de kosten te vergelijken die zijn gekoppeld aan verschillende regio's, accounttypen, naamruimtetypen en redundantieconfiguraties. Voor bepaalde scenario's kunt u voorbeeldberekeningen en werkbladen gebruiken die beschikbaar zijn in de Microsoft-documentatie. U kunt bijvoorbeeld de kosten voor het archiveren van gegevens schatten of de kosten schatten van het gebruik van de AzCopy-opdracht om blobs over te dragen.
Kies een factureringsmodel voor capaciteit: evalueer of het gebruik van een op toezegging gebaseerd model rendabeler is dan het gebruik van een model op basis van verbruik. Als u niet zeker weet hoeveel capaciteit u nodig hebt, kunt u beginnen met een model op basis van verbruik, de metrische capaciteitsgegevens bewaken en later evalueren.
Kies een accounttype, een redundantieniveau en een standaardtoegangslaag: u moet een waarde selecteren voor elk van deze instellingen wanneer u een opslagaccount maakt. Alle waarden zijn van invloed op transactiekosten en capaciteitskosten. Al deze instellingen, met uitzondering van het accounttype, kunnen worden gewijzigd nadat het account is gemaakt.
Kies de meest rendabele standaardtoegangslaag: tenzij bij elke blobupload een laag is opgegeven, afleiden blobs hun toegangslaag vanuit de standaardinstelling voor de toegangslaag. Een wijziging in de standaardinstelling voor de toegangslaag van een opslagaccount is van toepassing op alle blobs in het account waarvoor een toegangslaag niet expliciet is ingesteld. Deze kosten kunnen aanzienlijk zijn als u een groot aantal blobs hebt verzameld. Zie Het wijzigen van de toegangslaag van een blob voor meer informatie over hoe een laagwijziging van invloed is op elke bestaande blob.
Gegevens rechtstreeks uploaden naar de meest rendabele toegangslaag: als de standaardinstelling voor de toegangslaag van uw account bijvoorbeeld dynamisch is, maar u bestanden uploadt voor archiveringsdoeleinden, geeft u een koeler laag op als archief of een koude laag als onderdeel van uw uploadbewerking. Nadat u blobs hebt geüpload, gebruikt u beleid voor levenscyclusbeheer om blobs te verplaatsen naar de meest kostenefficiënte lagen op basis van metrische gegevens over gebruik, zoals de laatst geopende tijd. Door vooraf de meest optimale laag te kiezen, kunt u de kosten verlagen. Als u de laag wijzigt van een blok-blob die u al hebt geüpload, betaalt u de kosten voor schrijven naar de eerste laag wanneer u de blob voor het eerst uploadt en betaalt u vervolgens de kosten voor schrijven naar de gewenste laag.
Een plan hebben voor het beheren van de levenscyclus van gegevens: de transactie- en capaciteitskosten optimaliseren door gebruik te maken van toegangslagen en levenscyclusbeheer. Gegevens die minder vaak worden gebruikt, moeten worden geplaatst in koelere toegangslagen, terwijl gegevens die vaak worden geopend, in warmere toegangslagen moeten worden geplaatst.
Bepaal welke functies u nodig hebt: voor sommige functies, zoals versiebeheer en voorlopig verwijderen van blobs, worden extra transactie- en capaciteitskosten en andere kosten in rekening gebracht. Controleer de secties met prijzen en facturering in artikelen waarin deze mogelijkheden worden beschreven wanneer u kiest welke mogelijkheden u aan uw account wilt toevoegen.
Als u bijvoorbeeld de functie blobinventaris inschakelt, wordt u gefactureerd voor het aantal gescande objecten. Als u blobindextags gebruikt, wordt u gefactureerd voor het aantal indextags. Als u SFTP-ondersteuning inschakelt, worden er per uur kosten in rekening gebracht, zelfs als er geen SFTP-overdrachten zijn. Als u besluit om een functie te gebruiken, controleert u of de functie is uitgeschakeld omdat sommige functies automatisch worden ingeschakeld wanneer u het account maakt.
Kaders maken: Budgetten maken op basis van abonnementen en resourcegroepen. Beheerbeleid gebruiken om resourcetypen, configuraties en locaties te beperken. Daarnaast kunt u RBAC gebruiken om acties te blokkeren die kunnen leiden tot overbesteding.
Kosten bewaken: zorg ervoor dat de kosten binnen budgetten blijven, kosten vergelijken met prognoses en zien waar overschrijding plaatsvindt. U kunt het deelvenster Kostenanalyse in Azure Portal gebruiken om de kosten te bewaken. U kunt ook kostengegevens exporteren naar een opslagaccount en die gegevens analyseren met Excel of Power BI.
Gebruik bewaken: continu gebruikspatronen bewaken en ongebruikte of onderbenutte accounts en containers detecteren. Gebruik Opslaginzichten voor identiteitsaccounts zonder of weinig gebruik. Schakel blobinventarisrapporten in en gebruik hulpprogramma's zoals Azure Databricks of Azure Synapse Analytics en Power BI om kostengegevens te analyseren. Let op onverwachte toename van de capaciteit, wat kan betekenen dat u talloze logboekbestanden, blobversies of voorlopig verwijderde blobs verzamelt. Ontwikkel een strategie voor het verlopen of overstappen van objecten naar rendabelere toegangslagen. Een plan hebben voor verlopende objecten of het verplaatsen van objecten naar meer betaalbare toegangslagen.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Pak kleine bestanden in grotere bestanden voordat u ze verplaatst naar koeler lagen. U kunt bestandsindelingen zoals TAR of ZIP gebruiken. | Koelerlagen hebben hogere kosten voor gegevensoverdracht. Door minder grote bestanden te hebben, kunt u het aantal bewerkingen verminderen dat nodig is om gegevens over te dragen. |
| Gebruik rehydratatie met standaardprioriteit bij het reactiveren van blobs uit archiefopslag. Gebruik rehydratatie met hoge prioriteit alleen voor herstelsituaties voor noodgegevens. Zie Een gearchiveerde blob reactiveren naar een onlinelaag voor meer informatie | Rehydratatie met hoge prioriteit vanuit de archieflaag kan leiden tot hogere dan normale facturen. |
| Verlaag de kosten voor het gebruik van resourcelogboeken door de juiste opslaglocatie voor logboeken te kiezen en door logboekretentieperioden te beheren. Als u alleen van plan bent om af en toe query's uit te voeren op logboeken (bijvoorbeeld logboeken opvragen voor nalevingscontrole), kunt u overwegen om resourcelogboeken naar een opslagaccount te verzenden in plaats van ze naar een Azure Monitor-werkruimte logboeken te verzenden. U kunt een serverloze queryoplossing zoals Azure Synapse Analytics gebruiken om logboeken te analyseren. Zie Kosten optimaliseren voor onregelmatige query's voor meer informatie. Gebruik beleid voor levenscyclusbeheer om logboeken te verwijderen of te archiveren. | Het opslaan van resourcelogboeken in een opslagaccount voor latere analyse kan een goedkopere optie zijn. Het gebruik van beleid voor levenscyclusbeheer voor het beheren van logboekretentie in een opslagaccount voorkomt dat grote aantallen logboekbestanden in de loop van de tijd worden opgebouwd, wat kan leiden tot onnodige capaciteitskosten. |
| Als u versiebeheer inschakelt, gebruikt u een levenscyclusbeheerbeleid om automatisch oude blobversies te verwijderen. | Elke schrijfbewerking naar een blob maakt een nieuwe versie. Dit verhoogt de capaciteitskosten. U kunt kosten in de gaten houden door versies te verwijderen die u niet meer nodig hebt. |
| Als u versiebeheer inschakelt, plaatst u blobs die vaak worden overschreven in een account waarvoor versiebeheer niet is ingeschakeld. | Telkens wanneer een blob wordt overschreven, wordt er een nieuwe versie toegevoegd die leidt tot hogere opslagcapaciteitskosten. Als u de capaciteitskosten wilt verlagen, slaat u regelmatig overschreven gegevens op in een afzonderlijk opslagaccount, waarbij versiebeheer is uitgeschakeld. |
| Als u voorlopig verwijderen inschakelt, plaatst u blobs die vaak worden overschreven in een account waarvoor voorlopig verwijderen niet is ingeschakeld. Bewaarperioden instellen. Overweeg om te beginnen met een korte bewaarperiode om beter te begrijpen hoe de functie van invloed is op uw factuur. De minimaal aanbevolen bewaarperiode is zeven dagen. | Telkens wanneer een blob wordt overschreven, wordt er een nieuwe momentopname gemaakt. De oorzaak van verhoogde capaciteitskosten kan lastig zijn om toegang te krijgen omdat het maken van deze momentopnamen niet wordt weergegeven in logboeken. Als u de capaciteitskosten wilt verlagen, slaat u regelmatig overschreven gegevens op in een afzonderlijk opslagaccount, waarbij voorlopig verwijderen is uitgeschakeld. Een bewaarperiode zorgt ervoor dat voorlopig verwijderde blobs zich niet kunnen opstapelen en kunnen worden toegevoegd aan de kosten van capaciteit. |
| Schakel SFTP-ondersteuning alleen in wanneer deze wordt gebruikt om gegevens over te dragen. | Als u het SFTP-eindpunt inschakelt, worden de kosten per uur in rekening gebracht. Door zorgvuldig SFTP-ondersteuning uit te schakelen en deze vervolgens indien nodig in te schakelen, kunt u voorkomen dat passieve kosten in uw account worden toegerekend. |
| Schakel versleutelingsbereiken uit die niet nodig zijn om onnodige kosten te voorkomen. | Voor versleutelingsbereiken worden kosten per maand in rekening gebracht. |
Operationele topprestaties
Operational Excellence richt zich voornamelijk op procedures voor ontwikkelprocedures, waarneembaarheid en releasebeheer.
De ontwerpprincipes van Operational Excellence bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelstellingen voor de operationele vereisten van de workload.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Operational Excellence voor het definiëren van processen voor waarneembaarheid, testen en implementatie met betrekking tot uw Blob Storage-configuratie.
Onderhouds- en noodherstelplannen maken: overweeg functies voor gegevensbeveiliging, back-up- en herstelbewerkingen en failoverprocedures. Bereid u voor op mogelijke gegevensverlies en inconsistenties van gegevens en de tijd en kosten van failover.
De status van uw opslagaccount bewaken: Dashboards voor Opslaginzichten maken om metrische gegevens over beschikbaarheid, prestaties en tolerantie te bewaken. Stel waarschuwingen in om problemen in uw systeem te identificeren en op te lossen voordat uw klanten ze opmerken. Gebruik diagnostische instellingen om resourcelogboeken te routeren naar een Werkruimte van Azure Monitor-logboeken. Vervolgens kunt u query's uitvoeren op logboeken om waarschuwingen dieper te onderzoeken.
Blob-inventarisrapporten inschakelen: schakel blobinventarisrapporten in om de bewaarstatus, juridische bewaring of versleutelingsstatus van de inhoud van uw opslagaccount te controleren. U kunt ook blob-inventarisrapporten gebruiken om inzicht te hebben in de totale gegevensgrootte, leeftijd, laagdistributie of andere kenmerken van uw gegevens. Gebruik hulpprogramma's zoals Azure Databricks of Azure Synapse Analytics en Power BI om inventarisgegevens beter te visualiseren en rapporten te maken voor belanghebbenden.
Beleidsregels instellen waarmee blobs worden verwijderd of naar kostenefficiënte toegangslagen worden verplaatst: maak een levenscyclusbeheerbeleid met een eerste set voorwaarden. Beleid wordt uitgevoerd om de toegangslaag van blobs automatisch te verwijderen of in te stellen op basis van de voorwaarden die u definieert. Analyseer periodiek het gebruik van containers met behulp van metrische gegevens en blob-inventarisrapporten, zodat u voorwaarden kunt verfijnen om de kostenefficiëntie te optimaliseren.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Gebruik infrastructuur als code (IaC) om de details van uw opslagaccounts te definiëren in Azure Resource Manager-sjablonen (ARM-sjablonen), Bicep of Terraform. | U kunt uw bestaande DevOps-processen gebruiken om nieuwe opslagaccounts te implementeren en Azure Policy gebruiken om hun configuratie af te dwingen. |
| Gebruik Opslaginzichten om de status en prestaties van uw opslagaccounts bij te houden. Opslaginzichten bieden een uniforme weergave van de fouten, prestaties, beschikbaarheid en capaciteit voor al uw opslagaccounts. | U kunt de status en werking van elk van uw accounts bijhouden. Maak eenvoudig dashboards en rapporten die belanghebbenden kunnen gebruiken om de status van uw opslagaccounts bij te houden. |
Prestatie-efficiëntie
Prestatie-efficiëntie gaat over het onderhouden van de gebruikerservaring, zelfs wanneer er een toename van de belasting is door capaciteit te beheren. De strategie omvat het schalen van resources, het identificeren en optimaliseren van potentiële knelpunten en het optimaliseren van piekprestaties.
De ontwerpprincipes prestatie-efficiëntie bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze capaciteitsdoelen ten opzichte van het verwachte gebruik.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Prestatie-efficiëntie. Definieer een basislijn die is gebaseerd op key performance indicators voor uw Blob Storage-configuratie.
Schalen plannen: inzicht in de schaaldoelen voor opslagaccounts.
Kies het optimale type opslagaccount: Als uw workload hoge transactiesnelheden, kleinere objecten en een consistent lage transactielatentie vereist, kunt u overwegen premium blok-blobopslagaccounts te gebruiken. In de meeste gevallen is een standaard v2-account voor algemeen gebruik het meest geschikt.
Verminder de reisafstand tussen de client en de server: plaats gegevens in regio's die het dichtst bij het verbinden van clients zijn (idealiter in dezelfde regio). Optimaliseer voor clients in regio's ver weg met behulp van objectreplicatie of een netwerk voor contentlevering. Standaardnetwerkconfiguraties bieden de beste prestaties. Pas netwerkinstellingen alleen aan om de beveiliging te verbeteren. Over het algemeen nemen netwerkinstellingen de reisafstand niet af en verbeteren ze de prestaties niet.
Kies een efficiënt naamgevingsschema: Verlaag de latentie van vermeldings-, lijst-, query- en leesbewerkingen met behulp van hash-tagvoorvoegsels het dichtst bij het begin van de blobpartitiesleutel (account, container, virtuele map of blobnaam). Dit schema profiteert voornamelijk van accounts die een platte naamruimte hebben.
Optimaliseer de prestaties van gegevensclients: kies een hulpprogramma voor gegevensoverdracht dat het meest geschikt is voor de gegevensgrootte, de overdrachtsfrequentie en de bandbreedte van uw workloads. Sommige hulpprogramma's zoals AzCopy zijn geoptimaliseerd voor prestaties en vereisen weinig interventie. Houd rekening met de factoren die de latentie beïnvloeden en verfijn de prestaties door de richtlijnen voor prestatieoptimalisatie te bekijken die met elk hulpprogramma worden gepubliceerd.
Optimaliseer de prestaties van aangepaste code: Overweeg om Opslag-SDK's te gebruiken in plaats van uw eigen wrappers te maken voor blob REST-bewerkingen. Azure SDK's zijn geoptimaliseerd voor prestaties en bieden mechanismen om de prestaties af te stemmen. Voordat u een toepassing maakt, bekijkt u de controlelijst voor prestaties en schaalbaarheid voor Blob Storage. Overweeg om queryversnelling te gebruiken om ongewenste gegevens tijdens de opslagaanvraag uit te filteren en clients onnodig gegevens over het netwerk te laten overdragen.
Prestatiegegevens verzamelen: bewaak uw opslagaccount om prestatieknelpunten te identificeren die optreden bij beperking. Zie Uw opslagservice bewaken met Opslaginzichten bewaken voor meer informatie. Gebruik zowel metrische gegevens als logboeken. Metrische gegevens bieden getallen zoals beperkingsfouten. Logboeken beschrijven activiteit. Als u metrische gegevens over bandbreedtebeperking ziet, kunt u logboeken gebruiken om te bepalen welke clients beperkingsfouten ontvangen. Zie Bewerkingen in het gegevensvlak controleren voor meer informatie.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Richt opslagaccounts in dezelfde regio in waar afhankelijke resources worden geplaatst. Voor toepassingen die niet worden gehost in Azure, zoals apps voor mobiele apparaten of on-premises bedrijfsservices, zoekt u het opslagaccount in een regio die zich in de buurt van die clients bevindt. Zie Azure-geografische gebieden voor meer informatie. Als clients uit een andere regio niet dezelfde gegevens nodig hebben, maakt u een afzonderlijk account in elke regio. Als clients uit een andere regio slechts enkele gegevens vereisen, kunt u overwegen een objectreplicatiebeleid te gebruiken om relevante objecten asynchroon te kopiëren naar een opslagaccount in de andere regio. |
Het verminderen van de fysieke afstand tussen het opslagaccount en vm's, services en on-premises clients kan de prestaties verbeteren en de netwerklatentie verminderen. Het verminderen van de fysieke afstand vermindert ook de kosten voor toepassingen die worden gehost in Azure, omdat het bandbreedtegebruik binnen één regio gratis is. |
| Voor een breed gebruik door webclients (video-, audio- of statische website-inhoud streamen), kunt u overwegen een netwerk voor contentlevering te gebruiken via Azure Front Door. | Inhoud wordt sneller aan clients geleverd omdat deze gebruikmaakt van het wereldwijde edge-netwerk van Microsoft met honderden wereldwijde en lokale aanwezigheidspunten over de hele wereld. |
| Voeg zo vroeg mogelijk een hash-tekenreeks (zoals drie cijfers) toe in de partitiesleutel van een blob. De partitiesleutel is de accountnaam, de containernaam, de naam van de virtuele map en de blobnaam. Als u tijdstempels in namen wilt gebruiken, kunt u overwegen om een secondenwaarde toe te voegen aan het begin van die stempel. Zie Partitionering voor meer informatie. | Het gebruik van een hashcode of secondenwaarde die het dichtst bij het begin van een partitiesleutel staat, vermindert de tijd die nodig is om query's weer te geven en blobs te lezen. |
| Wanneer u blobs of blokken uploadt, gebruikt u een blob of blokgrootte die groter is dan 256 KiB. | Blob- of blokgrootten boven 256 KiB profiteren van prestatieverbeteringen in het platform dat speciaal is gemaakt voor grotere blobs en blokgrootten. |
Azure-beleid
Azure biedt een uitgebreide set ingebouwde beleidsregels met betrekking tot Blob Storage en de bijbehorende afhankelijkheden. Sommige van de voorgaande aanbevelingen kunnen worden gecontroleerd via Azure-beleid. U kunt bijvoorbeeld controleren of:
- Anonieme openbare leestoegang tot containers en blobs is niet ingeschakeld.
- Diagnostische instellingen voor Blob Storage zijn ingesteld om resourcelogboeken te streamen naar een Werkruimte voor Azure Monitor-logboeken.
- Alleen aanvragen van beveiligde verbindingen (HTTPS) worden geaccepteerd.
- Een verloopbeleid voor handtekeningen voor gedeelde toegang is ingeschakeld.
- Replicatie van meerdere tenantobjecten is uitgeschakeld.
- Autorisatie van gedeelde sleutels is uitgeschakeld.
- Netwerkfirewallregels worden toegepast op het account.
Raadpleeg de ingebouwde Azure Policy-definities voor Opslag en andere beleidsregels die van invloed kunnen zijn op de beveiliging van de rekenlaag voor uitgebreide governance.
Aanbevelingen van Azure Advisor
Azure Advisor is een gepersonaliseerde cloudconsultant waarmee u de aanbevolen procedures kunt volgen om uw Azure-implementaties te optimaliseren. Hier volgen enkele aanbevelingen waarmee u de betrouwbaarheid, beveiliging, kosteneffectiviteit, prestaties en operationele uitmuntendheid van Blob Storage kunt verbeteren.
Volgende stap
Zie de documentatie voor Blob Storage voor meer informatie over Blob Storage.