Perspectief van Azure Well-Architected Framework op Azure Files
Azure Files is een microsoft-oplossing voor bestandsopslag voor de cloud. Azure Files biedt server message block (SMB) en NFS-bestandsshares (Network File System) die u kunt koppelen aan clients in de cloud, on-premises of aan beide. U kunt Azure File Sync ook gebruiken om SMB-bestandsshares op een lokale Windows-server op te slaan en zelden gebruikte bestanden in de cloud te tieren.
In dit artikel wordt ervan uitgegaan dat u als architect de opslagopties hebt gecontroleerd en Azure Files hebt gekozen als de opslagservice waarop uw workloads moeten worden uitgevoerd. De richtlijnen in dit artikel bevatten architectuuraanbevelingen die zijn toegewezen aan de principes van de pijlers van het Azure Well-Architected Framework.
Belangrijk
Deze handleiding gebruiken
Elke sectie bevat een ontwerpcontrolelijst die architectuurgebieden presenteert, samen met ontwerpstrategieën die zijn gelokaliseerd in het technologiebereik.
Ook zijn inbegrepen aanbevelingen voor de technologiemogelijkheden die kunnen helpen bij het implementeren van deze strategieën. De aanbevelingen vertegenwoordigen geen volledige lijst met alle configuraties die beschikbaar zijn voor Azure Files en de bijbehorende afhankelijkheden. In plaats daarvan worden de belangrijkste aanbevelingen vermeld die zijn toegewezen aan de ontwerpperspectieven. Gebruik de aanbevelingen om uw proof-of-concept te bouwen of uw bestaande omgevingen te optimaliseren.
Betrouwbaarheid
Het doel van de pijler Betrouwbaarheid is om doorlopende functionaliteit te bieden door voldoende tolerantie en de mogelijkheid om snel te herstellen na storingen.
De principes voor betrouwbaarheidsontwerp bieden een ontwerpstrategie op hoog niveau die wordt toegepast op afzonderlijke onderdelen, workloads, systeemstromen en het systeem als geheel.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor betrouwbaarheid.
Analyse van foutmodus gebruiken: minimaliseer punten van fouten door interne afhankelijkheden te overwegen, zoals de beschikbaarheid van virtuele netwerken, Azure Key Vault of Azure Content Delivery Network of Azure Front Door-eindpunten. Er kunnen fouten optreden als u referenties nodig hebt om toegang te krijgen tot Azure Files en de referenties ontbreken in Key Vault. U kunt ook een fout hebben als uw workloads een eindpunt gebruiken dat is gebaseerd op een ontbrekend netwerk voor contentlevering. In dergelijke gevallen moet u mogelijk uw workloads configureren om verbinding te maken met een alternatief eindpunt. Zie Aanbevelingen voor het uitvoeren van foutmodusanalyses voor algemene informatie over analyse van foutmodus.
Definieer betrouwbaarheids- en hersteldoelen: Controleer de Sla's (Service Level Agreements) van Azure. Leid de serviceniveaudoelstelling (SLO) af voor het opslagaccount. De redundantieconfiguratie die u hebt gekozen, kan bijvoorbeeld van invloed zijn op de SLO. Houd rekening met het effect van een regionale storing, het potentieel voor gegevensverlies en de tijd die nodig is om de toegang na een storing te herstellen. Overweeg ook de beschikbaarheid van interne afhankelijkheden die u hebt geïdentificeerd als onderdeel van uw analyse van de foutmodus.
Gegevensredundantie configureren: kies voor maximale duurzaamheid een configuratie waarmee gegevens in beschikbaarheidszones of globale regio's worden gekopieerd. Kies voor maximale beschikbaarheid een configuratie waarmee clients gegevens uit de secundaire regio kunnen lezen tijdens een storing in de primaire regio.
Ontwerptoepassingen: ontwerp uw toepassingen om naadloos over te schakelen, zodat ze gegevens uit een secundaire regio lezen als de primaire regio niet beschikbaar is. Deze ontwerpoverweging is alleen van toepassing op configuraties van geografisch redundante opslag (GRS) en geografisch zone-redundante opslag (GZRS). Ontwerp uw toepassingen om storingen correct af te handelen, wat de downtime voor klanten vermindert.
Verken functies om te voldoen aan uw hersteldoelen: bestanden herstellen zodat u beschadigde, bewerkte of verwijderde bestanden kunt herstellen.
Maak een herstelplan: Overweeg functies voor gegevensbeveiliging, back-up- en herstelbewerkingen of failoverprocedures. Bereid u voor op mogelijke gegevensverlies en inconsistenties van gegevens en de tijd en kosten van failover. Zie Aanbevelingen voor het ontwerpen van een strategie voor herstel na noodgevallen voor meer informatie.
Mogelijke beschikbaarheidsproblemen bewaken: abonneer u op het Dashboard van Azure Service Health om mogelijke beschikbaarheidsproblemen te controleren. Gebruik metrische opslaggegevens en diagnostische logboeken in Azure Monitor om waarschuwingen te onderzoeken.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Configureer uw opslagaccount voor redundantie. Voor maximale beschikbaarheid en duurzaamheid configureert u uw account met zone-redundante opslag (ZRS), GRS of GZRS. Beperkte Azure-regio's bieden ondersteuning voor ZRS voor standard- en Premium-bestandsshares. Alleen standaard SMB-accounts ondersteunen GRS en GZRS. Premium SMB-shares en NFS-shares bieden geen ondersteuning voor GRS en GZRS. Azure Files biedt geen ondersteuning voor geografisch redundante opslag met leestoegang (RA-GRS) of geografisch zone-redundante opslag met leestoegang (RA-GZRS). Als u een opslagaccount configureert voor het gebruik van RA-GRS of RA-GZRS, worden de bestandsshares geconfigureerd en gefactureerd als GRS of GZRS. |
Redundantie beschermt uw gegevens tegen onverwachte fouten. De ZRS- en GZRS-configuratieopties worden gerepliceerd in verschillende beschikbaarheidszones en stellen toepassingen in staat om gegevens tijdens een storing verder te lezen. Zie Duurzaamheid en beschikbaarheid per storingsscenario en parameters voor duurzaamheid en beschikbaarheid voor meer informatie. |
| Voordat u een failover of failback start, controleert u de waarde van de eigenschap van de laatste synchronisatietijd om het potentieel voor gegevensverlies te evalueren. Deze aanbeveling is alleen van toepassing op GRS- en GZRS-configuraties. | Met deze eigenschap kunt u schatten hoeveel gegevens u kwijtraakt als u een accountfailover start. Alle gegevens en metagegevens die vóór de laatste synchronisatietijd zijn geschreven, zijn beschikbaar in de secundaire regio, maar mogelijk gaan gegevens en metagegevens verloren die na de laatste synchronisatietijd zijn geschreven, omdat deze niet naar de secundaire regio worden geschreven. |
| Schakel als onderdeel van uw back-up- en herstelstrategie voorlopig verwijderen in en gebruik momentopnamen voor herstel naar een bepaald tijdstip. U kunt Azure Backup gebruiken om een back-up te maken van uw SMB-bestandsshares. U kunt azure File Sync ook gebruiken om een back-up te maken van on-premises SMB-bestandsshares naar een Azure-bestandsshare. Met Azure Backup kunt u ook een gekluisde back-up (preview) van Azure Files uitvoeren om uw gegevens te beschermen tegen ransomwareaanvallen of brongegevensverlies vanwege een kwaadwillende actor of rogue beheerder. Met behulp van gekluisde back-ups kopieert en slaat Azure Backup gegevens op in de Recovery Services-kluis. Hiermee maakt u een externe kopie van gegevens die u maximaal 99 jaar kunt bewaren. Azure Backup maakt en beheert de herstelpunten volgens de planning en retentie die in het back-upbeleid zijn gedefinieerd. Meer informatie. |
Voorlopig verwijderen werkt op een bestandsshareniveau om Azure-bestandsshares te beveiligen tegen onbedoeld verwijderen. Herstel naar een bepaald tijdstip beschermt tegen onbedoelde verwijdering of beschadiging omdat u bestandsshares naar een eerdere status kunt herstellen. Zie het overzicht van gegevensbescherming voor meer informatie. |
Beveiliging
Het doel van de beveiligingspijler is het bieden van vertrouwelijkheid, integriteit en beschikbaarheidsgaranties voor de workload.
De beveiligingsontwerpprincipes bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelen door benaderingen toe te passen op het technische ontwerp van uw bestandsopslagconfiguratie.
Beveiligingsvereisten en aanbevelingen variëren, afhankelijk van of uw workload gebruikmaakt van het SMB- of NFS-protocol voor toegang tot uw bestandsshares. De volgende secties hebben dus afzonderlijke ontwerpcontrolelijsten en aanbevelingen voor SMB- en NFS-bestandsshares.
Als best practice moet u SMB- en NFS-bestandsshares in afzonderlijke opslagaccounts bewaren, omdat ze verschillende beveiligingsvereisten hebben. Gebruik deze benadering om uw workload een sterke beveiliging en hoge flexibiliteit te bieden.
Controlelijst ontwerpen voor SMB-bestandsshares
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Beveiliging. Identificeer beveiligingsproblemen en besturingselementen om het beveiligingspostuur te verbeteren. Breid de strategie uit om zo nodig meer benaderingen op te nemen.
Bekijk de beveiligingsbasislijn voor Azure Storage: Bekijk de beveiligingsbasislijn voor Storage om aan de slag te gaan.
Overweeg netwerkbesturingselementen te gebruiken om inkomend en uitgaand verkeer te beperken: u kunt uw opslagaccount onder bepaalde voorwaarden blootstellen aan het openbare internet, bijvoorbeeld als u verificatie op basis van identiteit gebruikt om toegang te verlenen tot bestandsshares. U wordt echter aangeraden netwerkbesturingselementen te gebruiken om het minimale vereiste toegangsniveau te verlenen aan gebruikers en toepassingen. Zie Netwerkbeveiliging benaderen voor uw opslagaccount voor meer informatie.
Verminder de kwetsbaarheid voor aanvallen: gebruik versleuteling tijdens overdracht en voorkom toegang via niet-beveiligde (HTTP)-verbindingen om het kwetsbaarheid voor aanvallen te verminderen. Vereisen dat clients gegevens verzenden en ontvangen met behulp van de nieuwste versie van het TLS-protocol (Transport Layer Security).
Minimaliseer het gebruik van opslagaccountsleutels: Verificatie op basis van identiteit biedt superieure beveiliging in vergelijking met het gebruik van een opslagaccountsleutel. Maar u moet een opslagaccountsleutel gebruiken om volledig beheer te krijgen over een bestandsshare, inclusief de mogelijkheid om eigenaar te worden van een bestand. Verlenen alleen de benodigde machtigingen voor het uitvoeren van hun taken.
Gevoelige informatie beveiligen: beveilig gevoelige informatie, zoals opslagaccountsleutels en wachtwoorden. We raden u niet aan deze autorisatieformulieren te gebruiken, maar als u dat wel doet, moet u ervoor zorgen dat u ze veilig draait, verloopt en opslaat.
Bedreigingen detecteren: Schakel Microsoft Defender for Storage in om mogelijk schadelijke pogingen te detecteren om toegang te krijgen tot uw Azure-bestandsshares via SMB- of FileREST-protocollen. Abonnementsbeheerders ontvangen e-mailwaarschuwingen met details van verdachte activiteiten en aanbevelingen over het onderzoeken en oplossen van bedreigingen. Defender for Storage biedt geen ondersteuning voor antivirusmogelijkheden voor Azure-bestandsshares. Als u Defender for Storage gebruikt, brengen transactie-intensieve bestandsshares aanzienlijke kosten met zich mee, dus overweeg om Defender for Storage uit te kiezen voor specifieke opslagaccounts.
Aanbevelingen voor SMB-bestandsshares
| Aanbeveling | Voordeel |
|---|---|
| Pas een Azure Resource Manager-vergrendeling toe op het opslagaccount. | Vergrendel het account om onbedoeld of schadelijk verwijderen van het opslagaccount te voorkomen, wat gegevensverlies kan veroorzaken. |
| Open TCP-poort 445 uitgaand of stel een VPN-gateway of Azure ExpressRoute-verbinding in voor clients buiten Azure om toegang te krijgen tot de bestandsshare. | SMB 3.x is een internetveilig protocol, maar u hebt mogelijk niet de mogelijkheid om organisatie- of internetproviderbeleid te wijzigen. U kunt een VPN-gateway of een ExpressRoute-verbinding gebruiken als een alternatieve optie. |
| Als u poort 445 opent, moet u SMBv1 uitschakelen op Windows- en Linux-clients. Azure Files biedt geen ondersteuning voor SMB 1, maar u moet deze nog steeds uitschakelen op uw clients. | SMB 1 is een verouderd, inefficiënt en onveilig protocol. Schakel dit uit op clients om uw beveiligingspostuur te verbeteren. |
| Overweeg om openbare netwerktoegang tot uw opslagaccount uit te schakelen. Schakel openbare netwerktoegang alleen in als SMB-clients en -services die extern zijn voor Azure toegang tot uw opslagaccount vereisen. Als u openbare netwerktoegang uitschakelt, maakt u een privé-eindpunt voor uw opslagaccount. Standaardtarieven voor gegevensverwerking voor privé-eindpunten zijn van toepassing. Een privé-eindpunt blokkeert geen verbindingen met het openbare eindpunt. U moet nog steeds openbare netwerktoegang uitschakelen zoals eerder is beschreven. Als u geen statisch IP-adres voor uw bestandsshare nodig hebt en de kosten van privé-eindpunten wilt voorkomen, kunt u in plaats daarvan de toegang tot openbare eindpunten beperken tot specifieke virtuele netwerken en IP-adressen. |
Netwerkverkeer loopt via het Microsoft backbone-netwerk in plaats van via het openbare internet, waardoor risico's van het openbare internet worden geëlimineerd. |
| Schakel firewallregels in waarmee de toegang tot specifieke virtuele netwerken wordt beperkt. Begin met nul toegang en geef vervolgens methodisch en incrementeel de minste toegang die nodig is voor clients en services. | Minimaliseer het risico op het maken van openingen voor aanvallers. |
| Gebruik indien mogelijk verificatie op basis van identiteiten met AES-256 Kerberos-ticketversleuteling om toegang tot SMB Azure-bestandsshares te autoriseren. | Gebruik verificatie op basis van identiteit om de mogelijkheid van een aanvaller te verminderen met behulp van een opslagaccountsleutel voor toegang tot bestandsshares. |
| Als u opslagaccountsleutels gebruikt, slaat u deze op in Key Vault en zorgt u ervoor dat u ze periodiek opnieuw genereert. U kunt de toegang van de sleutel van het opslagaccount tot de bestandsshare volledig weigeren door NTLMv2 te verwijderen uit de SMB-beveiligingsinstellingen van de share. Maar over het algemeen moet u NTLMv2 niet verwijderen uit de SMB-beveiligingsinstellingen van de share, omdat beheerders de accountsleutel voor sommige taken nog steeds moeten gebruiken. |
Gebruik Key Vault om sleutels tijdens runtime op te halen in plaats van ze op te slaan met uw toepassing. Met Key Vault kunt u uw sleutels ook eenvoudig roteren zonder onderbreking van uw toepassingen. Draai de accountsleutels periodiek om het risico op blootstelling van uw gegevens aan schadelijke aanvallen te verminderen. |
| In de meeste gevallen moet u de optie Veilige overdracht inschakelen voor al uw opslagaccounts om versleuteling in te schakelen voor SMB-bestandsshares. Schakel deze optie niet in als u wilt toestaan dat zeer oude clients toegang hebben tot de share. Als u beveiligde overdracht uitschakelt, moet u netwerkbesturingselementen gebruiken om verkeer te beperken. |
Deze instelling zorgt ervoor dat alle aanvragen die voor het opslagaccount worden gedaan, plaatsvinden via beveiligde verbindingen (HTTPS). Alle aanvragen die via HTTP worden gedaan, mislukken. |
| Configureer uw opslagaccount zodat TLS 1.2 de minimale versie is voor clients voor het verzenden en ontvangen van gegevens. | TLS 1.2 is veiliger en sneller dan TLS 1.0 en 1.1, die geen ondersteuning bieden voor moderne cryptografische algoritmen en coderingssuites. |
| Gebruik alleen de meest recente ondersteunde SMB-protocolversie (momenteel 3.1.1.) en gebruik alleen AES-256-GCM voor SMB-kanaalversleuteling. Azure Files maakt instellingen beschikbaar die u kunt gebruiken om het SMB-protocol in te schakelen en deze compatibeler of veiliger te maken, afhankelijk van de vereisten van uw organisatie. Standaard zijn alle SMB-versies toegestaan. SMB 2.1 is echter niet toegestaan als u Beveiligde overdracht vereisen inschakelt, omdat SMB 2.1 geen ondersteuning biedt voor versleuteling van gegevens die onderweg zijn. Als u deze instellingen beperkt tot een hoog beveiligingsniveau, kunnen sommige clients mogelijk geen verbinding maken met de bestandsshare. |
SMB 3.1.1, uitgebracht met Windows 10, bevat belangrijke beveiligingsupdates en prestatie-updates. AES-256-GCM biedt veiligere kanaalversleuteling. |
Controlelijst ontwerpen voor NFS-bestandsshares
Bekijk de beveiligingsbasislijn voor Opslag: Bekijk de beveiligingsbasislijn voor Opslag om aan de slag te gaan.
Inzicht in de beveiligingsvereisten van uw organisatie: NFS Azure-bestandsshares ondersteunen alleen Linux-clients die gebruikmaken van het NFSv4.1-protocol, met ondersteuning voor de meeste functies uit de protocolspecificatie 4.1. Sommige beveiligingsfuncties, zoals Kerberos-verificatie, toegangsbeheerlijsten (ACL's) en versleuteling tijdens overdracht, worden niet ondersteund.
Gebruik beveiliging en besturingselementen op netwerkniveau om inkomend en uitgaand verkeer te beperken: verificatie op basis van identiteit is niet beschikbaar voor NFS Azure-bestandsshares, dus u moet beveiliging en besturingselementen op netwerkniveau gebruiken om het minimale vereiste toegangsniveau voor gebruikers en toepassingen te verlenen. Zie Netwerkbeveiliging benaderen voor uw opslagaccount voor meer informatie.
Aanbevelingen voor NFS-bestandsshares
| Aanbeveling | Voordeel |
|---|---|
| Pas een Resource Manager-vergrendeling toe op het opslagaccount. | Vergrendel het account om onbedoelde of schadelijke verwijdering van het opslagaccount te voorkomen, wat gegevensverlies kan veroorzaken. |
| U moet poort 2049 openen op de clients waaraan u uw NFS-share wilt koppelen. | Open poort 2049 om clients te laten communiceren met de NFS Azure-bestandsshare. |
| NFS Azure-bestandsshares zijn alleen toegankelijk via beperkte netwerken. U moet dus een privé-eindpunt maken voor uw opslagaccount of de toegang tot openbare eindpunten beperken tot geselecteerde virtuele netwerken en IP-adressen. U wordt aangeraden een privé-eindpunt te maken. U moet beveiliging op netwerkniveau configureren voor NFS-shares, omdat Azure Files geen ondersteuning biedt voor versleuteling tijdens overdracht met het NFS-protocol. U moet de instelling Veilige overdracht vereisen voor het opslagaccount uitschakelen om NFS Azure-bestandsshares te gebruiken. Standaardtarieven voor gegevensverwerking zijn van toepassing op privé-eindpunten. Als u geen statisch IP-adres voor uw bestandsshare nodig hebt en de kosten van privé-eindpunten wilt voorkomen, kunt u in plaats daarvan de toegang tot openbare eindpunten beperken. |
Netwerkverkeer loopt via het Microsoft backbone-netwerk in plaats van via het openbare internet, waardoor risico's van het openbare internet worden geëlimineerd. |
| Overweeg de toegang tot de sleutel van het opslagaccount niet toe tewijsen op het niveau van het opslagaccount. U hebt deze toegang niet nodig om NFS-bestandsshares te koppelen. Houd er echter rekening mee dat volledig beheer van een bestandsshare, inclusief de mogelijkheid om eigenaar te worden van een bestand, een opslagaccountsleutel vereist. | U kunt het gebruik van opslagaccountsleutels niet gebruiken om uw opslagaccount veiliger te maken. |
Kostenoptimalisatie
Kostenoptimalisatie is gericht op het detecteren van uitgavenpatronen, het prioriteren van investeringen in kritieke gebieden en het optimaliseren van anderen om te voldoen aan het budget van de organisatie terwijl aan de bedrijfsvereisten wordt voldaan.
De ontwerpprincipes voor kostenoptimalisatie bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelen en het waar nodig maken van compromissen in het technische ontwerp met betrekking tot bestandsopslag en de bijbehorende omgeving.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Kostenoptimalisatie voor investeringen. Verfijn het ontwerp zodat de workload is afgestemd op het budget dat is toegewezen voor de workload. Uw ontwerp moet gebruikmaken van de juiste Azure-mogelijkheden, investeringen bewaken en mogelijkheden vinden om in de loop van de tijd te optimaliseren.
Bepaal of uw workload de prestaties van Premium-bestandsshares (Azure Premium SSD) vereist of of Azure Standard HDD-opslag voldoende is: Bepaal uw opslagaccounttype en factureringsmodel op basis van het type opslag dat u nodig hebt. Als u grote hoeveelheden invoer-/uitvoerbewerkingen per seconde (IOPS), zeer snelle gegevensoverdrachtssnelheden of zeer lage latentie nodig hebt, moet u Premium Azure-bestandsshares kiezen. NFS Azure-bestandsshares zijn alleen beschikbaar in de Premium-laag. NFS- en SMB-bestandsshares zijn dezelfde prijs voor de Premium-laag.
Maak een opslagaccount voor uw bestandsshare en kies een redundantieniveau: Kies een standaardaccount (GPv2) of Premium-account (FileStorage). Het redundantieniveau dat u kiest, is van invloed op de kosten. Hoe meer redundantie, hoe hoger de kosten. Lokaal redundante opslag (LRS) is de meest betaalbare. GRS is alleen beschikbaar voor standaard-SMB-bestandsshares. Standaardbestandsshares geven alleen transactiegegevens weer op het niveau van het opslagaccount, dus we raden u aan slechts één bestandsshare in elk opslagaccount te implementeren om volledige factureringszichtbaarheid te garanderen.
Meer informatie over hoe uw factuur wordt berekend: Standard Azure-bestandsshares bieden een model voor betalen per gebruik. Premium-shares maken gebruik van een ingericht model waarin u vooraf een bepaalde hoeveelheid capaciteit, IOPS en doorvoer opgeeft en betaalt. In het model betalen per gebruik volgen meters de hoeveelheid gegevens die zijn opgeslagen in het account, of de capaciteit, en het aantal en het type transacties op basis van uw gebruik van die gegevens. Het model betalen per gebruik kan kostenefficiënt zijn, omdat u alleen betaalt voor wat u gebruikt. Met het model betalen per gebruik hoeft u opslag niet te veel inrichten of de inrichting ongedaan te maken op basis van prestatievereisten of vraagschommelingen.
Maar het kan lastig zijn om opslag te plannen als onderdeel van een budgetteringsproces, omdat de kosten voor verbruik door eindgebruikers worden aangestuurd. Met het ingerichte model hebben transacties geen invloed op de facturering, zodat de kosten eenvoudig te voorspellen zijn. Maar u betaalt voor de ingerichte opslagcapaciteit, ongeacht of u deze gebruikt of niet. Zie Inzicht in Azure Files-facturering voor een gedetailleerde uitsplitsing van de kosten.
De kosten van capaciteit en bewerkingen schatten: u kunt de Azure-prijscalculator gebruiken om de kosten te modelleren die zijn gekoppeld aan gegevensopslag, inkomend en uitgaand verkeer. Vergelijk de kosten die zijn gekoppeld aan verschillende regio's, accounttypen en redundantieconfiguraties. Zie prijzen voor Azure Files voor meer informatie.
Kies de meest rendabele toegangslaag: Standard SMB Azure-bestandsshares bieden drie toegangslagen: geoptimaliseerd voor transacties, dynamisch en statisch. Alle drie de lagen worden opgeslagen op dezelfde standard-opslaghardware. Het belangrijkste verschil voor deze drie lagen is hun data-at-rest-opslagprijzen, die lager zijn in koelerlagen en de transactieprijzen, die hoger zijn in koelerlagen. Zie Verschillen in standard-lagen voor meer informatie.
Bepaal welke services met toegevoegde waarde u nodig hebt: Azure Files ondersteunt integraties met services met toegevoegde waarde, zoals Backup, Azure File Sync en Defender for Storage. Deze oplossingen hebben hun eigen licentie- en productkosten, maar worden vaak beschouwd als onderdeel van de totale eigendomskosten voor bestandsopslag. Houd rekening met andere kostenaspecten als u Azure File Sync gebruikt.
Kaders maken: Budgetten maken op basis van abonnementen en resourcegroepen. Beheerbeleid gebruiken om resourcetypen, configuraties en locaties te beperken. Gebruik daarnaast op rollen gebaseerd toegangsbeheer (RBAC) om acties te blokkeren die kunnen leiden tot overbesteding.
Kosten bewaken: zorg ervoor dat de kosten binnen budgetten blijven, kosten vergelijken met prognoses en zien waar overschrijding plaatsvindt. U kunt het deelvenster Kostenanalyse in Azure Portal gebruiken om de kosten te bewaken. U kunt ook kostengegevens exporteren naar een opslagaccount en Excel of Power BI gebruiken om die gegevens te analyseren.
Gebruik bewaken: continu gebruikspatronen bewaken om ongebruikte of ondergebruikte opslagaccounts en bestandsshares te detecteren. Controleer op onverwachte toename van de capaciteit, wat kan betekenen dat u talloze logboekbestanden of voorlopig verwijderde bestanden verzamelt. Ontwikkel een strategie voor het verwijderen van bestanden of het verplaatsen van bestanden naar rendabelere toegangslagen.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Wanneer u migreert naar standaard Azure-bestandsshares, raden we u aan om tijdens de eerste migratie te beginnen in de laag die is geoptimaliseerd voor transacties. Transactiegebruik tijdens de migratie is doorgaans niet indicatief voor normaal transactiegebruik. Deze overweging is niet van toepassing op Premium-bestandsshares omdat het ingerichte factureringsmodel geen kosten in rekening brengt voor transacties. | Migreren naar Azure Files is een tijdelijke workload met veel transacties. Optimaliseer de prijs voor workloads met een hoge transactie om de migratiekosten te verlagen. |
| Nadat u uw workload hebt gemigreerd, kiest u, als u standaardbestandsshares gebruikt, zorgvuldig de meest rendabele toegangslaag voor uw bestandsshare: dynamisch, statisch of geoptimaliseerd voor transacties. Nadat u een paar dagen of weken met regelmatig gebruik hebt uitgevoerd, kunt u het aantal transacties invoegen in de prijscalculator om te bepalen welke laag het beste past bij uw workload. De meeste klanten moeten cool kiezen, zelfs als ze de share actief gebruiken. Maar u moet elke share onderzoeken en de balans van de opslagcapaciteit vergelijken met transacties om uw laag te bepalen. Als transactiekosten een aanzienlijk percentage van uw factuur vormen, worden deze kosten vaak gecompenseerd door de besparing van het gebruik van de statische toegangslaag en worden de totale totale kosten geminimaliseerd. U wordt aangeraden standaardbestandsshares alleen tussen toegangslagen te verplaatsen wanneer dat nodig is om te optimaliseren voor wijzigingen in uw workloadpatroon. Bij elke verplaatsing worden transacties in rekening gebracht. Zie Schakelen tussen standard-lagen voor meer informatie. |
Selecteer de juiste toegangslaag voor standaardbestandsshares om uw kosten aanzienlijk te verlagen. |
| Als u Premium-shares gebruikt, moet u ervoor zorgen dat u meer dan voldoende capaciteit en prestaties voor uw workload inricht, maar niet zoveel dat u onnodige kosten in rekening gebracht. We raden u aan om de inrichting twee tot drie keer te overprovisioneren. U kunt Premium-bestandsshares dynamisch omhoog of omlaag schalen, afhankelijk van de prestatiekenmerken van uw opslag en invoer/uitvoer (IO). | Overprovision Premium-bestandsshares met een redelijk bedrag om prestaties te behouden en rekening te houden met toekomstige groei- en prestatievereisten. |
| Gebruik Azure Files-reserveringen, ook wel gereserveerde instanties genoemd, om het opslaggebruik vooraf te doen en korting te krijgen. Gebruik reserveringen voor productieworkloads of ontwikkel-/testworkloads met consistente footprints. Zie Kosten optimaliseren met opslagreserveringen voor meer informatie. Reserveringen omvatten geen transactie-, bandbreedte-, gegevensoverdracht- en metagegevensopslagkosten. |
Reserveringen van drie jaar kunnen een korting van maximaal 36% bieden voor de totale kosten van bestandsopslag. Reserveringen hebben geen invloed op de prestaties. |
| Bewaak het gebruik van momentopnamen. Voor momentopnamen worden kosten in rekening gebracht, maar deze worden gefactureerd op basis van het differentiële opslaggebruik van elke momentopname. U betaalt alleen voor het verschil in elke momentopname. Zie Momentopnamen voor meer informatie. Azure File Sync maakt momentopnamen op share- en bestandsniveau als onderdeel van normaal gebruik, waardoor uw totale Azure Files-factuur kan worden verhoogd. |
Differentiële momentopnamen zorgen ervoor dat u niet meerdere keren wordt gefactureerd voor het opslaan van dezelfde gegevens. U moet echter nog steeds het gebruik van momentopnamen bewaken om uw Azure Files-factuur te verminderen. |
| Stel bewaarperioden in voor de functie voor voorlopig verwijderen, met name wanneer u deze voor het eerst gaat gebruiken. Overweeg om te beginnen met een korte bewaarperiode om beter te begrijpen hoe de functie van invloed is op uw factuur. De minimaal aanbevolen bewaarperiode is zeven dagen. Wanneer u standard- en Premium-bestandsshares voorlopig verwijdert, worden deze gefactureerd als gebruikte capaciteit in plaats van ingerichte capaciteit. En Premium-bestandsshares worden gefactureerd tegen de momentopnamesnelheid terwijl ze de status Voorlopig verwijderen hebben. Standaardbestandsshares worden gefactureerd tegen het normale tarief, terwijl ze de status Voorlopig verwijderen hebben. |
Stel een bewaarperiode in, zodat voorlopig verwijderde bestanden zich niet opstapelen en de capaciteitskosten verhogen. Na de geconfigureerde bewaarperiode worden er geen kosten in rekening gebracht voor permanent verwijderde gegevens. |
Operationele topprestaties
Operational Excellence richt zich voornamelijk op procedures voor ontwikkelprocedures, waarneembaarheid en releasebeheer.
De ontwerpprincipes van Operational Excellence bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelstellingen voor de operationele vereisten van de workload.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Operational Excellence voor het definiëren van processen voor waarneembaarheid, testen en implementatie met betrekking tot uw bestandsopslagconfiguratie.
Onderhouds- en noodherstelplannen maken: overweeg functies voor gegevensbeveiliging, back-up- en herstelbewerkingen en failoverprocedures. Bereid u voor op mogelijke gegevensverlies en inconsistenties van gegevens en de tijd en kosten van failover.
De status van uw opslagaccount bewaken: Dashboards voor Opslaginzichten maken om metrische gegevens over beschikbaarheid, prestaties en tolerantie te bewaken. Stel waarschuwingen in om problemen in uw systeem te identificeren en op te lossen voordat uw klanten ze opmerken. Gebruik diagnostische instellingen om resourcelogboeken te routeren naar een Werkruimte van Azure Monitor-logboeken. Vervolgens kunt u query's uitvoeren op logboeken om waarschuwingen dieper te onderzoeken.
Controleer regelmatig de activiteit van bestandsshares: Share-activiteit kan na verloop van tijd veranderen. Verplaats standaardbestandsshares naar koelere toegangslagen of u kunt capaciteit voor Premium-shares inrichten of de inrichting ervan ongedaan maken. Wanneer u standaardbestandsshares naar een andere toegangslaag verplaatst, worden er transactiekosten in rekening gebracht. Verplaats standaardbestandsshares alleen wanneer dat nodig is om uw maandelijkse factuur te verminderen.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Gebruik infrastructuur als code (IaC) om de details van uw opslagaccounts te definiëren in Azure Resource Manager-sjablonen (ARM-sjablonen), Bicep of Terraform. | U kunt uw bestaande DevOps-processen gebruiken om nieuwe opslagaccounts te implementeren en Azure Policy gebruiken om hun configuratie af te dwingen. |
| Gebruik Opslaginzichten om de status en prestaties van uw opslagaccounts bij te houden. Opslaginzichten bieden een uniforme weergave van de fouten, prestaties, beschikbaarheid en capaciteit voor al uw opslagaccounts. | U kunt de status en werking van elk van uw accounts bijhouden. Maak eenvoudig dashboards en rapporten die belanghebbenden kunnen gebruiken om de status van uw opslagaccounts bij te houden. |
| Gebruik Monitor om metrische gegevens te analyseren, zoals beschikbaarheid, latentie en gebruik, en om waarschuwingen te maken. | Monitor biedt een weergave van beschikbaarheid, prestaties en tolerantie voor uw bestandsshares. |
Prestatie-efficiëntie
Prestatie-efficiëntie gaat over het onderhouden van de gebruikerservaring, zelfs wanneer er een toename van de belasting is door capaciteit te beheren. De strategie omvat het schalen van resources, het identificeren en optimaliseren van potentiële knelpunten en het optimaliseren van piekprestaties.
De ontwerpprincipes prestatie-efficiëntie bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze capaciteitsdoelen ten opzichte van het verwachte gebruik.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Prestatie-efficiëntie. Definieer een basislijn die is gebaseerd op key performance indicators voor uw bestandsopslagconfiguratie.
Schaal plannen: inzicht in de schaalbaarheids- en prestatiedoelen voor opslagaccounts, Azure Files en Azure File Sync.
Inzicht in uw toepassings- en gebruikspatronen om voorspelbare prestaties te bereiken: Bepaal de latentiegevoeligheid, IOPS en doorvoervereisten, duur en frequentie van workloads en parallelle uitvoering van workloads. Gebruik Azure Files voor toepassingen met meerdere threads om u te helpen de hoogste prestatielimieten van een service te bereiken. Als de meeste aanvragen gericht zijn op metagegevens, zoals createfile, openfile, closefile, queryinfo of querydirectory, maken de aanvragen een slechte latentie die hoger is dan de lees- en schrijfbewerkingen. Als u dit probleem ondervindt, kunt u overwegen om de bestandsshare te scheiden in meerdere bestandsshares binnen hetzelfde opslagaccount.
Kies het optimale type opslagaccount: Als voor uw workload grote hoeveelheden IOPS, zeer snelle gegevensoverdrachtsnelheden of zeer lage latentie zijn vereist, moet u Premium-opslagaccounts (FileStorage) kiezen. U kunt een standaard v2-account voor algemeen gebruik gebruiken voor de meeste SMB-bestandsshareworkloads. De belangrijkste afweging tussen de twee typen opslagaccounts is kosten versus prestaties.
De ingerichte sharegrootte, zoals IOPS, uitgaand verkeer en inkomend verkeer, en limieten voor één bestand bepalen de prestaties van premium-shares. Zie Inrichten voor Premium-bestandsshares voor meer informatie. Premium-bestandsshares bieden ook bursttegoeden als verzekeringsbeleid als u de IOPS-limiet van een Premium-bestandsshare tijdelijk wilt overschrijden.
Maak opslagaccounts in dezelfde regio's als het verbinden van clients om de latentie te verminderen: hoe verder u van de Azure Files-service bent, hoe groter de latentie en hoe moeilijker de prestatieschaallimieten worden bereikt. Deze overweging geldt met name wanneer u toegang hebt tot Azure Files vanuit on-premises omgevingen. Zorg er zo mogelijk voor dat uw opslagaccount en uw clients zich in dezelfde Azure-regio bevinden. Optimaliseer voor on-premises clients door netwerklatentie te minimaliseren of door een ExpressRoute-verbinding te gebruiken om on-premises netwerken uit te breiden naar de Microsoft-cloud via een privéverbinding.
Prestatiegegevens verzamelen: werkbelastingprestaties bewaken, inclusief latentie, beschikbaarheid en metrische gegevens over gebruik . Analyseer logboeken om problemen, zoals time-outs en beperking, vast te stellen. Maak waarschuwingen om u op de hoogte te stellen als een bestandsshare wordt beperkt, wordt beperkt of als er sprake is van een hoge latentie.
Optimaliseren voor hybride implementaties: Als u Azure File Sync gebruikt, hangt de synchronisatieprestaties af van veel factoren: uw Windows Server en de onderliggende schijfconfiguratie, netwerkbandbreedte tussen de server en azure-opslag, bestandsgrootte, totale gegevenssetgrootte en de activiteit op de gegevensset. Als u de prestaties van een oplossing wilt meten die is gebaseerd op Azure File Sync, bepaalt u het aantal objecten, zoals bestanden en mappen, dat u per seconde verwerkt.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Schakel SMB meerdere kanalen in voor premium SMB-bestandsshares. Met SMB meerdere kanalen kan een SMB 3.1.1-client meerdere netwerkverbindingen tot stand brengen met een SMB Azure-bestandsshare. SMB meerdere kanalen werkt alleen wanneer de functie is ingeschakeld aan zowel clientzijde (uw client) als aan de servicezijde (Azure). Op Windows-clients is SMB Meerdere kanalen standaard ingeschakeld, maar u moet dit inschakelen in uw opslagaccount. |
Verhoog de doorvoer en IOPS en verlaag de totale eigendomskosten. Prestatievoordelen nemen toe met het aantal bestanden dat belasting distribueert. |
| Gebruik de koppelingsoptie nconnect aan clientzijde met NFS Azure-bestandsshares op Linux-clients. Met Nconnect kunt u meer TCP-verbindingen gebruiken tussen de client en de Premium-service van Azure Files voor NFSv4.1. | Verhoog de prestaties op schaal en verlaag de totale eigendomskosten voor NFS-bestandsshares. |
| Zorg ervoor dat uw bestandsshare of opslagaccount niet wordt beperkt, wat kan leiden tot hoge latentie, lage doorvoer of lage IOPS. Aanvragen worden beperkt wanneer de IOPS-, inkomend- of uitgaand verkeerslimieten worden bereikt. Voor standaardopslagaccounts vindt beperking plaats op accountniveau. Voor Premium-bestandsshares vindt beperking meestal plaats op shareniveau. |
Voorkom beperking om de best mogelijke clientervaring te bieden. |
Azure-beleid
Azure biedt een uitgebreide set ingebouwde beleidsregels met betrekking tot Azure Files. Sommige van de voorgaande aanbevelingen kunnen worden gecontroleerd via Azure-beleid. U kunt bijvoorbeeld controleren of:
- Alleen aanvragen van beveiligde verbindingen, zoals HTTPS, worden geaccepteerd.
- Autorisatie van gedeelde sleutels is uitgeschakeld.
- Netwerkfirewallregels worden toegepast op het account.
- Diagnostische instellingen voor Azure Files worden ingesteld om resourcelogboeken te streamen naar een Werkruimte voor Azure Monitor-logboeken.
- Openbare netwerktoegang is uitgeschakeld.
- Azure File Sync is geconfigureerd met privé-eindpunten voor het gebruik van privé-DNS-zones.
Raadpleeg de ingebouwde Azure Policy-definities voor opslag en andere beleidsregels die van invloed kunnen zijn op de beveiliging van de rekenlaag voor uitgebreide governance.
Aanbevelingen van Azure Advisor
Azure Advisor is een persoonlijke cloudconsultant die u helpt aanbevolen procedures voor het optimaliseren van uw Azure-implementaties te volgen. Hier volgen enkele aanbevelingen waarmee u de betrouwbaarheid, beveiliging, kosteneffectiviteit, prestaties en operationele uitmuntendheid van Azure Files kunt verbeteren.
Volgende stap
Zie de documentatie van Azure Files voor meer informatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor