Perspektywa dobrze zaprojektowanej struktury platformy Azure w usłudze Azure Blob Storage
Azure Blob Storage to rozwiązanie magazynu obiektów firmy Microsoft dla chmury. Usługa Blob Storage jest zoptymalizowana pod kątem przechowywania ogromnych ilości danych bez struktury. Dane bez struktury są danymi, które nie są zgodne z żadnym modelem lub definicją danych, jak na przykład dane tekstowe lub binarne.
W tym artykule założono, że jako architekt przejrzeliśmy opcje magazynu i wybraliśmy usługę Blob Storage jako usługę magazynu, na której będą uruchamiane obciążenia. Wskazówki zawarte w tym artykule zawierają zalecenia dotyczące architektury mapowane na zasady filarów platformy Azure Well-Architected Framework.
Ważne
Jak korzystać z tego przewodnika
Każda sekcja zawiera listę kontrolną projektu, która przedstawia zagadnienia dotyczące architektury wraz ze strategiami projektowania.
Dostępne są również zalecenia dotyczące możliwości technologicznych, które mogą pomóc w zaimplementowaniu tych strategii. Zalecenia nie reprezentują wyczerpującej listy wszystkich konfiguracji dostępnych dla usługi Blob Storage i jej zależności. Zamiast tego wyświetlają listę kluczowych zaleceń mapowanych na perspektywy projektu. Skorzystaj z zaleceń, aby utworzyć weryfikację koncepcji lub zoptymalizować istniejące środowiska.
Niezawodność
Celem filaru niezawodności jest zapewnienie ciągłej funkcjonalności dzięki tworzeniu wystarczającej odporności i możliwości szybkiego odzyskiwania po awariach.
Zasady projektowania niezawodności zapewniają ogólną strategię projektowania stosowaną dla poszczególnych składników, przepływów systemowych i całego systemu.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem niezawodności.
Użyj analizy trybu awarii: zminimalizuj punkty awarii, biorąc pod uwagę zależności wewnętrzne, takie jak dostępność sieci wirtualnych, usługi Azure Key Vault lub usługi Azure Content Delivery Network lub punktów końcowych usługi Azure Front Door. Błędy mogą wystąpić, jeśli brakuje poświadczeń wymaganych przez obciążenia w celu uzyskania dostępu do usługi Blob Storage z usługi Key Vault lub jeśli obciążenia używają punktu końcowego na podstawie usuniętej sieci dostarczania zawartości. W takich przypadkach obciążenia mogą wymagać użycia alternatywnego punktu końcowego do nawiązania połączenia. Aby uzyskać ogólne informacje na temat analizy trybu awarii, zobacz Rekomendacje na potrzeby przeprowadzania analizy trybu awarii.
Definiowanie celów dotyczących niezawodności i odzyskiwania: Przejrzyj umowy dotyczące poziomu usług platformy Azure (SLA). Uzyskiwanie celu poziomu usługi (SLO) dla konta magazynu. Na przykład cel slo może mieć wpływ na wybraną konfigurację nadmiarowości. Rozważ efekt awarii regionalnej, potencjalną utratę danych i czas wymagany do przywrócenia dostępu po awarii. Należy również wziąć pod uwagę dostępność wszelkich zależności wewnętrznych, które zostały zidentyfikowane w ramach analizy trybu awarii.
Konfigurowanie nadmiarowości danych: aby uzyskać maksymalną trwałość, wybierz konfigurację, która kopiuje dane między strefami dostępności lub regionami globalnymi. Aby uzyskać maksymalną dostępność, wybierz konfigurację, która umożliwia klientom odczytywanie danych z regionu pomocniczego podczas awarii regionu podstawowego.
Aplikacje projektowe: Projektuj aplikacje , aby bezproblemowo przechodzić do odczytu danych z regionu pomocniczego, jeśli region podstawowy stanie się niedostępny z jakiegokolwiek powodu. Dotyczy to tylko konfiguracji magazynu geograficznie nadmiarowego (GRS) i magazynu strefowo nadmiarowego (GZRS). Projektowanie aplikacji w celu obsługi awarii zmniejsza przestoje dla użytkowników końcowych.
Zapoznaj się z funkcjami, które ułatwiają spełnianie celów odzyskiwania: umożliwia przywracanie obiektów blob, aby można je było odzyskać, jeśli są uszkodzone, edytowane lub usunięte przez pomyłkę.
Utwórz plan odzyskiwania: rozważ funkcje ochrony danych, operacje tworzenia kopii zapasowych i przywracania lub procedury trybu failover. Przygotuj się do potencjalnej utraty danych i niespójności danych oraz czasu i kosztów przechodzenia w tryb failover. Aby uzyskać więcej informacji, zobacz Rekomendacje na potrzeby projektowania strategii odzyskiwania po awarii.
Monitorowanie potencjalnych problemów z dostępnością: Subskrybuj pulpit nawigacyjny usługi Azure Service Health, aby monitorować potencjalne problemy z dostępnością. Użyj metryk magazynu w usłudze Azure Monitor i dziennikach diagnostycznych, aby zbadać alerty.
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Skonfiguruj konto pod kątem nadmiarowości. Aby uzyskać maksymalną dostępność i trwałość, skonfiguruj konto przy użyciu magazynu strefowo nadmiarowego (ZRS) lub magazynu GZRS. |
Nadmiarowość chroni dane przed nieoczekiwanymi awariami. Opcje konfiguracji magazynów ZRS i GZRS są replikowane w różnych strefach dostępności i umożliwiają aplikacjom dalsze odczytywanie danych podczas awarii. Aby uzyskać więcej informacji, zobacz Trwałość i dostępność według scenariusza awarii oraz Parametry trwałości i dostępności. |
| Przed zainicjowaniem przejścia w tryb failover lub powrotu po awarii oceń potencjalną utratę danych, sprawdzając wartość właściwości czasu ostatniej synchronizacji. To zalecenie dotyczy tylko konfiguracji GRS i GZRS. | Ta właściwość ułatwia oszacowanie ilości danych, które mogą zostać utracone przez zainicjowanie trybu failover konta. Wszystkie dane i metadane zapisane przed ostatnim czasem synchronizacji są dostępne w regionie pomocniczym, ale dane i metadane zapisane po ostatniej synchronizacji mogą zostać utracone, ponieważ nie są zapisywane w regionie pomocniczym. |
| W ramach strategii tworzenia kopii zapasowych i odzyskiwania włącz opcje usuwania nietrwałego kontenera, usuwania nietrwałego obiektów blob, przechowywania wersji i przywracania do punktu w czasie. | Opcja usuwania nietrwałego umożliwia kontu magazynu odzyskiwanie usuniętych kontenerów i obiektów blob. Opcja przechowywania wersji automatycznie śledzi zmiany wprowadzone w obiektach blob. Ta opcja umożliwia przywrócenie obiektu blob do poprzedniego stanu. Opcja przywracania do punktu w czasie chroni przed przypadkowym usunięciem lub uszkodzeniem obiektu blob i umożliwia przywrócenie danych blokowych obiektów blob do wcześniejszego stanu. Aby uzyskać więcej informacji, zobacz Omówienie ochrony danych. |
Zabezpieczenia
Celem filaru Zabezpieczenia jest zapewnienie poufności, integralności i gwarancji dostępności dla obciążenia.
Zasady projektowania zabezpieczeń zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów, stosując podejścia do projektu technicznego konfiguracji usługi Blob Storage.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem zabezpieczeń. Identyfikowanie luk w zabezpieczeniach i mechanizmów kontroli w celu poprawy stanu zabezpieczeń. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.
Zapoznaj się z punktem odniesienia zabezpieczeń usługi Azure Storage: aby rozpocząć, najpierw zapoznaj się z punktem odniesienia zabezpieczeń dla usługi Storage.
Użyj kontrolek sieci, aby ograniczyć ruch przychodzący i wychodzący: wyłącz cały ruch publiczny na koncie magazynu. Użyj kontroli sieci kont, aby udzielić minimalnego poziomu dostępu wymaganego przez użytkowników i aplikacje. Aby uzyskać więcej informacji, zobacz How to approach network security for your storage account (Jak podejść do zabezpieczeń sieci dla konta magazynu).
Zmniejsz obszar ataków: Zapobieganie dostępowi anonimowemu, dostępowi do klucza konta lub dostępowi za pośrednictwem połączeń niezabezpieczonego (HTTP) może zmniejszyć obszar ataków. Wymagaj od klientów wysyłania i odbierania danych przy użyciu najnowszej wersji protokołu Transport Layer Security (TLS).
Autoryzowanie dostępu bez używania haseł lub kluczy: identyfikator Firmy Microsoft Entra zapewnia doskonałe zabezpieczenia i łatwość użycia w porównaniu z kluczami udostępnionymi i sygnaturami dostępu współdzielonego. Przyznaj podmiotom zabezpieczeń tylko te uprawnienia, które są niezbędne do wykonywania zadań.
Ochrona poufnych informacji: ochrona poufnych informacji, takich jak klucze konta i tokeny sygnatury dostępu współdzielonego. Chociaż te formy autoryzacji nie są zwykle zalecane, należy pamiętać, aby obracać, wygasać i przechowywać je bezpiecznie.
Włącz wymaganą opcję bezpiecznego transferu: włączenie tego ustawienia dla wszystkich kont magazynu gwarantuje, że wszystkie żądania wysyłane względem konta magazynu muszą odbywać się za pośrednictwem bezpiecznych połączeń. Wszystkie żądania wysyłane za pośrednictwem protokołu HTTP kończą się niepowodzeniem.
Ochrona obiektów krytycznych: stosowanie zasad niezmienności w celu ochrony obiektów krytycznych. Zasady chronią obiekty blob przechowywane w celach prawnych, zgodności lub innych celów biznesowych przed modyfikacją lub usunięciem. Skonfiguruj blokady dla ustawionych okresów lub do momentu, aż ograniczenia zostaną zniesione przez administratora.
Wykrywanie zagrożeń: włącz usługę Microsoft Defender for Storage , aby wykrywać zagrożenia. Alerty zabezpieczeń są wyzwalane, gdy wystąpią anomalie w aktywności. Alerty powiadamiają administratorów subskrypcji za pośrednictwem poczty e-mail ze szczegółowymi informacjami o podejrzanych działaniach i zaleceniach dotyczących sposobu badania i korygowania zagrożeń.
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Wyłącz anonimowy dostęp do odczytu do kontenerów i obiektów blob. | Gdy dostęp anonimowy jest dozwolony dla konta magazynu, użytkownik, który ma odpowiednie uprawnienia, może zmodyfikować ustawienie dostępu anonimowego kontenera, aby umożliwić anonimowy dostęp do danych w tym kontenerze. |
| Zastosuj blokadę usługi Azure Resource Manager na koncie magazynu. | Zablokowanie konta uniemożliwia jego usunięcie i spowodowanie utraty danych. |
| Wyłącz ruch do publicznych punktów końcowych konta magazynu. Tworzenie prywatnych punktów końcowych dla klientów uruchomionych na platformie Azure. Włącz publiczny punkt końcowy tylko wtedy, gdy klienci i usługi zewnętrzne z platformą Azure wymagają bezpośredniego dostępu do konta magazynu. Włącz reguły zapory ograniczające dostęp do określonych sieci wirtualnych. | Zacznij od zera dostępu, a następnie przyrostowo autoryzuj najniższy poziom dostępu wymagany dla klientów i usług, aby zminimalizować ryzyko tworzenia niepotrzebnych otworów dla osób atakujących. |
| Autoryzowanie dostępu przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure. | W przypadku kontroli dostępu opartej na rolach nie ma haseł ani kluczy, których bezpieczeństwo może zostać naruszone. Podmiot zabezpieczeń (użytkownik, grupa, tożsamość zarządzana lub jednostka usługi) jest uwierzytelniany przez identyfikator firmy Microsoft Entra w celu zwrócenia tokenu OAuth 2.0. Token jest używany do autoryzowania żądania względem usługi Blob Storage. |
| Nie zezwalaj na autoryzację klucza współużytkowanego. Spowoduje to wyłączenie nie tylko dostępu do klucza konta, ale także tokenów sygnatury dostępu współdzielonego usługi i konta, ponieważ są one oparte na kluczach konta. | Dozwolone są tylko zabezpieczone żądania autoryzowane za pomocą identyfikatora Entra firmy Microsoft. |
| Zalecamy, aby nie używać klucza konta. Jeśli musisz użyć kluczy konta, zapisz je w usłudze Key Vault i upewnij się, że są okresowo ponownie generowane. | Usługa Key Vault umożliwia pobieranie kluczy w czasie wykonywania zamiast zapisywania ich przy użyciu aplikacji. Usługa Key Vault ułatwia również obracanie kluczy bez zakłóceń w aplikacjach. Rotacja kluczy kont okresowo zmniejsza ryzyko ujawnienia danych złośliwym atakom. |
| Zalecamy, aby nie używać tokenów sygnatury dostępu współdzielonego. Oceń, czy potrzebujesz tokenów sygnatury dostępu współdzielonego, aby zabezpieczyć dostęp do zasobów usługi Blob Storage. Jeśli musisz go utworzyć, zapoznaj się z tą listą najlepszych rozwiązań dotyczących sygnatur dostępu współdzielonego przed utworzeniem i dystrybucją. | Najlepsze rozwiązania mogą pomóc w zapobieganiu wyciekowi tokenu sygnatury dostępu współdzielonego i szybkiego odzyskiwania po wystąpieniu wycieku. |
| Skonfiguruj konto magazynu, aby klienci mogli wysyłać i odbierać dane przy użyciu minimalnej wersji protokołu TLS 1.2. | Protokół TLS 1.2 jest bezpieczniejszy i szybszy niż protokoły TLS 1.0 i 1.1, które nie obsługują nowoczesnych algorytmów kryptograficznych i zestawów szyfrowania. |
| Rozważ użycie własnego klucza szyfrowania w celu ochrony danych na koncie magazynu. Aby uzyskać więcej informacji, zobacz Klucze zarządzane przez klienta na potrzeby szyfrowania usługi Azure Storage. | Klucze zarządzane przez klienta zapewniają większą elastyczność i kontrolę. Możesz na przykład przechowywać klucze szyfrowania w usłudze Key Vault i automatycznie je obracać. |
Optymalizacja kosztów
Optymalizacja kosztów koncentruje się na wykrywaniu wzorców wydatków, określaniu priorytetów inwestycji w krytycznych obszarach i optymalizacji w innych , aby spełnić wymagania budżetowe i biznesowe organizacji.
Zasady projektowania optymalizacji kosztów zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów i podejmowania kompromisów zgodnie z potrzebami w projekcie technicznym związanym z usługą Blob Storage i jego środowiskiem.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu dotyczącej optymalizacji kosztów dla inwestycji. Dostosuj projekt tak, aby obciążenie było dostosowane do budżetu przydzielonego dla obciążenia. Projekt powinien korzystać z odpowiednich możliwości platformy Azure, monitorować inwestycje i znajdować możliwości optymalizacji w czasie.
Zidentyfikuj mierniki używane do obliczania rachunku: Mierniki są używane do śledzenia ilości danych przechowywanych na koncie (pojemność danych) oraz liczby i typu operacji wykonywanych w celu zapisu i odczytu danych. Istnieją również mierniki skojarzone z użyciem opcjonalnych funkcji, takich jak tagi indeksu obiektów blob, spis obiektów blob, obsługa zestawienia zmian, zakresy szyfrowania i obsługa protokołu SSH File Transfer Protocol (SFTP). Aby uzyskać więcej informacji, zobacz Jak są naliczane opłaty za usługę Blob Storage.
Zapoznaj się z ceną każdego miernika: upewnij się, że używasz odpowiedniej strony cennika i zastosuj odpowiednie ustawienia na tej stronie. Aby uzyskać więcej informacji, zobacz Znajdowanie ceny jednostkowej dla każdego miernika. Rozważ liczbę operacji skojarzonych z każdą ceną. Na przykład cena skojarzona z operacjami zapisu i odczytu dotyczy 10 000 operacji. Aby określić cenę pojedynczej operacji, podziel cenę notowaną na 10 000.
Szacowanie kosztów pojemności i operacji: możesz modelować koszty związane z magazynem danych, ruchem przychodzącym i wychodzącym przy użyciu kalkulatora cen platformy Azure. Pola umożliwiają porównanie kosztów skojarzonych z różnymi regionami, typami kont, typami przestrzeni nazw i konfiguracjami nadmiarowości. W przypadku niektórych scenariuszy możesz użyć przykładowych obliczeń i arkuszy dostępnych w dokumentacji firmy Microsoft. Można na przykład oszacować koszt archiwizacji danych lub oszacować koszt użycia polecenia AzCopy do transferu obiektów blob.
Wybierz model rozliczeniowy dla pojemności: oceń, czy użycie modelu opartego na zobowiązaniach jest bardziej ekonomiczne niż użycie modelu opartego na użyciu. Jeśli nie masz pewności co do ilości potrzebnej pojemności, możesz zacząć od modelu opartego na użyciu, monitorować metryki pojemności, a następnie oceniać je później.
Wybierz typ konta, poziom nadmiarowości i domyślną warstwę dostępu: podczas tworzenia konta magazynu musisz wybrać wartość dla każdego z tych ustawień. Wszystkie wartości wpływają na opłaty za transakcje i opłaty za pojemność. Wszystkie te ustawienia z wyjątkiem typu konta można zmienić po utworzeniu konta.
Wybierz najbardziej ekonomiczną domyślną warstwę dostępu: o ile nie określono warstwy z każdym przekazywaniem obiektów blob, obiekty blob wnioskowają o warstwie dostępu z domyślnego ustawienia warstwy dostępu. Zmiana domyślnego ustawienia warstwy dostępu konta magazynu dotyczy wszystkich obiektów blob na koncie, dla których nie ustawiono jawnie warstwy dostępu. Ten koszt może być znaczący, jeśli zebrano dużą liczbę obiektów blob. Aby uzyskać więcej informacji o tym, jak zmiana warstwy wpływa na każdy istniejący obiekt blob, zobacz Zmienianie warstwy dostępu obiektu blob.
Przekazywanie danych bezpośrednio do najbardziej ekonomicznej warstwy dostępu: na przykład jeśli domyślne ustawienie warstwy dostępu konta jest gorące, ale przekazujesz pliki do celów archiwizacji, określ chłodniejszą warstwę jako archiwum lub warstwę zimną w ramach operacji przekazywania. Po przekazaniu obiektów blob użyj zasad zarządzania cyklem życia, aby przenieść obiekty blob do najbardziej ekonomicznej warstwy na podstawie metryk użycia, takich jak czas ostatniego dostępu. Wybranie najbardziej optymalnej warstwy z góry może obniżyć koszty. Jeśli zmienisz warstwę już przekazanego obiektu blob blokowego, płacisz koszt zapisu w warstwie początkowej podczas pierwszego przekazywania obiektu blob, a następnie płacisz koszt zapisu w żądanej warstwie.
Zaplanuj zarządzanie cyklem życia danych: Optymalizowanie kosztów transakcji i pojemności dzięki wykorzystaniu warstw dostępu i zarządzania cyklem życia. Dane używane rzadziej powinny być umieszczane w chłodniejszych warstwach dostępu, podczas gdy dane, do których często uzyskuje się dostęp, powinny być umieszczane w cieplejszych warstwach dostępu.
Zdecyduj, które funkcje są potrzebne: Niektóre funkcje, takie jak przechowywanie wersji i usuwanie nietrwałe obiektów blob, generują dodatkowe koszty transakcji i pojemności, a także inne opłaty. Pamiętaj, aby przejrzeć sekcje cennika i rozliczeń w artykułach, które opisują te możliwości podczas wybierania możliwości do dodania do konta.
Jeśli na przykład włączysz funkcję spisu obiektów blob, opłaty są naliczane za liczbę skanowanych obiektów. Jeśli używasz tagów indeksu obiektów blob, opłaty są naliczane za liczbę tagów indeksu. Jeśli włączysz obsługę SFTP, opłaty są naliczane co godzinę, nawet jeśli nie ma transferów SFTP. Jeśli zdecydujesz się na korzystanie z funkcji, upewnij się, że funkcja jest wyłączona, ponieważ niektóre funkcje są automatycznie włączone podczas tworzenia konta.
Tworzenie barier zabezpieczających: tworzenie budżetów na podstawie subskrypcji i grup zasobów. Zasady ładu umożliwiają ograniczanie typów zasobów, konfiguracji i lokalizacji. Ponadto użyj kontroli dostępu opartej na rolach, aby zablokować akcje, które mogą prowadzić do nadmiernego wykorzystania.
Monitorowanie kosztów: upewnij się, że koszty pozostają w budżetach, porównaj koszty z prognozami i zobacz, gdzie występują nadmierne wydatki. Aby monitorować koszty, możesz użyć okienka analizy kosztów w witrynie Azure Portal. Możesz również wyeksportować dane kosztów do konta magazynu i przeanalizować te dane przy użyciu programu Excel lub usługi Power BI.
Monitorowanie użycia: stale monitoruj wzorce użycia i wykrywaj nieużywane lub nieużywane konta i kontenery. Użyj szczegółowych informacji usługi Storage do obsługi kont tożsamości bez użycia lub niskiego użycia. Włącz raporty spisu obiektów blob i użyj narzędzi, takich jak Azure Databricks lub Azure Synapse Analytics i Power BI, aby analizować dane kosztów. Zwróć uwagę na nieoczekiwany wzrost pojemności, co może wskazywać, że zbierasz wiele plików dziennika, wersji obiektów blob lub nietrwałych obiektów blob. Opracuj strategię wygasania lub przenoszenia obiektów do bardziej ekonomicznych warstw dostępu. Zaplanuj wygasanie obiektów lub przenoszenie obiektów do bardziej przystępnych cenowo warstw dostępu.
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Spakuj małe pliki do większych plików przed przeniesieniem ich do chłodniejszych warstw. Możesz użyć formatów plików, takich jak TAR lub ZIP. | Warstwy chłodniejsze mają wyższe koszty transferu danych. Dzięki mniejszej liczbie dużych plików można zmniejszyć liczbę operacji wymaganych do transferu danych. |
| Podczas ponownego wypełniania obiektów blob z magazynu archiwum należy używać ponownego wypełniania o priorytetach. Używaj ponownego wypełniania o wysokim priorytcie tylko w sytuacjach awaryjnych przywracania danych. Aby uzyskać więcej informacji, zobacz Rehydrate an archived blob to an online tier (Ponowne wypełnianie zarchiwizowanego obiektu blob w warstwie online) | Ponowne wypełnianie o wysokim priorytcie z warstwy Archiwum może prowadzić do wyższych niż normalnych rachunków. |
| Zmniejsz koszt korzystania z dzienników zasobów, wybierając odpowiednią lokalizację magazynu dzienników i zarządzając okresami przechowywania dzienników. Jeśli planujesz wykonywać zapytania dotyczące dzienników tylko od czasu do czasu (na przykład wykonywanie zapytań dotyczących dzienników inspekcji zgodności), rozważ wysłanie dzienników zasobów na konto magazynu zamiast wysyłania ich do obszaru roboczego dzienników usługi Azure Monitor. Do analizowania dzienników można użyć rozwiązania do wykonywania zapytań bezserwerowych, takiego jak usługa Azure Synapse Analytics. Aby uzyskać więcej informacji, zobacz Optymalizowanie kosztów dla rzadko wykonywanych zapytań. Użyj zasad zarządzania cyklem życia, aby usunąć lub zarchiwizować dzienniki. | Przechowywanie dzienników zasobów na koncie magazynu na potrzeby późniejszej analizy może być tańsze. Używanie zasad zarządzania cyklem życia do zarządzania przechowywaniem dzienników na koncie magazynu uniemożliwia tworzenie dużej liczby plików dzienników w czasie, co może prowadzić do niepotrzebnych opłat za pojemność. |
| Jeśli włączysz przechowywanie wersji, użyj zasad zarządzania cyklem życia, aby automatycznie usunąć stare wersje obiektów blob. | Każda operacja zapisu w obiekcie blob tworzy nową wersję. Zwiększa to koszty pojemności. Możesz zachować koszty zaewidencjonowania, usuwając wersje, których już nie potrzebujesz. |
| Jeśli włączysz przechowywanie wersji, umieść obiekty blob, które są często zastępowane na koncie, które nie ma włączonej obsługi wersji. | Za każdym razem, gdy obiekt blob zostanie zastąpiony, dodawana jest nowa wersja, co prowadzi do zwiększenia opłat za pojemność magazynu. Aby zmniejszyć opłaty za pojemność, należy przechowywać często zastępowane dane na osobnym koncie magazynu z wyłączoną obsługą wersji. |
| Jeśli włączysz usuwanie nietrwałe, umieść obiekty blob, które są często zastępowane na koncie, które nie ma włączonego usuwania nietrwałego. Ustaw okresy przechowywania. Rozważ rozpoczęcie od krótkiego okresu przechowywania, aby lepiej zrozumieć, jak funkcja wpływa na rachunek. Minimalny zalecany okres przechowywania wynosi siedem dni. | Za każdym razem, gdy obiekt blob jest zastępowany, tworzona jest nowa migawka. Przyczyna zwiększenia opłat za pojemność może być trudna do uzyskania dostępu, ponieważ tworzenie tych migawek nie jest wyświetlane w dziennikach. Aby zmniejszyć opłaty za pojemność, przechowuj często zastępowane dane na osobnym koncie magazynu z wyłączonym usuwaniem nietrwałym. Okres przechowywania przechowuje nietrwałe obiekty blob z stosu i zwiększa koszt pojemności. |
| Włącz obsługę SFTP tylko wtedy, gdy jest używana do transferu danych. | Włączenie punktu końcowego SFTP powoduje naliczanie godzinowych kosztów. Dzięki przemyślanemu wyłączeniu obsługi SFTP, a następnie włączeniu jej w razie potrzeby, możesz uniknąć pasywnych opłat z naliczania na koncie. |
| Wyłącz wszelkie zakresy szyfrowania, które nie są potrzebne, aby uniknąć niepotrzebnych opłat. | Zakresy szyfrowania są naliczane miesięcznie. |
Sprawność operacyjna
Doskonałość operacyjna koncentruje się przede wszystkim na procedurach dotyczących praktyk programistycznych, możliwości obserwacji i zarządzania wydaniami.
Zasady projektowania doskonałości operacyjnej stanowią strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów dla wymagań operacyjnych obciążenia.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem doskonałości operacyjnej w celu zdefiniowania procesów do obserwowania, testowania i wdrażania związanego z konfiguracją usługi Blob Storage.
Tworzenie planów konserwacji i odzyskiwania awaryjnego: rozważ funkcje ochrony danych, operacje tworzenia kopii zapasowych i przywracania oraz procedury trybu failover. Przygotuj się do potencjalnej utraty danych i niespójności danych oraz czasu i kosztów przechodzenia w tryb failover.
Monitorowanie kondycji konta magazynu: tworzenie pulpitów nawigacyjnych szczegółowych informacji usługi Storage w celu monitorowania metryk dostępności, wydajności i odporności. Skonfiguruj alerty, aby identyfikować i rozwiązywać problemy w systemie przed ich zauważeniem przez klientów. Użyj ustawień diagnostycznych, aby kierować dzienniki zasobów do obszaru roboczego dzienników usługi Azure Monitor. Następnie możesz wykonywać zapytania dotyczące dzienników w celu dokładniejszego zbadania alertów.
Włącz raporty spisu obiektów blob: włącz raporty spisu obiektów blob, aby przejrzeć stan przechowywania, archiwizacji ze względów prawnych lub szyfrowania zawartości konta magazynu. Możesz również użyć raportów spisu obiektów blob, aby zrozumieć łączny rozmiar danych, wiek, rozkład warstwy lub inne atrybuty danych. Użyj narzędzi, takich jak Azure Databricks lub Azure Synapse Analytics i Power BI, aby lepiej wizualizować dane spisu i tworzyć raporty dla uczestników projektu.
Skonfiguruj zasady, które usuwają obiekty blob lub przenoszą je do tanich warstw dostępu: Utwórz zasady zarządzania cyklem życia z początkowym zestawem warunków. Zasady są automatycznie usuwane lub ustawiane warstwy dostępu obiektów blob na podstawie zdefiniowanych warunków. Okresowe analizowanie użycia kontenera przy użyciu funkcji Monitorowanie metryk i raportów spisu obiektów blob w celu uściślinia warunków w celu zoptymalizowania wydajności kosztów.
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Użyj infrastruktury jako kodu (IaC), aby zdefiniować szczegóły kont magazynu w szablonach usługi Azure Resource Manager (szablony usługi ARM), Bicep lub Terraform. | Możesz użyć istniejących procesów DevOps do wdrożenia nowych kont magazynu i użyć usługi Azure Policy , aby wymusić ich konfigurację. |
| Użyj szczegółowych informacji usługi Storage, aby śledzić kondycję i wydajność kont magazynu. Szczegółowe informacje o usłudze Storage zapewniają ujednolicony widok awarii, wydajności, dostępności i pojemności dla wszystkich kont magazynu. | Możesz śledzić kondycję i działanie poszczególnych kont. Łatwe tworzenie pulpitów nawigacyjnych i raportów, których uczestnicy projektu mogą używać do śledzenia kondycji kont magazynu. |
Efektywność wydajności
Wydajność polega na utrzymywaniu środowiska użytkownika nawet wtedy, gdy występuje wzrost obciążenia dzięki zarządzaniu pojemnością. Strategia obejmuje skalowanie zasobów, identyfikowanie i optymalizowanie potencjalnych wąskich gardeł oraz optymalizowanie pod kątem szczytowej wydajności.
Zasady projektowania wydajności zapewniają ogólną strategię projektowania w celu osiągnięcia tych celów pojemności w stosunku do oczekiwanego użycia.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem wydajności. Zdefiniuj punkt odniesienia oparty na kluczowych wskaźnikach wydajności dla konfiguracji usługi Blob Storage.
Planowanie skalowania: omówienie celów skalowania dla kont magazynu.
Wybierz optymalny typ konta magazynu: jeśli obciążenie wymaga wysokich stawek transakcji, mniejszych obiektów i stale niskiego opóźnienia transakcji, rozważ użycie kont magazynu blokowych obiektów blob w warstwie Premium. Standardowe konto ogólnego przeznaczenia w wersji 2 jest najbardziej odpowiednie w większości przypadków.
Zmniejsz odległość podróży między klientem a serwerem: umieść dane w regionach najbliższych połączeniu klientów (najlepiej w tym samym regionie). Optymalizowanie pod kątem klientów w regionach daleko, korzystając z replikacji obiektów lub sieci dostarczania zawartości. Domyślne konfiguracje sieci zapewniają najlepszą wydajność. Zmodyfikuj ustawienia sieciowe tylko w celu zwiększenia bezpieczeństwa. Ogólnie rzecz biorąc, ustawienia sieciowe nie zmniejszają odległości podróży i nie zwiększają wydajności.
Wybierz wydajny schemat nazewnictwa: Zmniejsz opóźnienie operacji wyświetlania listy, listy, zapytań i odczytu przy użyciu prefiksów tagów skrótu najbliższych początku klucza partycji obiektu blob (konto, kontener, katalog wirtualny lub nazwa obiektu blob). Ten schemat przynosi korzyści głównie kontom, które mają płaską przestrzeń nazw.
Optymalizowanie wydajności klientów danych: wybierz narzędzie do transferu danych, które jest najbardziej odpowiednie dla rozmiaru danych, częstotliwości transferu i przepustowości obciążeń. Niektóre narzędzia, takie jak Narzędzie AzCopy , są zoptymalizowane pod kątem wydajności i wymagają niewielkiej interwencji. Rozważ czynniki wpływające na opóźnienie i dostosuj wydajność, przeglądając wskazówki dotyczące optymalizacji wydajności opublikowane przy użyciu każdego narzędzia.
Optymalizowanie wydajności kodu niestandardowego: rozważ użycie zestawów SDK usługi Storage zamiast tworzenia własnych otoek dla operacji REST obiektów blob. Zestawy SDK platformy Azure są zoptymalizowane pod kątem wydajności i zapewniają mechanizmy dostosowywania wydajności. Przed utworzeniem aplikacji zapoznaj się z listą kontrolną dotyczącą wydajności i skalowalności dla usługi Blob Storage. Rozważ użycie przyspieszania zapytań, aby odfiltrować niepożądane dane podczas żądania magazynu i uniemożliwić klientom niepotrzebne przesyłanie danych przez sieć.
Zbieranie danych wydajności: Monitoruj konto magazynu, aby zidentyfikować wąskie gardła wydajności występujące z ograniczania przepustowości. Aby uzyskać więcej informacji, zobacz Monitorowanie usługi magazynu za pomocą funkcji Monitorowanie szczegółowych informacji o usłudze Storage. Użyj zarówno metryk, jak i dzienników. Metryki zawierają liczby, takie jak błędy ograniczania przepustowości. Dzienniki opisują aktywność. Jeśli widzisz metryki ograniczania przepustowości, możesz użyć dzienników, aby określić, którzy klienci otrzymują błędy ograniczania przepustowości. Aby uzyskać więcej informacji, zobacz Inspekcja operacji płaszczyzny danych.
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Aprowizuj konta magazynu w tym samym regionie, w którym są umieszczane zasoby zależne. W przypadku aplikacji, które nie są hostowane na platformie Azure, takich jak aplikacje urządzeń przenośnych lub lokalne usługi przedsiębiorstwa, znajdź konto magazynu w regionie bliżej tych klientów. Aby uzyskać więcej informacji, zobacz Lokalizacje geograficzne platformy Azure. Jeśli klienci z innego regionu nie wymagają tych samych danych, utwórz oddzielne konto w każdym regionie. Jeśli klienci z innego regionu wymagają tylko niektórych danych, rozważ użycie zasad replikacji obiektów do asynchronicznego kopiowania odpowiednich obiektów na konto magazynu w innym regionie. |
Zmniejszenie odległości fizycznej między kontem magazynu a maszynami wirtualnymi, usługami i klientami lokalnymi może poprawić wydajność i zmniejszyć opóźnienie sieci. Zmniejszenie odległości fizycznej zmniejsza również koszty aplikacji hostowanych na platformie Azure, ponieważ użycie przepustowości w jednym regionie jest bezpłatne. |
| W przypadku szerokiego użycia przez klientów internetowych (przesyłanie strumieniowe zawartości wideo, audio lub statycznej witryny internetowej) rozważ użycie sieci dostarczania zawartości za pośrednictwem usługi Azure Front Door. | Zawartość jest dostarczana klientom szybciej, ponieważ korzysta z globalnej sieci brzegowej firmy Microsoft z setkami globalnych i lokalnych punktów obecności na całym świecie. |
| Dodaj sekwencję znaków skrótu (na przykład trzy cyfry) jak najszybciej w kluczu partycji obiektu blob. Klucz partycji to nazwa konta, nazwa kontenera, nazwa katalogu wirtualnego i nazwa obiektu blob. Jeśli planujesz używać sygnatur czasowych w nazwach, rozważ dodanie wartości sekund na początku tej sygnatury. Aby uzyskać więcej informacji, zobacz Partycjonowanie. | Użycie wartości skrótu lub sekund najbliższego początku klucza partycji skraca czas wymagany do wyświetlenia listy zapytań i odczytu obiektów blob. |
| Podczas przekazywania obiektów blob lub bloków użyj obiektu blob lub rozmiaru bloku większego niż 256 KiB. | Rozmiary obiektów blob lub bloków powyżej 256 KiB korzystają z ulepszeń wydajności na platformie, która jest przeznaczona specjalnie dla większych obiektów blob i rozmiarów bloków. |
Zasady platformy Azure
Platforma Azure udostępnia obszerny zestaw wbudowanych zasad związanych z usługą Blob Storage i jej zależnościami. Niektóre z powyższych zaleceń można przeprowadzić inspekcję za pomocą zasad platformy Azure. Możesz na przykład sprawdzić, czy:
- Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob nie jest włączony.
- Ustawienia diagnostyczne usługi Blob Storage są ustawiane na przesyłanie strumieniowe dzienników zasobów do obszaru roboczego dzienników usługi Azure Monitor.
- Akceptowane są tylko żądania z bezpiecznych połączeń (HTTPS).
- Włączono zasady wygasania sygnatury dostępu współdzielonego.
- Replikacja obiektów między dzierżawami jest wyłączona.
- Autoryzacja klucza współużytkowanego jest wyłączona.
- Reguły zapory sieciowej są stosowane do konta.
Aby uzyskać kompleksowy nadzór, zapoznaj się z wbudowanymi definicjami usługi Azure Policy dla usługi Storage i innymi zasadami, które mogą mieć wpływ na bezpieczeństwo warstwy obliczeniowej.
Zalecenia usługi Azure Advisor
Azure Advisor to spersonalizowany konsultant ds. chmury, który pomaga stosować najlepsze rozwiązania w celu zoptymalizowania wdrożeń platformy Azure. Poniżej przedstawiono kilka zaleceń, które mogą pomóc zwiększyć niezawodność, bezpieczeństwo, efektywność kosztową, wydajność i doskonałość operacyjną usługi Blob Storage.
Następny krok
Aby uzyskać więcej informacji na temat usługi Blob Storage, zobacz dokumentację usługi Blob Storage.