Introdução aos discos gerenciados do Azure

Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes

Os Azure Managed Disks são volumes de armazenamento em nível de bloco que são gerenciados pelo Azure e usados com Máquinas Virtuais do Azure. Os discos gerenciados são como um disco físico em um servidor local, mas virtualizados. Com os discos gerenciados, basta especificar o tamanho e o tipo de disco e provisioná-lo. Depois que você provisionar o disco, o Azure cuidará do resto.

Os tipos disponíveis de discos são Discos Ultra, SSD (unidades de estado sólido) Premium, SSDs Standard e HD (unidades de disco rígido) Standard. Para obter informações sobre cada tipo de disco individual, confira Selecionar um tipo de disco para VMs IaaS.

Como alternativa, você pode usar um Azure Elastic SAN como seu armazenamento de VM. Um Elastic SAN permite que você consolide o armazenamento de todas as suas cargas de trabalho em um único back-end de armazenamento e pode ser mais econômico se você tiver uma quantidade considerável de cargas de trabalho intensivas em E/S em grande escala e bancos de dados de nível superior. Para saber mais, consulte O que é o Azure Elastic SAN?

Benefícios dos discos gerenciados

Vamos falar sobre alguns benefícios que você ganha usando discos gerenciados.

Altamente durável e disponível

Os discos gerenciados foram criados para oferecer uma disponibilidade de 99,999%. Os discos gerenciados atingem isso fornecendo três réplicas dos seus dados, possibilitando alta durabilidade. Se uma ou duas réplicas apresentarem problemas, as réplicas restantes ajudarão a garantir a persistência dos seus dados e a alta tolerância contra falhas. Esta arquitetura ajudou o Azure a proporcionar consistentemente durabilidade de nível empresarial para discos IaaS (Infraestrutura como serviço), com uma taxa de falha anualizada líder do setor de ZERO POR CENTO. Os discos de armazenamento com redundância local (LRS) fornecem pelo menos 99,999999999% (11 noves) de durabilidade em um determinado ano e os discos de armazenamento com redundância de zona (ZRS) fornecem pelo menos 99,9999999999% (12 noves) de durabilidade em um determinado ano.

Implantação simples e escalonável de VM

Usando discos gerenciados, é possível criar até 50 mil discos de VM de um tipo em uma assinatura por região, permitindo que você crie milhares de VMs em uma assinatura única. Esse recurso também aumenta a ainda mais escalabilidade dos conjuntos de dimensionamento de máquinas virtuais, permitindo que você crie até mil VMs em um conjunto de dimensionamento de máquinas virtuais usando uma imagem do Marketplace.

Integração com conjuntos de disponibilidade

Os discos gerenciados são integrados a conjuntos de disponibilidade para garantir que os discos de VMs em um conjunto de disponibilidade estejam suficientemente isolados entre si para evitar pontos únicos de falha. Os discos são automaticamente colocados em unidades de escala de armazenamento diferentes (carimbos). Se um carimbo falhar devido a uma falha de hardware ou de software, somente as instâncias da VM com discos nesses carimbos falharão. Por exemplo, vamos supor que você tenha um aplicativo em execução em cinco VMs, e que as VMs estejam em um Conjunto de Disponibilidade. Os discos dessas VMs não serão armazenados no mesmo stamp, portanto, se um stamp ficar inativo, as outras instâncias do aplicativo continuarão em execução.

Integração com as Zonas de Disponibilidade

Os discos gerenciados são compatíveis com as Zonas de Disponibilidade, que são uma oferta de alta disponibilidade capaz de proteger seus aplicativos contra falhas no datacenter. As Zonas de Disponibilidade são locais físicos exclusivos em uma região do Azure. Cada zona é composta por um ou mais datacenters equipados com energia, resfriamento e rede independentes. Para garantir a resiliência, há um mínimo de três zonas separadas em todas as regiões habilitadas. Com Zonas de Disponibilidade, o Azure oferece o melhor SLA de tempo de atividade da VM de 99,99% do setor.

Suporte de Backup do Azure

Para proteger contra desastres regionais, o Backup do Azure pode ser usado para criar um trabalho de backup com backups baseados em tempo e políticas de retenção de backup. Isso permite que você execute restaurações de VM ou de disco gerenciado fáceis sempre que quiser. No momento, o Backup do Azure dá suporte a tamanhos de disco de até 32 TiB (tebibytes). Saiba mais sobre o suporte de backup da VM do Azure.

Backup de Disco do Azure

O Backup do Azure oferece o Backup do Disco do Azure como solução de backup nativa baseada em nuvem que protege seus dados em discos gerenciados. É uma solução simples, segura e econômica que permite configurar a proteção de discos gerenciados em poucas etapas. O Backup de Disco do Azure oferece uma solução turnkey que fornece gerenciamento de ciclo de vida por instantâneos para o discos gerenciados ao automatizar a criação periódica de instantâneos e retê-los pela duração configurada usando a política de backup. Para saber detalhes sobre o Backup de Disco do Azure, confira Visão geral do Backup de Disco do Azure.

Controle de acesso granular

Use o RBAC (controle de acesso baseado em função) do Azure para atribuir permissões específicas em um disco gerenciado a um ou mais usuários. Os discos gerenciados expõem uma variedade de operações, incluindo leitura, gravação (criar/atualizar), exclusão e recuperação de um URI de SAS (assinatura de acesso compartilhado) para o disco. Conceda acesso somente às operações que uma pessoa necessita para executar seu trabalho. Por exemplo, se não quiser que uma pessoa copie um disco gerenciado em uma conta de armazenamento, opte por não conceder acesso à ação de exportação para esse disco gerenciado. Da mesma forma, se não quiser que uma pessoa use um URI de SAS para copiar um disco gerenciado, opte por não conceder essa permissão ao disco gerenciado.

Faça upload do seu VHD

O upload direto facilita a transferência do VHD para um disco gerenciado do Azure. Anteriormente, você precisava seguir um processo mais envolvido que incluía preparar seus dados em uma conta de armazenamento. Agora, há menos etapas. É mais fácil fazer upload das VMs locais para o Azure e para grandes discos gerenciados. Além disso, o processo de backup e de restauração foi simplificado. Isso também reduz o custo ao permitir que você faça upload dos dados para discos gerenciados diretamente sem anexá-los às VMs. É possível usar o upload direto para carregar VHDs de até 32 TiB de tamanho.

Para saber como transferir seu VHD para o Azure, confira os artigos da CLI ou do PowerShell.

Segurança

O suporte do Link Privado para discos gerenciados pode ser usado para importar ou exportar um disco gerenciado interno para sua rede. Os Links Privados permitem que você gere um URI de SAS (Assinatura de Acesso Compartilhado) com limite de tempo para discos gerenciados e instantâneos desanexados que podem ser usados para exportar os dados para outras regiões para expansão regional, recuperação de desastre e para análise forense. Use também o URI de SAS para carregar diretamente o VHD em um disco vazio local. Agora você pode aproveitar os Links Privados para restringir a exportação e a importação de discos gerenciados para que isso só possa ocorrer dentro de sua rede virtual do Azure. Os Links Privados oferecem a garantia de que seus dados trafeguem apenas na rede de backbone protegida da Microsoft.

Para saber como habilitar Links Privados para importar ou exportar um disco gerenciado, consulte os artigos da CLI ou do Portal.

Criptografia

Os discos gerenciados oferecem dois tipos diferentes de criptografia. O primeiro é a SSE (Criptografia do Serviço de Armazenamento), executada pelo serviço de armazenamento. O segundo é o ADE (Azure Disk Encryption), que pode ser habilitado nos discos do sistema operacional e de dados das VMs.

Criptografia no servidor

A criptografia no servidor fornece criptografia em repouso e protege seus dados para atender aos compromissos de conformidade e segurança da sua organização. A criptografia no servidor está habilitada por padrão para todos os discos gerenciados, instantâneos e imagens em todas as regiões nas quais os discos gerenciados estão disponíveis. (Os discos temporários, por outro lado, não são criptografados pela criptografia do lado do servidor, a menos que você habilite a criptografia no host; consulte Funções de disco: discos temporários).

Você poderá permitir que o Azure gerencie as chaves para você (essas são chaves gerenciadas pela plataforma) ou você poderá gerenciar as chaves por conta própria (essas são chaves gerenciadas pelo cliente). Veja o artigo Criptografia no lado do servidor do Armazenamento em Disco do Azure para obter detalhes.

Azure Disk Encryption

O Azure Disk Encryption permite criptografar os discos do sistema operacional e os discos de dados usados por uma Máquina Virtual IaaS. Essa criptografia inclui discos gerenciados. No Windows, as unidades são criptografadas usando a tecnologia de criptografia BitLocker padrão do setor. No Linux, os discos são criptografados usando a tecnologia DM-Crypt. Esse processo de criptografia é integrado ao Azure Key Vault para permitir que você controle e gerencie as chaves de criptografia de disco. Para obter mais informações, confira Azure Disk Encryption para VMs do Linux ou Azure Disk Encryption para VMs do Windows.

Funções do disco

Há três funções principais de disco no Azure: o disco de dados, o disco do SO e o disco temporário. Essas funções são mapeadas para discos anexados à sua máquina virtual.

Disk roles in action

Disco de dados

Um disco de dados é um disco gerenciado anexado a uma máquina virtual para armazenar dados de aplicativos ou outros dados que precisam ser mantidos. Discos de dados são registrados como unidades SCSI e rotulados com a letra que você escolher. O tamanho da máquina virtual determina quantos discos de dados você pode anexar a ele e o tipo de armazenamento que pode usar para hospedar os discos.

Disco do sistema operacional

Cada máquina virtual tem um disco de sistema operacional anexado. Esse disco do sistema operacional tem um SO pré-instalado, que foi selecionado quando a VM foi criada. Esse disco contém o volume de inicialização.

Esse disco tem uma capacidade máxima de 4.095 GiB. No entanto, muitos sistemas operacionais são particionados com um registro mestre de inicialização (MBR) por padrão. O MBR limita o tamanho utilizável a 2 TiB. Se você precisar de mais de 2 TiB, crie e anexe discos de dados e use-os para o armazenamento de dados. Se você precisar armazenar dados no disco do sistema operacional e exigir espaço adicional, converta-o em GPT (tabela de partição GUID). Para saber mais sobre as diferenças entre o MBR e o GPT em implantações do Windows, veja as perguntas frequentes sobre Windows e GPT.

Disco temporário

Cada VM contém um disco temporário, que não é um disco gerenciado. O disco temporário fornece armazenamento de curto prazo para aplicativos e processos, e se destina apenas a armazenar dados, como arquivos de paginação, arquivos de permuta ou tempdb do SQL Server. Os dados no disco temporário podem ser perdidos durante um evento de manutenção, quando você reimplanta uma VM ou quando você interrompe a VM. Durante uma reinicialização padrão bem-sucedida da VM, dados no disco temporário vão persistir. Para obter mais informações sobre VMs sem discos temporários, veja Tamanhos de VM do Azure sem disco temporário local.

Em VMs do Linux do Azure, o disco temporário é normalmente /dev/sdb e em VMs do Windows, o disco temporário é D: por padrão. O disco temporário não é criptografado, a menos que (para criptografia do lado do servidor) você habilite a criptografia no host ou (para o Azure Disk Encryption) com o parâmetro VolumeType definido como Todos no Windows ou EncryptFormatAll no Linux.

Instantâneos de disco gerenciado

Um instantâneo de disco gerenciado é uma cópia completa consistente com falhas e somente leitura de um disco gerenciado que, por padrão, é armazenada como um disco gerenciado padrão. Com os instantâneos, você pode fazer backup de seus discos gerenciados a qualquer momento. Esses instantâneos existem independentemente do disco de origem e podem ser usados para criar novos discos gerenciados.

Os instantâneos são cobrados com base no tamanho utilizado. Por exemplo, se você criar um instantâneo de um disco gerenciado com capacidade provisionada de 64 GiB e tamanho real de dados usados de 10 GiB, esse instantâneo será cobrado apenas pelo tamanho de dados usados de 10 GiB. Você poderá ver o tamanho utilizado dos instantâneos examinando o relatório de uso do Azure. Por exemplo, se o tamanho dos dados de um snapshot usado for 10 GiB, o relatório de uso diário mostrará 10 GiB/(31 dias) = 0,3226 como a quantidade consumida.

Para saber mais sobre como criar instantâneos para discos gerenciados, confira o artigo Criar um instantâneo de um disco gerenciado.

Imagens

Os discos gerenciados também dão suporte à criação de uma imagem personalizada gerenciada. É possível criar uma imagem do seu VHD personalizado em uma conta de armazenamento ou diretamente de uma VM generalizada (por meio do sysprep). Esse processo captura uma única imagem. Essa imagem contém todos os discos gerenciados associados a uma VM, incluindo os discos do SO e de dados. Esta imagem personalizada gerenciada permite a criação de centenas de VMs usando sua imagem personalizada, sem a necessidade de copiar ou gerenciar contas de armazenamento.

Para saber mais sobre a criação de imagens, confira os artigos a seguir:

Imagens versus instantâneos

É importante compreender a diferença entre imagens e instantâneos. Com discos gerenciados é possível capturar uma imagem de uma VM generalizada que foi desalocada. Essa imagem inclui todos os discos anexados à VM. É possível usar essa imagem para criar uma VM e isso inclui todos os discos.

Um instantâneo é uma cópia de um disco no momento exato em que o instantâneo é tirado. Ele só se aplica a um disco. Se você tiver uma VM que tem um disco (o disco do SO), será possível capturar um instantâneo ou uma imagem dele e criar uma VM com base no instantâneo ou na imagem.

Um instantâneo não tem reconhecimento de nenhum disco, exceto o contido por ele. Isso torna problemático usá-lo em cenários que precisam da coordenação de vários discos, como distribuição. Os instantâneos precisariam ser capazes de coordenar uns com os outros e, no momento, não há suporte para isso.

Desempenho e alocação de disco

O diagrama a seguir ilustra a alocação em tempo real de largura de banda e IOPS para discos, com três caminhos diferentes que uma E/S pode seguir:

Diagram of a three level provisioning system showing bandwidth and IOPS allocation.

O primeiro caminho de E/S é o caminho de disco gerenciado sem cache. Esse caminho será usado se você estiver usando um disco gerenciado e definir o cache do host como nenhum. Uma E/S que usa esse caminho será executada com base no provisionamento no nível do disco e, em seguida, no provisionamento no nível de rede da VM para IOPs e taxa de transferência.

O segundo caminho de E/S é o caminho de disco gerenciado armazenado em cache. A E/S do disco com armazenamento em cache gerenciado usa um SSD próximo à VM, que tem suas próprias IOPS e taxa de transferência provisionadas, e é rotulado no diagrama como provisionamento ao nível do SSD. Quando um disco gerenciado em cache inicia uma leitura, a solicitação verifica primeiro se os dados estão no SSD do servidor. Se os dados não estiverem presentes, isso criará um erro armazenado em cache, e a E/S será executada com base no provisionamento no nível do SSD, no provisionamento no nível de disco e no provisionamento no nível de rede da VM para IOPs e taxa de transferência. Quando o SSD do servidor inicia leituras em E/S armazenada em cache que estão presentes no SSD do servidor, ele cria uma ocorrência no cache e a E/S será executada com base no provisionamento no nível do SSD. As gravações iniciadas por um disco gerenciado armazenado em cache sempre seguem o caminho de um erro em cache e precisam passar pelo provisionamento no nível de rede do SSD, no nível do disco e no nível da rede de VMs.

Por fim, o terceiro caminho é para o disco local/temporário. Isso só está disponível em VMs que dão suporte a discos locais/temporários. Uma E/S que usa esse caminho será executada com base no provisionamento no nível do SSD para IOPs e taxa de transferência.

Como um exemplo dessas limitações, uma VM Standard_D2s_v3 é impedida de alcançar o potencial de 5 mil IOPS de um disco P30, com ou sem armazenamento em cache, devido aos limites nos níveis do SSD e de rede:

Diagram of three level provisioning system with Standard_D2s_v3 example allocation.

O Azure usa um canal de rede priorizado para tráfego de disco, que prevalece sobre outra baixa prioridade do tráfego de rede. Isso ajuda os discos a manter o desempenho esperado em caso de contenções de rede. Da mesma forma, o Armazenamento do Azure lida com contenções de recursos e com outros problemas em segundo plano com balanceamento de carga automático. O Armazenamento do Azure aloca os recursos necessários quando você cria um disco e aplica o balanceamento proativo e reativo de recursos para lidar com o nível de tráfego. Com isso, os discos podem sustentar seus destinos de IOPS e de taxa de transferência esperados. Você pode usar as métricas em nível de VM e de disco para acompanhar o desempenho e os alertas de configuração, conforme necessário.

Confira nosso artigo de design para alto desempenho para aprender as melhores práticas para otimizar as configurações de VM + Disco para que você possa atingir o desempenho desejado

Próximas etapas

Se você quiser ver um vídeo que entre em mais detalhes sobre os discos gerenciados, confira: Melhor resiliência de VM do Azure com Managed Disks.

Saiba mais sobre os tipos de disco individual oferecidos pelo Azure, qual tipo é uma boa opção para suas necessidades e sobre os destinos de desempenho em nosso artigo sobre tipos de disco.