Надежность в хранилище BLOB-объектов Azure

Хранилище BLOB-объектов Azure — это решение для хранения объектов для облака от Майкрософт. Она предназначена для хранения больших объемов неструктурированных данных, таких как текстовые, двоичные данные, документы, файлы мультимедиа и резервные копии приложений. В качестве основной службы хранения Azure, объектное хранилище BLOB предлагает несколько функций надежности, чтобы гарантировать, что ваши данные остаются доступными и сохранными как в плановых, так и в непредвиденных ситуациях.

При использовании Azure надежность является общей ответственностью. Корпорация Майкрософт предоставляет ряд возможностей для поддержки устойчивости и восстановления. Вы несете ответственность за понимание того, как работают эти возможности во всех используемых вами службах, а также за выбор возможностей, необходимых для достижения бизнес-целей и целей бесперебойной работы.

В этой статье описывается, как сделать Blob Storage устойчивым к различным потенциальным сбоям и проблемам, включая временные неисправности, сбои в зонах доступности и сбои в регионах. Также описывается, как использовать резервные копии для восстановления после других типов проблем, а также приводится ключевая информация о соглашении об уровне обслуживания хранилища BLOB-объектов (SLA).

Замечание

Хранилище BLOB-объектов является частью платформы хранилища Azure. Некоторые возможности хранилища BLOB-объектов распространены во многих службах хранилища Azure. В этой статье мы используем службу хранилища Azure для ссылки на эти функции.

Рекомендации по развертыванию в производственной среде

Сведения о развертывании хранилища BLOB-объектов для поддержки требований к надежности решения и о том, как надежность влияет на другие аспекты архитектуры, см. в статье "Рекомендации по архитектуре для хранилища BLOB-объектов " в Azure Well-Architected Framework.

Обзор архитектуры надежности

Служба хранилища Azure предоставляет несколько вариантов избыточности для защиты данных от различных типов сбоев. Каждый параметр предоставляет определенный уровень избыточности данных, поэтому вы можете выбрать уровень, который лучше всего соответствует требованиям приложения.

Локально избыточное хранилище (LRS) реплицирует данные в учетных записях хранения в одну или несколько зон доступности Azure, расположенных в основном регионе вашего выбора. Хотя нет возможности выбрать предпочтительную зону доступности, Azure может перемещать или расширять учетные записи LRS между зонами, чтобы повысить балансировку нагрузки. Нет никаких гарантий, что ваши данные будут распространяться по зонам. Дополнительные сведения о зонах доступности см. в разделе "Что такое зоны доступности?".

Синий прямоугольник представляет основной регион. Он содержит серый прямоугольник, представляющий центр обработки данных. Темно-фиолетовый прямоугольник внутри поля центра обработки данных представляет LRS. Он содержит светло-фиолетовый прямоугольник, включающий учетную запись хранения и три значка, помеченные как копия 1, копия 2 и копия 3.

Хранилище, избыточное между зонами (ZRS), геоизбыточное хранилище (GRS) и геоизбыточное хранилище (GZRS) обеспечивают дополнительную защиту. В этой статье подробно описаны эти параметры.

Устойчивость к временным сбоям

Временные ошибки являются короткими, периодическими сбоями в компонентах. Они часто происходят в распределенной среде, такой как облачная платформа, и являются обычной частью операций. Временные ошибки исправляют себя через короткий период времени. Важно, чтобы приложения могли обрабатывать временные ошибки, обычно повторяя затронутые запросы.

Все облачные приложения должны следовать рекомендациям по обработке временных ошибок Azure при обмене данными с любыми размещенными в облаке API, базами данных и другими компонентами. Дополнительные сведения см. в Рекомендациях по обработке временных сбоев.

Чтобы эффективно управлять временными сбоями при использовании Blob Storage, следуйте следующим рекомендациям.

• Используйте клиентские библиотеки службы хранилища Azure, которые включают встроенные политики повторных попыток с экспоненциальным обратным выходом и jitter. Пакеты SDK для .NET, Java, Python и JavaScript автоматически обрабатывают повторные попытки для временных сбоев. Дополнительные сведения о параметрах конфигурации повторных попыток см. в статье "Реализация политики повторных попыток с помощью .NET".

• Настройте соответствующие значения времени ожидания для операций BLOB-объектов на основе размера большого двоичного объекта и сетевых условий. Большие двоичные объекты требуют более длительного времени ожидания, но небольшие операции могут использовать более короткие значения для быстрого обнаружения сбоев.

Устойчивость к сбоям зоны доступности

Зоны доступности — это физически отдельные группы центров обработки данных в регионе Azure. При сбое одной зоны службы могут переключиться на одну из оставшихся зон.

Хранилище BLOB-объектов обеспечивает надежную поддержку зоны доступности с помощью конфигураций ZRS, которые автоматически распределяют данные между несколькими зонами доступности в пределах региона. В отличие от локально избыточного хранилища (LRS), ZRS гарантирует, что Azure синхронно реплицирует ваши данные BLOB в нескольких зонах доступности. ZRS гарантирует, что данные остаются доступными даже в том случае, если в одной зоне возникает сбой.

Избыточность зоны включена на уровне учетной записи хранения и применяется ко всем контейнерам BLOB-объектов в этой учетной записи. Нельзя задать разные уровни избыточности для отдельных контейнеров. Конфигурация избыточности применяется ко всей учетной записи хранения. Когда зона доступности сталкивается с сбоем, служба хранилища Azure автоматически направляет запросы в работоспособные зоны без необходимости вашего вмешательства или вмешательства приложения.

Синий прямоугольник представляет основной регион. Он содержит темно-фиолетовый прямоугольник, представляющий ZRS. Это поле содержит три белых поля, представляющие зону доступности 1, зону доступности 2 и зону доступности 3. Каждое поле зоны доступности содержит серый прямоугольник, представляющий центр обработки данных. Каждое поле центра обработки данных содержит светло-фиолетовый прямоугольник, включающий учетную запись хранения и значок, помеченный как копия 1, копия 2 и копия 3.

Требования

• Поддержка региона: Учетные записи Azure Storage с избыточностью между зонами можно развертывать в любом регионе, поддерживающем зоны доступности.

• Типы учетных записей хранения: Избыточность зоны доступна как для типов учетных записей хранения общего назначения уровня "Стандартный" версии 2, так и для блочной BLOB-хранилища уровня "Премиум". Блочные BLOB-объекты, добавочные BLOB-объекты и страничные BLOB-объекты все поддерживают конфигурации с зональной избыточностью, но тип используемого аккаунта хранилища определяет, какие возможности доступны. Дополнительные сведения см. в разделе "Поддерживаемые типы учетных записей хранения".

Себестоимость

При включении избыточного между зонами хранилища (ZRS) плата взимается по сравнению с локальным избыточным хранилищем (LRS) из-за дополнительных затрат на репликацию и хранение.

Дополнительные сведения см. в разделе Цены на Blob Storage.

Настройка поддержки зоны доступности

• Создайте аккаунт хранения BLOB-объектов с зональным резервированием. Чтобы создать новую учетную запись хранения с помощью ZRS, см. раздел "Создание учетной записи хранения" и выбор ZRS, геоизбыточное хранилище (GZRS) или геоизбыточное хранилище для чтения (RA-GZRS) в качестве параметра избыточности во время создания учетной записи.

• Изменение типа репликации. Сведения о том, как изменить существующую учетную запись хранения на хранилище, избыточное между зонами (ZRS), а также о параметрах конфигурации и требованиях, см. в статье "Изменение репликации учетной записи хранения".

• Отключите избыточность в зоне. Преобразуйте учетные записи ZRS обратно в незональную конфигурацию, например локально избыточное хранилище (LRS), используя тот же процесс изменения конфигурации избыточности.

Поведение, когда все зоны работоспособны

В этом разделе описывается, что ожидать, когда учетная запись хранения BLOB-объектов настроена для избыточности зоны и все зоны доступности работают.

• Маршрутизация трафика между зонами: Служба хранилища Azure с хранилищем с избыточностью между зонами (ZRS) автоматически распределяет запросы между кластерами хранилища в нескольких зонах доступности. Распределение трафика прозрачно для приложений и не требует настройки на стороне клиента.

• Репликация данных между зонами: Все операции записи в ZRS реплицируются синхронно во всех зонах доступности в регионе. При отправке или изменении данных операция не считается завершенной, пока данные не будут успешно реплицированы во всех зонах доступности. Эта синхронная репликация обеспечивает высокую согласованность и нулевую потерю данных во время сбоев зоны.

Поведение во время сбоя зоны

В этом разделе описывается, что ожидать, когда учетная запись хранения BLOB-объектов настроена для ZRS и возникает сбой зоны доступности.

• Обнаружение и ответ: Корпорация Майкрософт автоматически обнаруживает сбои зоны и инициирует процессы восстановления. Для учетных записей, избыточных между зонами (ZRS), действие клиента не требуется.

  Если зона становится недоступной, Azure выполняет обновления сети, такие как переназначение системы доменных имен (DNS).

• Уведомление: Microsoft не уведомляет вас автоматически об отключении зоны. Однако вы можете использовать Azure Resource Health для отслеживания работоспособности отдельного ресурса и настроить оповещения о работоспособности ресурсов , чтобы уведомить вас о проблемах. Вы также можете использовать службу "Работоспособность служб Azure ", чтобы понять общую работоспособность службы, включая любые сбои зоны, и вы можете настроить оповещения о работоспособности служб , чтобы уведомить вас о проблемах.

• Активные запросы: Запросы во время восстановления могут быть удалены во время процесса восстановления и должны быть извлечены. Приложения должны реализовать логику повторных попыток для обработки этих временных прерываний.

• Ожидаемая потеря данных: Потеря данных не возникает во время сбоев зоны, так как данные синхронно реплицируются в нескольких зонах до завершения операций записи.

• Ожидаемое время простоя: Небольшое время простоя, как правило, несколько секунд может произойти во время автоматического восстановления, так как трафик перенаправляется в здоровые зоны. При разработке приложений для ZRS следуйте рекомендациям по обработке временных ошибок, включая реализацию политик повторных попыток с экспоненциальным обратным отключением.

• Перенаправка трафика: Если зона доступности выходит из строя, Azure инициирует изменения в сети, такие как переназначение системы доменных имен DNS. Эти обновления гарантируют, что трафик перенаправляется в оставшиеся здоровые зоны доступности. Служба поддерживает полную функциональность, используя оставшиеся зоны и не требует вмешательства клиента.

Восстановление зоны

Когда зона доступности восстанавливается после сбоя, Azure Storage автоматически восстанавливает обычные операции во всех зонах доступности. Служба автоматически обеспечивает согласованность данных путем синхронизации любых операций, произошедших в течение периода сбоя.

Тестирование на сбои в зоне

При использовании хранилища, избыточного между зонами (ZRS), служба хранилища Azure управляет репликацией, маршрутизацией трафика и ответами вниз по зонам автоматически. Так как эта функция полностью управляема, не требуется инициировать или проверять процессы сбоя зоны доступности.

Устойчивость к сбоям на уровне региона

Служба хранилища Azure, включая хранилище BLOB-объектов Azure, файлы Azure, хранилище таблиц Azure и хранилище очередей Azure, предоставляет ряд возможностей геоизбыточной и отработки отказа в соответствии с различными требованиями.

Это важно

Геоизбыточное хранилище (GRS) работает только в парных регионах Azure. Если регион учетной записи хранения не сопряжен, рассмотрите возможность использования пользовательских решений с несколькими регионами для повышения устойчивости.

Георезервное хранилище для парных регионов

Служба хранилища Azure предоставляет несколько типов GRS в парных регионах. Независимо от используемого типа GRS данные в дополнительном регионе всегда реплицируются с помощью локально избыточного хранилища (LRS). Этот подход обеспечивает защиту от сбоев оборудования в дополнительном регионе.

• GRS обеспечивает поддержку запланированных и незапланированных отработок отказа в парном регионе Azure при сбое в основном регионе. GRS асинхронно реплицирует данные из основного региона в парный регион.

  

  Два синих поля представляют основной регион и дополнительный регион. Они содержат серый прямоугольник, представляющий центр обработки данных. Темно-фиолетовый прямоугольник внутри поля центра обработки данных представляет LRS. Он содержит светло-фиолетовый прямоугольник, включающий учетную запись хранения и три значка, помеченные как копия 1, копия 2 и копия 3. Пунктирная линия, представляющая GRS, охватывает поля LRS в обоих регионах. Стрелка, помеченная точками георепликации из учетной записи хранения в основном регионе, в учетную запись хранения в дополнительном регионе.

• Геоизбыточное хранилище (GZRS) реплицирует данные в нескольких зонах доступности в основном регионе и в парном регионе.

  

  Синий прямоугольник представляет основной регион. Он содержит темно-фиолетовый прямоугольник, представляющий ZRS. Это поле содержит три белых поля, представляющие зону доступности 1, зону доступности 2 и зону доступности 3. Каждое поле зоны доступности содержит серый прямоугольник, представляющий центр обработки данных. Каждое поле центра обработки данных содержит светло-фиолетовый прямоугольник, включающий учетную запись хранения и значок, помеченный как копия 1, копия 2 и копия 3. Другой синий прямоугольник представляет дополнительный регион. Это поле содержит серый прямоугольник, представляющий центр обработки данных. Темно-фиолетовый прямоугольник внутри поля центра обработки данных представляет LRS. Он содержит светло-фиолетовый прямоугольник, включающий учетную запись хранения и три значка, помеченные как копия 1, копия 2 и копия 3. Пунктирная линия, представляющая GZRS, охватывает поля ZRS и LRS в обоих регионах. Стрелка помечена точками георепликации из ZRS в основном регионе в учетную запись хранения в дополнительном регионе.

Геоизбыточное хранилище

• Геоизбыточное хранилище для чтения (RA-GRS) и геоизбыточное хранилище (RA-GZRS) для чтения расширяет геоизбыточное хранилище (GRS) и геоизбыточное хранилище (GZRS) с дополнительным преимуществом доступа на чтение к вторичной конечной точке. Эти варианты идеально подходят для приложений, предназначенных для приложений с высоким уровнем доступности, критически важных для бизнеса. В маловероятном случае, когда основная конечная точка испытывает сбой, приложения, настроенные для доступа на чтение к дополнительному региону, могут продолжать работать.

Типы отработки отказа

Служба хранилища Azure поддерживает три типа отработки отказа для различных сценариев.

• Незапланированная отработка отказа, управляемая клиентом: Вы несете ответственность за инициирование восстановления, если в основном регионе произошел сбой хранилища на уровне региона.

• Управляемый клиентом плановый переход на резервный ресурс: Вы несете ответственность за инициирование восстановления в случае сбоя другой части вашего решения в главном регионе, и вам нужно переключить все решение на вторичный регион. Используйте планируемое переключение на резервный регион, если хранилище остается в основном регионе, но необходимо выполнить переключение всего решения на резервный регион, например, для проведения учений по аварийному восстановлению, предназначенных для проверки соответствия требованиям и аудиторских стандартов.

• Отработка отказа, управляемая корпорацией Майкрософт: В исключительных обстоятельствах корпорация Майкрософт может инициировать отработку отказа для всех учетных записей геоизбыточного хранилища (GRS) в регионе. Однако управляемая корпорацией Майкрософт отработка отказа является последним средством и, как ожидается, будет выполнена только после длительного периода сбоя. Вы не должны полагаться на отработку отказа, управляемой корпорацией Майкрософт.

Учетные записи GRS могут использовать любой из этих типов отработки отказа. Вам не нужно предварительно настраивать учетную запись хранения для использования любого из типов переключения на резервный сервер.

Требования

• Поддержка региона: Геоизбыточные конфигурации службы хранилища Azure используют парные регионы Azure для репликации дополнительных регионов. Дополнительный регион автоматически определяется на основе выбора основного региона и не может быть настроен. Полный список парных регионов Azure см. в списке регионов Azure.

  Если регион учетной записи хранения не сопряжен, рассмотрите возможность использования пользовательских решений с несколькими регионами для повышения устойчивости.

• Типы учетных записей хранения: Геоизбыточное хранилище (GRS) и инициированные заказчиком процедуры отработки отказов и восстановления доступны во всех парных регионах Azure, поддерживающих учетные записи хранения Azure общего назначения версии 2.

Соображения

При реализации хранилища BLOB-объектов в нескольких регионах учитывайте следующие ключевые факторы:

• Задержка асинхронной репликации: Репликация данных в дополнительный регион является асинхронной, что означает, что задержка между записью данных в основной регион и когда она становится доступной в дополнительном регионе. Эта задержка может привести к потенциальной потере данных, если происходит сбой основного региона до репликации последних данных. Потеря данных измеряется целевой точкой восстановления (RPO). Вы можете ожидать, что задержка репликации будет меньше 15 минут, но на этот раз это оценка и не гарантируется.

  Вы можете проверить свойство времени последней синхронизации , чтобы понять, сколько данных может быть потеряно, если учетная запись хранения имеет незапланированную отработку отказа.

• Доступ к дополнительному региону: При использовании геоизбыточного хранилища (GRS) и геоизбыточного хранилища (GZRS) дополнительный регион недоступен для операций чтения до тех пор, пока не произойдет отработка отказа.

  Геоизбыточное хранилище для чтения (RA-GRS) и конфигурации геоизбыточного хранилища (RA-GZRS) для чтения (RA-GZRS) обеспечивают доступ на чтение к дополнительному региону во время обычных операций, но из-за задержки асинхронной репликации они могут возвращать немного устаревшие данные.

• Ограничения функций: Некоторые функции службы хранилища Azure не поддерживаются или имеют ограничения при использовании геоизбыточного хранилища (GRS) или отработки отказа, управляемого клиентом. Просмотрите совместимость функций перед реализацией геоизбыточности.

Себестоимость

Конфигурации учетной записи хранения Azure в нескольких регионах требуют дополнительных затрат на репликацию и хранение между регионами в дополнительном регионе. Плата за передачу данных между регионами Azure взимается на основе стандартных скоростей пропускной способности между регионами.

Дополнительные сведения см. в разделе Цены на Blob Storage.

Настройка поддержки нескольких регионов

• Создайте учетную запись геоизбыточного хранилища (GRS). Чтобы создать учетную запись GRS, ознакомьтесь с разделом "Создание учетной записи хранения " и выбором GRS, геоизбыточного хранилища (RA-GRS), геозоны избыточного хранилища (GZRS) или геоизбыточного хранилища (RA-GZRS) для чтения (RA-GZRS).

• Включите геоизбыточное использование существующей учетной записи хранения. Сведения о преобразовании существующей учетной записи хранения в геоизбыточное хранилище (GRS) см. в статье "Изменение репликации учетной записи хранения".

  Предупреждение

  После перенастройки учетной записи для геоизбыточности может потребоваться значительное время, прежде чем существующие данные в новом основном регионе полностью копируются в новый дополнительный регион.

  Чтобы избежать основной потери данных, проверьте значение свойства времени последней синхронизации перед началом незапланированной отработки отказа. Чтобы оценить потенциальную потерю данных, сравните время последней синхронизации с последним временем записи данных в новый основной регион.

• Отключите геоизбыточность. Преобразуйте учетные записи GRS обратно в конфигурации с одним регионом, например локально избыточное хранилище (LRS) или хранилище, избыточное между зонами (ZRS), используя тот же процесс изменения конфигурации избыточности.

Поведение, когда все регионы работоспособны

В этом разделе описывается, что ожидать, когда учетная запись хранения настроена для геоизбыточности и все регионы работают.

• Маршрутизация трафика между регионами: Служба хранилища Azure использует активный пассивный подход, где все операции записи и большинство операций чтения направляются в основной регион.

  Для геоизбыточного хранилища для чтения (RA-GRS) и конфигураций геоизбыточного хранилища (RA-GZRS) для чтения приложения могут при необходимости считывать из дополнительного региона путем доступа к вторичной конечной точке. Этот подход требует явной настройки приложения и не является автоматическим. Кроме того, из-за задержки асинхронной репликации данные в дополнительном регионе могут быть немного устаревшими.

• Репликация данных между регионами: Операции записи сначала фиксируются в основном регионе с помощью следующих настроенных типов избыточности:

  • Локально избыточное хранилище (LRS) для геоизбыточного хранилища (GRS) и RA-GRS
  • Хранилище, избыточное между зонами (ZRS) для геоизбыточного хранилища (GZRS) и RA-GZRS

  После успешного завершения в основном регионе данные асинхронно реплицируются в дополнительный регион, где он хранится с помощью LRS.

  Асинхронная природа репликации между регионами означает, что обычно время задержки между записью данных в основной регион и доступностью в дополнительном регионе. Вы можете отслеживать время репликации с помощью свойства "Время последней синхронизации".

Поведение во время сбоя региона

В этом разделе описывается, чего ожидать, когда хранилище настроено для геоизбыточности и в основном регионе происходит сбой.

• Отработка отказа, управляемого клиентом (незапланированная): Используйте незапланированную отработку отказа, если хранилище в основном регионе недоступно.

  • Обнаружение и реагирование: В маловероятном случае, когда учетная запись хранилища недоступна в основном регионе, можно рассмотреть возможность инициирования аварийного переключения, управляемого клиентом. Чтобы принять это решение, рассмотрите следующие факторы:

    • Отображаются ли проблемы с доступом к учетной записи хранения в основном регионе Azure Resource Health

    • Советует ли корпорация Майкрософт выполнять отработку отказа в другой регион

    Предупреждение

    Незапланированная отработка отказа может привести к потере данных. Перед началом отработки отказа, управляемой клиентом, определите, оправдан ли восстановление службы риск потери данных.

  • Уведомление. Корпорация Майкрософт не уведомляет вас об отключении региона. Тем не менее

    • Вы можете использовать Azure Resource Health для отслеживания работоспособности отдельного ресурса и настроить оповещения о работоспособности ресурсов , чтобы уведомить вас о проблемах.

    • Вы можете использовать службу "Работоспособность служб Azure ", чтобы понять общую работоспособность службы, включая сбои в любом регионе, и вы можете настроить оповещения о работоспособности служб , чтобы уведомить вас о проблемах.

  • Активные запросы: В процессе переключения на резервную систему конечные точки основной и вторичной учетных записей хранения становятся временно недоступными для операций чтения и записи. Все активные запросы могут быть отброшены, и клиентские приложения должны повторить попытку после того как завершится переключение на резервный ресурс.

  • Ожидаемая потеря данных: Потеря данных распространена во время незапланированной отработки отказа из-за задержки асинхронной репликации, что означает, что последние записи могут не реплицироваться. Вы можете проверить свойство времени последней синхронизации , чтобы понять, сколько данных может быть потеряно во время незапланированной отработки отказа. Ожидаемая потеря данных часто называется целевой точкой восстановления (RPO). Обычно можно ожидать, что RPO будет менее 15 минут, но это время не гарантируется.

  • Ожидаемое время простоя: Количество ожидаемого простоя часто называется целевой задачей времени восстановления (RTO). Отказоустойчивость, контролируемая клиентом, обычно занимает до 60 минут в зависимости от размера аккаунта и сложности.

  • Перенаправка трафика: По завершении отработки отказа Azure автоматически обновляет конечные точки учетной записи хранения, чтобы приложения не должны быть перенастроены. Если приложение хранит записи системы доменных имен (DNS), возможно, потребуется очистить кэш, чтобы убедиться, что приложение отправляет трафик в новый первичный регион.

  • Конфигурация после отработки отказа: После завершения незапланированной отработки отказа учетная запись хранения в целевом регионе использует уровень локально избыточного хранилища (LRS). Если необходимо снова выполнить геореплицирование, необходимо повторно включить геоизбыточное хранилище (GRS) и дождаться репликации данных в новый дополнительный регион.

  Дополнительные сведения о том, как инициировать отработку отказа, управляемой клиентом, см. в статье о том, как работает отработка отказа управляемой клиентом (незапланированной) и запуск отработки отказа учетной записи хранения.

• Отработка отказа, управляемого клиентом (запланированная): Используйте плановую отработку отказа, если хранилище остается в основном регионе, но вам нужно выполнить отработку отказа в дополнительный регион по другой причине. Например, другая служба Azure может столкнуться с проблемой, и вам нужно переключиться на использование дополнительного региона для всего решения. Или вы можете использовать плановое переключение на резерв для выполнения учебного восстановления после аварии для целей соответствия требованиям и аудита.

  • Обнаружение и реагирование: Вы несете ответственность за решение об обработке отказа. Обычно вы принимаете это решение, если необходимо переключение на резервный регион, даже если ваша учетная запись для хранения работает нормально. Например, вы можете инициировать отработку отказа в случае серьезного сбоя другого компонента приложения, который невозможно устранить в основном регионе.

    • Уведомление. Корпорация Майкрософт не уведомляет вас об отключении региона. Тем не менее

      • Вы можете использовать Azure Resource Health для отслеживания работоспособности отдельного ресурса и настроить оповещения о работоспособности ресурсов , чтобы уведомить вас о проблемах.

      • Вы можете использовать службу "Работоспособность служб Azure ", чтобы понять общую работоспособность службы, включая сбои в любом регионе, и вы можете настроить оповещения о работоспособности служб , чтобы уведомить вас о проблемах.

  • Активные запросы: В процессе переключения на резервную систему конечные точки основной и вторичной учетных записей хранения становятся временно недоступными для операций чтения и записи. Все активные запросы могут быть отброшены, и клиентские приложения должны повторить попытку после того как завершится переключение на резервный ресурс.

  • Ожидаемая потеря данных: Потеря данных не ожидается, так как процесс отработки отказа завершается только после синхронизации всех данных, что обеспечивает целевое время восстановления (RPO) равное нулю.

  • Ожидаемое время простоя: Отработка отказа обычно завершается в течение 60 минут, что означает, что ожидаемое время восстановления (RTO) составляет 60 минут в зависимости от размера учетной записи и сложности. Во время отработки отказа конечные точки основной и вторичной учетной записи хранения становятся временно недоступными для операций чтения и записи.

  • Перенаправка трафика: По завершении отработки отказа Azure автоматически обновляет конечные точки учетной записи хранения, чтобы приложения не должны быть перенастроены. Если приложение хранит записи DNS в кэше, может потребоваться очистить кэш, чтобы убедиться, что приложение отправляет трафик в новый основной регион.

  • Конфигурация после отработки отказа: После завершения плановой отработки отказа учетная запись хранилища в целевом регионе продолжает геореплицироваться и остается на уровне GRS (Geo-Redundant Storage).

  Дополнительные сведения о том, как инициировать отработку отказа, управляемой клиентом, см. в статье о том, как работает отработка отказа управляемой клиентом (запланированной) отработки отказа и инициирование отработки отказа учетной записи хранения.

• Отработка отказа, управляемая корпорацией Майкрософт: В редких случаях крупной аварии, когда корпорация Майкрософт определяет, что основной регион не может быть восстановлен, может быть инициирована автоматическая отработка отказа в резервный регион. Корпорация Майкрософт обрабатывает весь процесс и не требуется никаких действий клиента. Время, которое проходит до резервного переключения, зависит от серьезности аварии и времени, необходимого для оценки ситуации.

  • Уведомление. Корпорация Майкрософт не уведомляет вас об отключении региона. Тем не менее

    • Вы можете использовать Azure Resource Health для отслеживания работоспособности отдельного ресурса и настроить оповещения о работоспособности ресурсов , чтобы уведомить вас о проблемах.

    • Вы можете использовать службу "Работоспособность служб Azure ", чтобы понять общую работоспособность службы, включая сбои в любом регионе, и вы можете настроить оповещения о работоспособности служб , чтобы уведомить вас о проблемах.

  Это важно

  Используйте варианты переключения на резервный ресурс с управлением клиентом для разработки, тестирования и реализации ваших планов аварийного восстановления. Не полагаться на отработку отказа, управляемой корпорацией Майкрософт, которая может использоваться только в чрезвычайных обстоятельствах. Отработка отказа, управляемого корпорацией Майкрософт, скорее всего, инициируется для всего региона. Его нельзя инициировать для отдельных учетных записей хранения, подписок или клиентов. Отработка отказа может происходить в различное время для разных служб Azure. Рекомендуется использовать отработку отказа, управляемую клиентом.

Восстановление региона

Процесс восстановления размещения значительно отличается от сценариев отработки отказа, управляемых корпорацией Майкрософт и управляемыми клиентом.

• Отработка отказа, управляемого клиентом (незапланированная): После незапланированной отработки отказа учетная запись хранения настраивается с локальным избыточным хранилищем (LRS). Чтобы восстановить отработку отказа, необходимо повторно установить связь геоизбыточного хранилища (GRS) и дождаться репликации данных.

• Отработка отказа, управляемого клиентом (запланированная): После запланированной отработки отказа учетная запись хранения остается геореплицированной. Вы можете инициировать другую отработку отказа, управляемую клиентом, чтобы вернуться к исходному основному региону. Применяются те же рекомендации по отработки отказа.

• Отработка отказа, управляемая корпорацией Майкрософт: Если корпорация Майкрософт инициирует отработку отказа, скорее всего, произошла серьезная авария в основном регионе, а основной регион может не восстановиться. Любые временные шкалы или планы восстановления зависят от степени усилий регионального аварийного и восстановления. Следует отслеживать коммуникации Azure Service Health для получения подробной информации.

Проверка сбоев в регионе

Вы можете имитировать региональные сбои для тестирования процедур аварийного восстановления.

• Запланированное тестирование отработки отказа: Для учетных записей геоизбыточного хранилища (GRS) можно выполнять запланированные операции отработки отказа во время периода обслуживания, чтобы проверить полный процесс отработки отказа и восстановления размещения. Плановая отработка отказа не требует потери данных, но включает простой во время отработки отказа и восстановления размещения.

• Тестирование вторичной конечной точки: Для геоизбыточного хранилища (RA-GRS) и геоизбыточного хранилища (RA-GZRS) для чтения регулярно тестируют операции чтения с вторичной конечной точкой, чтобы приложение успешно считывала данные из дополнительного региона.

Индивидуальные решения для нескольких регионов для повышения устойчивости

Возможности отработки отказа между регионами службы хранилища Azure могут быть неподходящими из-за следующих причин:

• Ваша учетная запись хранения находится в непарализованном регионе.

• Цели вашей компании по обеспечению бесперебойной работы не достигаются с помощью времени восстановления или потери данных, которые предполагают встроенные варианты автоматического переключения.

• Необходимо переключиться на регион, который не является парой вашего основного региона.

• Для разных регионов требуется активная и активная конфигурация.

В этом разделе представлен общий обзор некоторых подходов к рассмотрению. Полный обзор топологий развертывания в нескольких регионах для службы хранилища Azure выходит за рамки этой статьи.

Хранилище Azure можно развернуть в нескольких регионах с помощью отдельных учетных записей хранения в каждом регионе. Этот подход обеспечивает гибкость в выборе регионов, возможности использования неперетеранных регионов и более детального контроля за временем репликации и согласованности данных. При реализации нескольких учетных записей хранения в разных регионах необходимо настроить репликацию данных между регионами, реализовать политики балансировки нагрузки и отработки отказа и обеспечить согласованность данных между регионами.

Репликация объектов предоставляет дополнительный вариант для репликации данных между регионами, которая обеспечивает асинхронное копирование блочных BLOB-объектов между учетными записями хранения. В отличие от встроенных параметров георедундантного хранилища, которые используют фиксированные парные регионы, репликация объектов позволяет реплицировать данные между учетными записями хранения в любом регионе Azure, включая непарные регионы. Этот подход обеспечивает полный контроль над регионами источника и назначения, политиками репликации и конкретными контейнерами и префиксами больших двоичных объектов для репликации.

Вы можете настроить репликацию объектов для копирования всех блобов в контейнере или опреденных подмножеств на основе префиксов и тегов блобов. Репликация выполняется асинхронно и выполняется в фоновом режиме. Можно настроить несколько политик репликации и даже репликацию цепочки в нескольких учетных записях хранения для создания сложных топологий с несколькими регионами.

Репликация объектов несовместима со всеми учетными записями хранения. Например, он не работает с учетными записями хранения, используюющими иерархические пространства имен (также известные как учетные записи Azure Data Lake Storage 2-го поколения).

Дополнительные сведения см. в разделе "Репликация объектов" для блочных BLOB-объектов и настройка репликации объектов.

Резервное копирование и восстановление

Хранилище BLOB-объектов предоставляет несколько механизмов защиты данных, дополняющие избыточность в рамках комплексных стратегий резервного копирования. Встроенная избыточность службы защищает от сбоев инфраструктуры и дополнительных возможностей резервного копирования, которые защищают от случайного удаления, повреждения и вредоносных действий.

Восстановление на определенный момент времени (PITR) позволяет восстановить данные блочных объектов BLOB в предыдущее состояние в течение настроенного периода хранения, который может составлять до 365 дней. Корпорация Майкрософт полностью управляет этой функцией. Она также предоставляет детализированные возможности восстановления на уровне контейнера или объекта блоб. Данные PITR хранятся в том же регионе, что и исходная учетная запись и доступна даже во время региональных сбоев, если вы используете геоизбыточные конфигурации.

Версионирование Blob-объектов автоматически сохраняет предыдущие версии объектов при их изменении или удалении. Каждая версия хранится в виде отдельного объекта и может быть доступ к ней независимо. Версии хранятся в том же регионе, что и текущий большой двоичный объект, и следуйте той же конфигурации избыточности, что и учетная запись хранения.

Обратимое удаление предоставляет сеть безопасности для случайно удаленных больших двоичных объектов и контейнеров, сохраняя удаленные данные в течение настраиваемого периода. Мягко удаленные данные остаются в той же учетной записи хранения и регионе, что делает их немедленно доступными для восстановления. Для геоизбыточного учетных записей обратимо удаленные данные также реплицируются в дополнительный регион.

Моментальные снимки объектов BLOB создают только для чтения на момент времени копии BLOB, которые можно использовать для резервного копирования и восстановления. Моментальные снимки хранятся в той же учетной записи хранения и следуют тем же параметрам избыточности и георепликации, что и базовый большой двоичный объект.

Для требований к резервному копированию между регионами рекомендуется использовать Azure Backup для больших двоичных объектов, которая обеспечивает централизованное управление резервными копиями и может хранить данные резервного копирования в регионах, отличных от исходных данных. Эта служба предоставляет параметры операционного и архивного резервного копирования, которые обладают настраиваемыми политиками хранения и возможностями восстановления. Дополнительные сведения см. в обзоре резервного копирования больших двоичных объектов.

Для большинства решений не следует полагаться исключительно на резервные копии. Вместо этого используйте другие возможности, описанные в этом руководстве, для поддержки требований к устойчивости. Однако резервные копии защищают от некоторых рисков, которые другие методы не обеспечивают. Дополнительные сведения см. в статье "Что такое избыточность, репликация и резервное копирование?".

Соглашение об уровне обслуживания

Соглашение об уровне обслуживания (SLA) для службы хранилища Azure описывает ожидаемую доступность службы и условия, которые необходимо выполнить для достижения этого ожидания доступности. Соглашение об уровне обслуживания доступности зависит от уровня хранилища и используемого типа репликации. Дополнительные сведения см. в разделе об уровне обслуживания для веб-служб.

Связанный контент

• Общие сведения об объектах Blob-хранилища
• Избыточность службы хранилища Azure
• Аварийное восстановление и резервное переключение хранилища данных
• Используйте геоизбыточность для разработки высокодоступных приложений
• Изменение способа репликации учетной записи для хранения