Общие сведения об управляемых дисках Azure

Применимо к: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️ Универсальные масштабируемые наборы

Управляемые диски Azure — это тома хранилища на уровне блоков, управляемые Azure и используемые с виртуальными машинами Azure. Управляемые диски подобны физическому диску на локальном сервере, но при этом они виртуализированные. Все, что вам необходимо сделать, — это указать размер и тип управляемых дисков, а также выполнить их подготовку. После подготовки Azure выполнит остальную часть работы.

Доступные типы дисков: диски ценовой категории "Ультра", твердотельные накопители (SSD) ценовой категории "Премиум", диски SSD и жесткие диски (HDD) ценовой категории "Стандартный". Дополнительные сведения о типе каждого отдельного диска см. в статье, посвященной выбору типа диска для виртуальных машин IaaS.

Преимущества управляемых дисков

Рассмотрим некоторые преимущества использования управляемых дисков.

Высокая устойчивость и доступность

Управляемые диски обеспечивают доступность на уровне 99,999 %. Для этого предоставляются три реплики данных, обеспечивающие высокую надежность. При сбое одной реплики можно задействовать остальные, что гарантирует длительное хранение данных и высокую устойчивость к сбоям. Эта архитектура позволила Azure гарантировать надежность дисков IaaS корпоративного уровня с ведущим в отрасли нулевым показателем процента брака по итогам продаж в течение одного года.

Простое и масштабируемое развертывание виртуальной машины

При использовании управляемых дисков можно создать до 50 000 дисков виртуальных машин определенного типа в подписке на регион, что дает возможность создавать тысячи виртуальных машин в пределах одной подписки. Этот компонент также повышает масштабируемость масштабируемых наборов виртуальных машин, позволяя создавать до тысячи виртуальных машин в масштабируемом наборе с помощью образа Marketplace.

Интеграция с группами доступности

Управляемые диски интегрируются с группами доступности. Это гарантирует, что диски виртуальных машин в группе доступности достаточно изолированы друг от друга, что позволяет избежать единых точек сбоя. Диски автоматически размещаются в разных единицах масштабирования хранилища (метках). В случае сбоя стека из-за проблем с оборудованием или программным обеспечением выйдет из строя только тот экземпляр виртуальной машины, диски которой расположены в этом стеке. Предположим, есть приложение, запущенное на пяти виртуальных машинах, расположенных в одной группе доступности. Диски этих виртуальных машин не хранятся в одном стеке, поэтому если один стек выйдет из строя, другие экземпляры приложения продолжат работу.

Интеграция с Зонами доступности

Управляемые диски с поддержкой зон доступности — предложение, обеспечивающее высокий уровень доступности и защищающее приложения от сбоев центров обработки данных. Зоны доступности — уникальные физические расположения в пределах одного региона Azure. Каждая зона состоит из одного или нескольких центров обработки данных, оснащенных независимыми системами электроснабжения, охлаждения и сетевого взаимодействия. Чтобы обеспечить устойчивость, во всех включенных областях используются минимум три отдельные зоны. Благодаря зонам доступности Azure предлагает наилучшее в отрасли соглашение об уровне обслуживания с гарантией времени непрерывной работы 99,99 % для виртуальных машин.

Поддержка резервного копирования Azure

Чтобы обеспечить защиту от региональных сбоев, можно использовать Azure Backup, чтобы создать задание резервного копирования, выполняющее резервное копирование по расписанию и с учетом политик хранения резервных копий. Это позволит легко восстанавливать виртуальные машины или управляемые диски при необходимости. Служба Azure Backup сейчас поддерживает диски размером до 32 ТиБ. Подробнее о поддержке резервного копирования виртуальной машины Azure.

Резервное копирование дисков Azure

Azure Disk Backup (предварительная версия) — это встроенное облачное решение резервного копирования, предоставляемое Azure Backup, которое защищает данные на управляемых дисках. Это простое, безопасное и экономичное решение для настройки защиты управляемых дисков за несколько шагов. Azure Disk Backup предлагает готовое решение для управления жизненным циклом моментальных снимков для управляемых дисков путем автоматизации периодического создания моментальных снимков и их хранения в течение настроенного периода времени с помощью политики резервного копирования. Дополнительные сведения об Azure Disk Backup см. здесь.

Детальный контроль доступа

Вы можете использовать управление доступом на основе ролей в Azure (Azure RBAC), чтобы назначить определенные разрешения для управляемых дисков одному или нескольким пользователям. Управляемые диски позволяют выполнять различные операции, в том числе чтение, запись (создание или обновление), удаление и извлечение универсального кода ресурса (URI) подписанного URL-адреса (SAS) для диска. Вы можете предоставить пользователям доступ только к тем операциям, которые необходимы им для выполнения определенного задания. Если вы не хотите, чтобы пользователь имел возможность копировать управляемые диски в учетную запись хранения, можно не предоставлять ему доступ к действию экспорта для этого управляемого диска. Если вы не хотите, чтобы пользователь использовал URI SAS для копирования управляемого диска, можно не предоставлять ему такое разрешение для этого диска.

Отправка виртуального жесткого диска

Прямая отправка упрощает передачу виртуального жесткого диска на управляемый диск Azure. Ранее необходимо было выполнить более сложный процесс, который включал в себя промежуточное хранение данных в учетной записи хранения. Теперь шагов меньше. Стало проще отправлять локальные виртуальные машины в Azure, отправлять их на большие управляемые диски, а также упрощен процесс резервного копирования и восстановления. Это также сокращает затраты, позволяя отправлять данные на управляемые диски напрямую, не присоединяя их к виртуальным машинам. Вы можете использовать прямую отправку для отправки виртуальных жестких дисков размером до 32 Тиб.

Сведения о том, как передавать виртуальный жесткий диск в Azure, см. в статьях об отправке с помощью CLI или PowerShell.

Безопасность

Поддержка управляемых дисков в Приватном канале позволяет выполнять внутрисетевые операции импорта и экспорта управляемого диска. Приватные каналы позволяют создавать URI SAS с ограниченным сроком действия для неподключенных управляемых дисков и моментальных снимков, чтобы вы могли экспортировать данные в другой регион для расширения охвата, аварийного восстановления или криминалистического анализа. Вы также можете использовать URI SAS для непосредственной отправки виртуального жесткого диска из локальной среды на пустой диск. Теперь вы можете использовать Приватные каналы, чтобы разрешить экспорт и импорт управляемых дисков только в пределах вашей виртуальной сети Azure. Приватные каналы гарантируют, что данные будут передаваться только по защищенной магистральной сети Майкрософт.

Сведения о том, как включить Приватные каналы для импорта и экспорта управляемых дисков, см. в соответствующих статьях для CLI или портала.

Шифрование

Управляемые диски поддерживают два разных типа шифрования. Первый из них — это шифрование на стороне сервера (SSE), которое выполняет служба хранилища, второй — шифрование дисков Azure, которые можно включить на дисках операционной системы и данных для виртуальных машин.

Шифрование на стороне сервера

Шифрование на стороне сервера позволяет шифровать неактивные данные и защищает данные в соответствии с корпоративными обязательствами по обеспечению безопасности и соответствия требованиям. Шифрование на стороне сервера включено по умолчанию для всех управляемых дисков, моментальных снимков и образов во всех регионах, где доступны управляемые диски. При этом временные диски не шифруются с помощью шифрования на стороне сервера, если только вы не включили шифрование на узле (см. сведения о ролях дисков и временных дисках).

Вы можете разрешить службе Azure управлять ключами (ключи под управлением платформы) или делать это самостоятельно (ключи под управлением клиента). Дополнительные сведения см. в статье Шифрование на стороне сервера для Хранилища дисков Azure.

Шифрование дисков Azure

Шифрование дисков Azure позволяет шифровать диски ОС и диски данных, используемые виртуальными машинами IaaS. Шифрование включает в себя управляемые диски. Для Windows диски шифруются с помощью стандартной отраслевой технологии шифрования BitLocker. Для Linux диски шифруются с помощью технологии DM-Crypt. Процесс шифрования интегрируется с Azure Key Vault, что позволяет управлять ключами шифрования дисков. См. сведения в статьях Шифрование дисков Azure для виртуальных машин Linux и Шифрование дисков Azure для виртуальных машин Windows.

Роли дисков

В Azure есть три основные роли дисков: диск данных, диск операционной системы и временный диск. Эти роли назначаются дискам, подключенным к виртуальной машине.

Disk roles in action

Диск данных

Диск данных — управляемый диск, подключенный к виртуальной машине для хранения данных приложений или других необходимых данных. Диски данных регистрируются как диски SCSI и обозначаются любой указанной буквой. Максимальная емкость каждого диска составляет 32 767 ГиБ. Размер виртуальной машины определяет, сколько дисков данных можно подключить и какой тип хранилища можно использовать для размещения дисков.

Диск ОС

У каждой виртуальной машины есть один подключенный диск операционной системы. На этот диск предварительно установлена операционная система которая была выбран при создании виртуальной машины. Этот диск содержит загрузочный том.

Этот диск имеет максимальную емкость 4 095 ГиБ, однако многие операционные системы секционированы с использованием основной загрузочной записи (MBR). Формат MBR ограничивает доступный размер до 2 ТиБ. Если вам требуется более 2 ТиБ, создайте и подключите диски данных и используйте их для хранения. Если вам необходимо сохранить данные на диске операционной системы и требуется дополнительное пространство, преобразуйте их в таблицу разделов GUID (GPT). Сведения о различиях между MBR и GPT в развертываниях Windows см. в разделе Вопросы и ответы по Windows и GPT.

Временный диск

Почти любая виртуальная машина содержит временный диск, который не является управляемым диском. Этот диск используется в качестве временного хранилища для приложений и процессов и предназначен только для хранения данных, таких как страничные файлы или файлы подкачки. Данные на временном диске могут быть потеряны во время обслуживания или при повторном развертывании виртуальной машины. После успешной стандартной перезагрузки виртуальной машины данные на временном диске сохраняются. Дополнительные сведения о виртуальных машинах без временных дисков см. в статье Размеры виртуальных машин Azure без локального временного диска.

В виртуальных машинах Azure Linux временный обычно диск отмечен как /dev/sdb, а в виртуальных машинах Windows — как D:. Временный диск не шифруется с помощью шифрования на стороне сервера, если только вы не включили шифрование на узле.

Моментальные снимки управляемых дисков

Моментальный снимок управляемого диска — это полная отказоустойчивая копия управляемого диска, доступная только для чтения, которая по умолчанию хранится в качестве управляемого диска ценовой категории "Стандартный". С помощью моментальных снимков можно архивировать управляемые диски на любой момент времени. Эти моментальные снимки могут существовать независимо от исходного диска и использоваться для создания других управляемых дисков.

Плата за моментальные снимки взимается в зависимости от используемого размера. Например, если создается моментальный снимок управляемого диска с подготовленной емкостью 64 Гиб и фактическим объемом используемых данных 10 Гиб, оплачиваются только используемые данные, то есть 10 Гиб. Просмотреть использованный размер моментальных снимков можно в отчете об использовании Azure. Например, если размер данных моментального снимка составляет 10 ГиБ, использованное количество в ежедневном отчете об использовании будет отражено так: 10 ГиБ/(31 день) = 0,3226.

Дополнительные сведения о создании моментальных снимков для управляемых дисков см. в статье Создание моментального снимка управляемого диска.

Изображения

Управляемые диски также поддерживают создание управляемых пользовательских образов. Вы можете создать образ из пользовательского VHD-файла в учетной записи хранения или непосредственно из универсальной (подготовленной с помощью программы sysprep) виртуальной машины. При этом создается один образ. Он содержит все управляемые диски, связанные с виртуальной машиной, включая диски операционной системы и диски данных. Таким образом, вы можете создавать сотни виртуальных машин с помощью пользовательского образа без необходимости копировать все учетные записи хранения или управлять ими.

Дополнительные сведения о создании образов см. в следующих статьях:

Образы и моментальные снимки

Важно понять разницу между образами и моментальными дисками. При использовании управляемых дисков можно создать образ универсальной виртуальной машины, распределение которой было отменено. Этот образ будет содержать все диски, подключенные к этой виртуальной машине. Его можно использовать для создания новой виртуальной машины, которая также будет содержать все эти диски.

Моментальный снимок — это копия диска на момент создания снимка. Она относится только к одному диску. Если у виртуальной машины только один диск (диск операционной системы), можно создать моментальный снимок или образ, а затем на основе одного из них создать виртуальную машину.

Моментальный снимок содержит сведения только о хранящемся в нем диске. Поэтому моментальные снимки сложно использовать в сценариях, требующих управления несколькими дисками, таких как чередование. Моментальные снимки пришлось бы согласовывать между собой, и эта возможность пока не поддерживается.

Распределение диска и его производительность

На следующей схеме показано распределение пропускной способности и операций ввода-вывода в режиме реального времени для дисков с тремя разными путями, которые может использовать подсистема ввода-вывода:

Diagram of a three level provisioning system showing bandwidth and IOPS allocation.

Первый путь ввода-вывода — это путь к некэшируемому управляемому диску. Он применяется, если вы используете управляемый диск и устанавливаете для параметра кэширования узла значение "нет". Операции ввода-вывода, использующие этот путь, будут выполняться с подготовкой ввода-вывода и пропускной способности на уровне диска, а затем — на уровне сети виртуальной машины.

Второй путь ввода-вывода — это путь к кэшируемому управляемому диску. Операции кэшируемого управляемого дискового ввода-вывода используют SSD, расположенный близко к виртуальной машине, для которой подготовлена собственная подсистема ввода-вывода и пропускная способность, а на схеме указана подготовка на уровне SSD. Когда кэшируемый управляемый диск инициирует чтение, запрос сначала проверяет, находятся ли данные на серверном SSD. Если данные отсутствуют, при этом возникает промах кэша и операция ввода-вывода выполняется с подготовкой ввода-вывода и пропускной способности на уровне SSD, на уровне диска, а затем — на уровне сети виртуальной машины. Когда серверный SSD инициирует чтение с использованием кэшируемой подсистемы ввода-вывода на сервере SSD, возникает попадание в кэш, после чего операция ввода-вывода выполняется с подготовкой на уровне SSD. Операции записи, инициированные кэшируемым управляемым диском, всегда проходят по маршруту промаха кэша и должны последовательно проходить подготовку на уровне SSD, диска и сети виртуальной машины.

Наконец, третий путь предназначен для локального или временного диска. Эта возможность доступна только для виртуальных машин, поддерживающих локальные и временные диски. Операции ввода-вывода, использующие этот путь, выполняются с подготовкой ввода-вывода и пропускной способности на уровне SSD.

В качестве примера этих ограничений виртуальная машина Standard_DS1v1 не достигают 5000 операций ввода-вывода в секунду для диска P30, независимо от того, кэширован он или нет, из-за ограничений на уровнях SSD и сети:

Diagram of three level provisioning system with Standard_DS1v1 example allocation.

Azure использует приоритетный сетевой канал для дискового трафика, который получает приоритет над другим низкоприоритетным сетевым трафиком. Это помогает дискам поддерживать ожидаемую производительность в случае сетевых состязаний. Аналогичным образом служба хранилища Azure обрабатывает состязание за ресурсы и другие проблемы в фоновом режиме с автоматической балансировкой нагрузки. Служба хранилища Azure выделяет необходимые ресурсы при создании диска и применяет упреждающее и реактивное распределение ресурсов для управления уровнем трафика. Благодаря этому диски могут поддерживать ожидаемые целевые значения операций ввода-вывода и пропускной способности. При необходимости метрики уровня виртуальной машины и уровня диска можно использовать для наблюдения за производительностью и настройками.

Чтобы получить рекомендации по оптимизации конфигурации виртуальной машины и диска для достижения желаемой производительности, см. статью О проектировании для повышения производительности.

Дальнейшие действия

Если вы хотите узнать больше об управляемых дисках, ознакомьтесь с документом [Повышенная устойчивость виртуальной машины Azure к управляемым дискам].

Узнайте больше о типах дисков, предлагаемых в Azure, и выберите тип, который подходит для ваших нужд, и ознакомьтесь с их показателями производительности, почитав нашу статью о типах дисков.