Azure Well-Architected Framework-perspektiv på Azure Files
Azure Files är en Microsoft-fillagringslösning för molnet. Azure Files tillhandahåller filresurser för servermeddelandeblock (SMB) och nätverksfilsystem (NFS) som du kan montera på klienter i molnet, lokalt eller till båda. Du kan också använda Azure File Sync för att cachelagrat SMB-filresurser på en lokal Windows-server och nivåindelade filer som används sällan i molnet.
Den här artikeln förutsätter att du som arkitekt har granskat lagringsalternativen och valt Azure Files som den lagringstjänst som arbetsbelastningarna ska köras på. Vägledningen i den här artikeln innehåller arkitektoniska rekommendationer som är mappade till principerna för grundpelarna i Azure Well-Architected Framework.
Viktigt!
Så här använder du den här guiden
Varje avsnitt har en checklista för design som presenterar arkitekturområden som är viktiga tillsammans med designstrategier som är lokaliserade till teknikomfånget.
Dessutom ingår rekommendationer om de teknikfunktioner som kan hjälpa dig att implementera dessa strategier. Rekommendationerna representerar inte en fullständig lista över alla konfigurationer som är tillgängliga för Azure Files och dess beroenden. I stället listar de de viktigaste rekommendationerna som mappats till designperspektiven. Använd rekommendationerna för att skapa ditt konceptbevis eller optimera dina befintliga miljöer.
Tillförlitlighet
Syftet med grundpelare för tillförlitlighet är att tillhandahålla fortsatt funktionalitet genom att skapa tillräckligt med motståndskraft och möjlighet att återhämta sig snabbt från fel.
Designprinciperna för tillförlitlighet ger en övergripande designstrategi som tillämpas för enskilda komponenter, arbetsbelastningar, systemflöden och systemet som helhet.
Checklista för design
Starta din designstrategi baserat på checklistan för designgranskning för tillförlitlighet.
Analys av felläge: Minimera felpunkter genom att överväga interna beroenden, till exempel tillgängligheten för virtuella nätverk, Azure Key Vault eller Azure Content Delivery Network eller Azure Front Door-slutpunkter. Fel kan inträffa om du behöver autentiseringsuppgifter för att komma åt Azure Files och autentiseringsuppgifterna försvinner från Key Vault. Eller så kan det uppstå ett fel om dina arbetsbelastningar använder en slutpunkt som baseras på ett nätverk för innehållsleverans som saknas. I dessa fall kan du behöva konfigurera dina arbetsbelastningar för att ansluta till en alternativ slutpunkt. Allmän information om analys av felläge finns i Rekommendationer för analys av felläge.
Definiera tillförlitlighets- och återställningsmål: Granska Azure-serviceavtal (SLA). Härled servicenivåmålet (SLO) för lagringskontot. Den redundanskonfiguration som du valde kan till exempel påverka servicenivåmålet. Tänk på effekten av ett regionalt avbrott, risken för dataförlust och den tid som krävs för att återställa åtkomsten efter ett avbrott. Tänk också på tillgängligheten för interna beroenden som du identifierade som en del av fellägesanalysen.
Konfigurera dataredundans: För maximal hållbarhet väljer du en konfiguration som kopierar data mellan tillgänglighetszoner eller globala regioner. För maximal tillgänglighet väljer du en konfiguration som gör att klienter kan läsa data från den sekundära regionen under ett avbrott i den primära regionen.
Designprogram: Utforma dina program så att de smidigt flyttas så att de läser data från en sekundär region om den primära regionen inte är tillgänglig. Det här designövervägandet gäller endast geo-redundant lagring (GRS) och GZRS-konfigurationer (geo-zone-redundant lagring). Utforma dina program för att hantera avbrott på rätt sätt, vilket minskar avbrottstiden för kunderna.
Utforska funktioner som hjälper dig att uppfylla dina återställningsmål: Gör filer återställningsbara så att du kan återställa skadade, redigerade eller borttagna filer.
Skapa en återställningsplan: Överväg dataskyddsfunktioner, säkerhetskopierings- och återställningsåtgärder eller redundansprocedurer. Förbered för potentiella dataförluster och datainkonsekvenser samt tid och kostnad för redväxling. Mer information finns i Rekommendationer för att utforma en strategi för haveriberedskap.
Övervaka potentiella tillgänglighetsproblem: Prenumerera på Azure Service Health-instrumentpanelen för att övervaka potentiella tillgänglighetsproblem. Använd lagringsmått och diagnostikloggar i Azure Monitor för att undersöka aviseringar.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Konfigurera lagringskontot för redundans. För maximal tillgänglighet och hållbarhet konfigurerar du ditt konto med zonredundant lagring (ZRS), GRS eller GZRS. Begränsade Azure-regioner stöder ZRS för standard- och premiumfilresurser. Endast standard-SMB-konton stöder GRS och GZRS. Premium SMB-resurser och NFS-resurser stöder inte GRS och GZRS. Azure Files stöder inte geo-redundant lagring med läsåtkomst (RA-GRS) eller geozonredundant lagring med läsbehörighet (RA-GZRS). Om du konfigurerar ett lagringskonto för användning av RA-GRS eller RA-GZRS konfigureras och faktureras filresurserna som GRS eller GZRS. |
Redundans skyddar dina data mot oväntade fel. Konfigurationsalternativen ZRS och GZRS replikeras mellan olika tillgänglighetszoner och gör det möjligt för program att fortsätta läsa data under ett avbrott. Mer information finns i Hållbarhet och tillgänglighet efter avbrottsscenario och parametrar för hållbarhet och tillgänglighet. |
| Innan du initierar en redundansväxling eller återställning efter fel kontrollerar du värdet för egenskapen senaste synkroniseringstid för att utvärdera risken för dataförlust. Den här rekommendationen gäller endast GRS- och GZRS-konfigurationer. | Den här egenskapen hjälper dig att uppskatta hur mycket data du kan förlora om du initierar en redundansväxling av ett konto. Alla data och metadata som skrivs före den senaste synkroniseringstiden är tillgängliga i den sekundära regionen, men du kan förlora data och metadata som skrivs efter den senaste synkroniseringstiden eftersom de inte har skrivits till den sekundära regionen. |
| Som en del av din strategi för säkerhetskopiering och återställning aktiverar du mjuk borttagning och använder ögonblicksbilder för återställning till tidpunkt. Du kan använda Azure Backup för att säkerhetskopiera dina SMB-filresurser. Du kan också använda Azure File Sync för att säkerhetskopiera lokala SMB-filresurser till en Azure-filresurs. Med Azure Backup kan du också göra en välvd säkerhetskopia (förhandsversion) av Azure Files för att skydda dina data från utpressningstrojanattacker eller källdataförlust på grund av en skadlig aktör eller en obehörig administratör. Med valvsäkerhetskopiering kopierar och lagrar Azure Backup data i Recovery Services-valvet. Detta skapar en kopia av data på annan plats som du kan behålla i upp till 99 år. Azure Backup skapar och hanterar återställningspunkterna enligt schemat och kvarhållningen som definieras i säkerhetskopieringsprincipen. Läs mer. |
Mjuk borttagning fungerar på filresursnivå för att skydda Azure-filresurser mot oavsiktlig borttagning. Återställning till tidpunkt skyddar mot oavsiktlig borttagning eller skada eftersom du kan återställa filresurser till ett tidigare tillstånd. Mer information finns i Översikt över dataskydd. |
Säkerhet
Syftet med säkerhetspelare är att tillhandahålla garantier för konfidentialitet, integritet och tillgänglighet för arbetsbelastningen.
Principerna för säkerhetsdesign ger en övergripande designstrategi för att uppnå dessa mål genom att tillämpa metoder för den tekniska utformningen av fillagringskonfigurationen.
Säkerhetskrav och rekommendationer varierar beroende på om din arbetsbelastning använder SMB- eller NFS-protokollet för att få åtkomst till dina filresurser. Följande avsnitt innehåller därför separata designchecklistor och rekommendationer för SMB- och NFS-filresurser.
Vi rekommenderar att du behåller SMB- och NFS-filresurser i separata lagringskonton eftersom de har olika säkerhetskrav. Använd den här metoden för att ge din arbetsbelastning stark säkerhet och hög flexibilitet.
Designchecklista för SMB-filresurser
Starta din designstrategi baserat på checklistan för designgranskning för Säkerhet. Identifiera säkerhetsrisker och kontroller för att förbättra säkerhetsstatusen. Utöka strategin till att omfatta fler metoder efter behov.
Granska säkerhetsbaslinjen för Azure Storage: Gå igenom säkerhetsbaslinjen för Storage för att komma igång.
Överväg att använda nätverkskontroller för att begränsa inkommande och utgående trafik: Du kan känna dig bekväm med att exponera ditt lagringskonto för det offentliga Internet under vissa förhållanden, till exempel om du använder identitetsbaserad autentisering för att ge åtkomst till filresurser. Men vi rekommenderar att du använder nätverkskontroller för att bevilja den lägsta åtkomstnivå som krävs för användare och program. Mer information finns i Så här närmar du dig nätverkssäkerhet för ditt lagringskonto.
Minska attackytan: Använd kryptering under överföring och förhindra åtkomst över icke-säkra anslutningar (HTTP) för att minska attackytan. Kräv att klienter skickar och tar emot data med hjälp av den senaste versionen av TLS-protokollet (Transport Layer Security).
Minimera användningen av lagringskontonycklar: Identitetsbaserad autentisering ger överlägsen säkerhet jämfört med att använda en lagringskontonyckel. Men du måste använda en lagringskontonyckel för att få fullständig administrativ kontroll över en filresurs, inklusive möjligheten att ta ägarskap för en fil. Bevilja säkerhetsobjekt endast de behörigheter som krävs för att utföra sina uppgifter.
Skydda känslig information: Skydda känslig information, till exempel lagringskontonycklar och lösenord. Vi rekommenderar inte att du använder dessa auktoriseringsformer, men om du gör det bör du se till att rotera, förfalla och lagra dem på ett säkert sätt.
Identifiera hot: Aktivera Microsoft Defender for Storage för att identifiera potentiellt skadliga försök att komma åt eller utnyttja dina Azure-filresurser via SMB- eller FileREST-protokoll. Prenumerationsadministratörer får e-postaviseringar med information om misstänkt aktivitet och rekommendationer om hur du undersöker och åtgärdar hot. Defender for Storage stöder inte antivirusfunktioner för Azure-filresurser. Om du använder Defender för Lagring medför transaktionsintensiva filresurser betydande kostnader, så överväg att välja bort Defender för Lagring för specifika lagringskonton.
Rekommendationer för SMB-filresurser
| Rekommendation | Förmån |
|---|---|
| Tillämpa ett Azure Resource Manager-lås på lagringskontot. | Lås kontot för att förhindra oavsiktlig eller skadlig borttagning av lagringskontot, vilket kan orsaka dataförlust. |
| Öppna TCP-port 445 utgående eller konfigurera en VPN-gateway eller Azure ExpressRoute-anslutning för klienter utanför Azure för att få åtkomst till filresursen. | SMB 3.x är ett internetsäkert protokoll, men du kanske inte har möjlighet att ändra organisationens eller Internetleverantörens principer. Du kan använda en VPN-gateway eller en ExpressRoute-anslutning som ett alternativ. |
| Om du öppnar port 445 måste du inaktivera SMBv1 på Windows- och Linux-klienter. Azure Files stöder inte SMB 1, men du bör fortfarande inaktivera det på dina klienter. | SMB 1 är ett inaktuellt, ineffektivt och osäkert protokoll. Inaktivera det på klienter för att förbättra din säkerhetsstatus. |
| Överväg att inaktivera åtkomst till det offentliga nätverket till ditt lagringskonto. Aktivera åtkomst till offentligt nätverk endast om SMB-klienter och tjänster som är externa till Azure kräver åtkomst till ditt lagringskonto. Om du inaktiverar åtkomst till offentligt nätverk skapar du en privat slutpunkt för ditt lagringskonto. Standardpriser för databehandling för privata slutpunkter gäller. En privat slutpunkt blockerar inte anslutningar till den offentliga slutpunkten. Du bör fortfarande inaktivera åtkomst till det offentliga nätverket enligt beskrivningen ovan. Om du inte behöver en statisk IP-adress för filresursen och vill undvika kostnaden för privata slutpunkter kan du i stället begränsa åtkomsten till den offentliga slutpunkten till specifika virtuella nätverk och IP-adresser. |
Nätverkstrafiken färdas via Microsofts stamnät i stället för det offentliga Internet, vilket eliminerar riskexponering från det offentliga Internet. |
| Aktivera brandväggsregler som begränsar åtkomsten till specifika virtuella nätverk. Börja med noll åtkomst och ge sedan metodiskt och stegvis den minsta mängd åtkomst som krävs för klienter och tjänster. | Minimera risken för att skapa öppningar för angripare. |
| När det är möjligt kan du använda identitetsbaserad autentisering med AES-256 Kerberos-biljettkryptering för att auktorisera åtkomst till SMB Azure-filresurser. | Använd identitetsbaserad autentisering för att minska risken för att en angripare använder en lagringskontonyckel för att få åtkomst till filresurser. |
| Om du använder lagringskontonycklar lagrar du dem i Key Vault och ser till att återskapa dem regelbundet. Du kan helt neka åtkomst till lagringskontonyckeln till filresursen genom att ta bort NTLMv2 från resursens SMB-säkerhetsinställningar. Men du bör vanligtvis inte ta bort NTLMv2 från resursens SMB-säkerhetsinställningar eftersom administratörer fortfarande behöver använda kontonyckeln för vissa uppgifter. |
Använd Key Vault för att hämta nycklar vid körning i stället för att spara dem med ditt program. Key Vault gör det också enkelt att rotera dina nycklar utan avbrott i dina program. Rotera kontonycklarna regelbundet för att minska risken för att exponera dina data för skadliga attacker. |
| I de flesta fall bör du aktivera alternativet Säker överföring som krävs för alla dina lagringskonton för att aktivera kryptering under överföring för SMB-filresurser. Aktivera inte det här alternativet om du behöver tillåta att mycket gamla klienter får åtkomst till resursen. Om du inaktiverar säker överföring måste du använda nätverkskontroller för att begränsa trafiken. |
Den här inställningen säkerställer att alla begäranden som görs mot lagringskontot sker via säkra anslutningar (HTTPS). Alla begäranden som görs via HTTP misslyckas. |
| Konfigurera ditt lagringskonto så att TLS 1.2 är den lägsta versionen för klienter att skicka och ta emot data. | TLS 1.2 är säkrare och snabbare än TLS 1.0 och 1.1, som inte stöder moderna kryptografiska algoritmer och chiffersviter. |
| Använd endast den senaste SMB-protokollversionen som stöds (för närvarande 3.1.1.) och använd endast AES-256-GCM för SMB-kanalkryptering. Azure Files exponerar inställningar som du kan använda för att växla SMB-protokollet och göra det mer kompatibelt eller säkrare, beroende på organisationens krav. Som standard tillåts alla SMB-versioner. SMB 2.1 tillåts dock inte om du aktiverar Kräv säker överföring eftersom SMB 2.1 inte stöder kryptering av data under överföring. Om du begränsar de här inställningarna till en hög säkerhetsnivå kanske vissa klienter inte kan ansluta till filresursen. |
SMB 3.1.1, som släpptes med Windows 10, innehåller viktiga säkerhets- och prestandauppdateringar. AES-256-GCM erbjuder säkrare kanalkryptering. |
Designchecklista för NFS-filresurser
Granska säkerhetsbaslinjen för Lagring: Gå igenom säkerhetsbaslinjen för Storage för att komma igång.
Förstå organisationens säkerhetskrav: NFS Azure-filresurser stöder endast Linux-klienter som använder NFSv4.1-protokollet, med stöd för de flesta funktioner från 4.1-protokollspecifikationen. Vissa säkerhetsfunktioner, till exempel Kerberos-autentisering, åtkomstkontrollistor (ACL) och kryptering under överföring, stöds inte.
Använd säkerhet och kontroller på nätverksnivå för att begränsa inkommande och utgående trafik: Identitetsbaserad autentisering är inte tillgänglig för NFS Azure-filresurser, så du måste använda säkerhet och kontroller på nätverksnivå för att ge den lägsta nödvändiga åtkomstnivån till användare och program. Mer information finns i Så här närmar du dig nätverkssäkerhet för ditt lagringskonto.
Rekommendationer för NFS-filresurser
| Rekommendation | Förmån |
|---|---|
| Använd ett Resource Manager-lås på lagringskontot. | Lås kontot för att förhindra oavsiktlig eller skadlig borttagning av lagringskontot, vilket kan orsaka dataförlust. |
| Du måste öppna port 2049 på de klienter som du vill montera NFS-resursen på. | Öppna port 2049 för att låta klienter kommunicera med NFS Azure-filresursen. |
| NFS Azure-filresurser är endast tillgängliga via begränsade nätverk. Därför måste du skapa en privat slutpunkt för ditt lagringskonto eller begränsa åtkomsten till den offentliga slutpunkten till valda virtuella nätverk och IP-adresser. Vi rekommenderar att du skapar en privat slutpunkt. Du måste konfigurera säkerhet på nätverksnivå för NFS-resurser eftersom Azure Files inte stöder kryptering under överföring med NFS-protokollet. Du måste inaktivera inställningen Kräv säker överföring på lagringskontot för att använda NFS Azure-filresurser. Standardpriser för databearbetning gäller för privata slutpunkter. Om du inte behöver någon statisk IP-adress för filresursen och vill undvika kostnaden för privata slutpunkter kan du begränsa åtkomsten till den offentliga slutpunkten i stället. |
Nätverkstrafiken färdas via Microsofts stamnät i stället för det offentliga Internet, vilket eliminerar riskexponering från det offentliga Internet. |
| Överväg att inte tillåta åtkomst till lagringskontonyckeln på lagringskontonivå. Du behöver inte den här åtkomsten för att montera NFS-filresurser. Men kom ihåg att fullständig administrativ kontroll av en filresurs, inklusive möjligheten att ta ägarskap för en fil, kräver användning av en lagringskontonyckel. | Tillåt inte att lagringskontonycklar används för att göra ditt lagringskonto säkrare. |
Kostnadsoptimering
Kostnadsoptimering fokuserar på att identifiera utgiftsmönster, prioritera investeringar inom kritiska områden och optimera i andra för att uppfylla organisationens budget samtidigt som affärskraven uppfylls.
Designprinciperna för kostnadsoptimering ger en övergripande designstrategi för att uppnå dessa mål och göra avvägningar vid behov i den tekniska designen som rör fillagring och dess miljö.
Checklista för design
Starta din designstrategi baserat på checklistan för designgranskning för kostnadsoptimering för investeringar. Finjustera designen så att arbetsbelastningen är i linje med den budget som allokeras för arbetsbelastningen. Din design bör använda rätt Azure-funktioner, övervaka investeringar och hitta möjligheter att optimera över tid.
Bestäm om din arbetsbelastning kräver prestanda för Premium-filresurser (Azure Premium SSD) eller om Azure Standard HDD-lagring räcker: Bestäm din lagringskontotyp och faktureringsmodell baserat på vilken typ av lagring du behöver. Om du behöver stora mängder in-/utdataåtgärder per sekund (IOPS), extremt snabba dataöverföringshastigheter eller mycket låg svarstid bör du välja Premium Azure-filresurser. NFS Azure-filresurser är endast tillgängliga på premiumnivån. NFS- och SMB-filresurser är samma pris på premiumnivån.
Skapa ett lagringskonto för filresursen och välj en redundansnivå: Välj antingen ett standardkonto (GPv2) eller premiumkonto (FileStorage). Den redundansnivå som du väljer påverkar kostnaden. Ju mer redundans, desto högre kostnad. Lokalt redundant lagring (LRS) är det mest prisvärda. GRS är endast tillgängligt för SMB-standardfilresurser. Standardfilresurser visar endast transaktionsinformation på lagringskontonivå, så vi rekommenderar att du endast distribuerar en filresurs i varje lagringskonto för att säkerställa fullständig faktureringssynlighet.
Förstå hur din faktura beräknas: Standard Azure-filresurser tillhandahåller en betala per användning-modell. Premium-resurser använder en etablerad modell där du anger och betalar för en viss mängd kapacitet, IOPS och dataflöde i förväg. I modellen betala per användning spårar mätare mängden data som lagras i kontot eller kapaciteten samt antalet och typen av transaktioner baserat på din användning av dessa data. Modellen betala per användning kan vara kostnadseffektiv eftersom du bara betalar för det du använder. Med modellen betala per användning behöver du inte överetablera eller avetablera lagring baserat på prestandakrav eller variationer i efterfrågan.
Men du kan ha svårt att planera lagring som en del av en budgeteringsprocess eftersom slutanvändarnas förbrukning medför kostnader. Med den etablerade modellen påverkar transaktioner inte faktureringen, så kostnaderna är lätta att förutsäga. Men du betalar för den etablerade lagringskapaciteten oavsett om du använder den eller inte. En detaljerad beskrivning av hur kostnaderna beräknas finns i Förstå Azure Files-fakturering.
Beräkna kostnaden för kapacitet och åtgärder: Du kan använda Priskalkylatorn för Azure för att modellera kostnaderna för datalagring, ingress och utgående data. Jämför kostnaden för olika regioner, kontotyper och redundanskonfigurationer. Mer information finns i Priser för Azure Files.
Välj den mest kostnadseffektiva åtkomstnivån: Standard SMB Azure-filresurser erbjuder tre åtkomstnivåer: transaktionsoptimerad, frekvent och lågfrekvent. Alla tre nivåerna lagras på samma standardlagringsmaskinvara. Den största skillnaden för dessa tre nivåer är deras data till restlagringspriser, som är lägre i lågfrekventa nivåer, och transaktionspriserna, som är högre på lågfrekventa nivåer. Mer information finns i Skillnader i standardnivåer.
Bestäm vilka mervärdestjänster du behöver: Azure Files stöder integreringar med mervärdestjänster som Säkerhetskopiering, Azure File Sync och Defender for Storage. Dessa lösningar har egna licens- och produktkostnader men anses ofta vara en del av den totala ägandekostnaden för fillagring. Överväg andra kostnadsaspekter om du använder Azure File Sync.
Skapa skyddsräcken: Skapa budgetar baserat på prenumerationer och resursgrupper. Använd styrningsprinciper för att begränsa resurstyper, konfigurationer och platser. Dessutom kan du använda rollbaserad åtkomstkontroll (RBAC) för att blockera åtgärder som kan leda till överförbrukning.
Övervaka kostnader: Se till att kostnaderna håller sig inom budgetar, jämför kostnader med prognoser och se var överförbrukning sker. Du kan använda fönstret kostnadsanalys i Azure-portalen för att övervaka kostnaderna. Du kan också exportera kostnadsdata till ett lagringskonto och använda Excel eller Power BI för att analysera dessa data.
Övervaka användning: Övervaka användningsmönster kontinuerligt för att identifiera oanvända eller underanvända lagringskonton och filresurser. Kontrollera om kapaciteten ökar oväntat, vilket kan tyda på att du samlar in flera loggfiler eller filer som tagits bort med mjuk borttagning. Utveckla en strategi för att ta bort filer eller flytta filer till mer kostnadseffektiva åtkomstnivåer.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| När du migrerar till Azure-standardfilresurser rekommenderar vi att du börjar på den transaktionsoptimerade nivån under den inledande migreringen. Transaktionsanvändning under migreringen är vanligtvis inte ett tecken på normal transaktionsanvändning. Det här övervägandet gäller inte för premiumfilresurser eftersom den etablerade faktureringsmodellen inte debiteras för transaktioner. | Att migrera till Azure Files är en tillfällig, transaktionsintensiv arbetsbelastning. Optimera priset för arbetsbelastningar med hög transaktion för att minska migreringskostnaderna. |
| När du har migrerat din arbetsbelastning, om du använder standardfilresurser, väljer du noggrant den mest kostnadseffektiva åtkomstnivån för din filresurs: frekvent, lågfrekvent eller transaktionsoptimerad. När du har arbetat i några dagar eller veckor med regelbunden användning kan du infoga dina transaktionsantal i priskalkylatorn för att ta reda på vilken nivå som bäst passar din arbetsbelastning. De flesta kunder bör välja cool även om de aktivt använder resursen. Men du bör undersöka varje resurs och jämföra lagringskapacitetens balans med transaktioner för att fastställa din nivå. Om transaktionskostnaderna utgör en betydande procentandel av din faktura kompenserar besparingarna från att använda lågfrekvent åtkomstnivå ofta den här kostnaden och minimerar den totala kostnaden. Vi rekommenderar att du flyttar standardfilresurser mellan åtkomstnivåer endast när det behövs för att optimera för ändringar i arbetsbelastningsmönstret. Varje flytt medför transaktioner. Mer information finns i Växla mellan standardnivåer. |
Välj lämplig åtkomstnivå för standardfilresurser för att avsevärt minska dina kostnader. |
| Om du använder premiumresurser ser du till att du etablerar mer än tillräckligt med kapacitet och prestanda för din arbetsbelastning, men inte så mycket att du medför onödiga kostnader. Vi rekommenderar överetablering med två till tre gånger. Du kan dynamiskt skala upp eller ned Premium-filresurser beroende på dina prestandaegenskaper för lagring och indata/utdata (I/O). | Överetablera premiumfilresurser med ett rimligt belopp för att upprätthålla prestanda och ta hänsyn till framtida tillväxt- och prestandakrav. |
| Använd Azure Files-reservationer, även kallade reserverade instanser, för att i förväg ansluta till lagringsanvändningen och få rabatt. Använd reservationer för produktionsarbetsbelastningar eller dev/test-arbetsbelastningar med konsekventa fotavtryck. Mer information finns i Optimera kostnader med lagringsreservationer. Reservationer inkluderar inte transaktions-, bandbredds-, dataöverförings- och metadatalagringsavgifter. |
Treårsreservationer kan ge en rabatt på upp till 36 % på den totala kostnaden för fillagring. Reservationer påverkar inte prestanda. |
| Övervaka användning av ögonblicksbilder. Ögonblicksbilder debiteras, men de debiteras baserat på differentiell lagringsanvändning för varje ögonblicksbild. Du betalar bara för skillnaden i varje ögonblicksbild. Mer information finns i Ögonblicksbilder. Azure File Sync tar ögonblicksbilder på resursnivå och filnivå som en del av den regelbundna användningen, vilket kan öka din totala Azure Files-faktura. |
Differentiella ögonblicksbilder säkerställer att du inte debiteras flera gånger för lagring av samma data. Du bör dock fortfarande övervaka användningen av ögonblicksbilder för att minska din Azure Files-faktura. |
| Ange kvarhållningsperioder för funktionen för mjuk borttagning, särskilt när du börjar använda den. Överväg att börja med en kort kvarhållningsperiod för att bättre förstå hur funktionen påverkar din faktura. Den minsta rekommenderade kvarhållningsperioden är sju dagar. När du tar bort standard- och premiumfilresurser faktureras de som använd kapacitet i stället för etablerad kapacitet. Och premiumfilresurser faktureras med ögonblicksbildsfrekvensen när de är i läget för mjuk borttagning. Standardfilresurser faktureras enligt den vanliga kursen när de är i läget för mjuk borttagning. |
Ange en kvarhållningsperiod så att mjukt borttagna filer inte staplas upp och ökar kostnaden för kapacitet. Efter den konfigurerade kvarhållningsperioden medför inte permanent borttagna data kostnader. |
Driftseffektivitet
Operational Excellence fokuserar främst på procedurer för utvecklingsmetoder, observerbarhet och versionshantering.
Designprinciperna för operational excellence tillhandahåller en övergripande designstrategi för att uppnå dessa mål för arbetsbelastningens driftskrav.
Checklista för design
Starta din designstrategi baserat på checklistan för designgranskning för Operational Excellence för att definiera processer för observerbarhet, testning och distribution som är relaterade till fillagringskonfigurationen.
Skapa planer för underhåll och nödåterställning: Överväg dataskyddsfunktioner, säkerhetskopierings- och återställningsåtgärder samt redundansprocedurer. Förbered för potentiella dataförluster och datainkonsekvenser samt tid och kostnad för redväxling.
Övervaka hälsotillståndet för ditt lagringskonto: Skapa Instrumentpaneler för Lagringsinsikter för att övervaka mått för tillgänglighet, prestanda och återhämtning. Konfigurera aviseringar för att identifiera och åtgärda problem i systemet innan kunderna märker dem. Använd diagnostikinställningar för att dirigera resursloggar till en Arbetsyta för Azure Monitor-loggar. Sedan kan du köra frågor mot loggar för att undersöka aviseringar djupare.
Granska filresursaktiviteten regelbundet: Resursaktiviteten kan ändras över tid. Flytta standardfilresurser till coolare åtkomstnivåer, eller så kan du etablera eller avetablera kapacitet för Premium-resurser. När du flyttar standardfilresurser till en annan åtkomstnivå debiteras du en transaktionsavgift. Flytta endast standardfilresurser när det behövs för att minska din månadsfaktura.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Använd infrastruktur som kod (IaC) för att definiera information om dina lagringskonton i Azure Resource Manager-mallar (ARM-mallar), Bicep eller Terraform. | Du kan använda dina befintliga DevOps-processer för att distribuera nya lagringskonton och använda Azure Policy för att framtvinga deras konfiguration. |
| Använd Storage-insikter för att spåra hälsotillståndet och prestandan för dina lagringskonton. Lagringsinsikter ger en enhetlig vy över fel, prestanda, tillgänglighet och kapacitet för alla dina lagringskonton. | Du kan spåra hälsotillståndet och driften för vart och ett av dina konton. Skapa enkelt instrumentpaneler och rapporter som intressenter kan använda för att spåra hälsotillståndet för dina lagringskonton. |
| Använd Monitor för att analysera mått, till exempel tillgänglighet, svarstid och användning, och för att skapa aviseringar. | Monitor ger en vy över tillgänglighet, prestanda och återhämtning för dina filresurser. |
Prestandaeffektivitet
Prestandaeffektivitet handlar om att upprätthålla användarupplevelsen även när belastningen ökar genom att hantera kapaciteten. Strategin omfattar skalning av resurser, identifiering och optimering av potentiella flaskhalsar och optimering för högsta prestanda.
Designprinciperna för prestandaeffektivitet ger en designstrategi på hög nivå för att uppnå dessa kapacitetsmål mot den förväntade användningen.
Checklista för design
Starta din designstrategi baserat på checklistan för designgranskning för prestandaeffektivitet. Definiera en baslinje som baseras på viktiga prestandaindikatorer för fillagringskonfigurationen.
Planera för skalning: Förstå skalbarhets - och prestandamålen för lagringskonton, Azure Files och Azure File Sync.
Förstå dina program- och användningsmönster för att uppnå förutsägbara prestanda: Fastställa svarstidskänslighet, IOPS- och dataflödeskrav, varaktighet och frekvens för arbetsbelastning och parallellisering av arbetsbelastningar. Använd Azure Files för program med flera trådar för att uppnå de övre prestandagränserna för en tjänst. Om de flesta av dina begäranden är metadatacentrerade, till exempel createfile, openfile, closefile, queryinfo eller querydirectory, skapar begäranden dåliga svarstider som är högre än läs- och skrivåtgärderna. Om du har det här problemet bör du överväga att separera filresursen i flera filresurser inom samma lagringskonto.
Välj den optimala lagringskontotypen: Om din arbetsbelastning kräver stora mängder IOPS, extremt snabba dataöverföringshastigheter eller mycket låg svarstid bör du välja premiumlagringskonton (FileStorage). Du kan använda ett standardkonto för generell användning v2 för de flesta SMB-filresursarbetsbelastningar. Den primära kompromissen mellan de två lagringskontotyperna är kostnad jämfört med prestanda.
Den etablerade resursstorleken, till exempel IOPS, utgående och ingress, och gränser för en enda fil avgör premiumresursprestanda. Mer information finns i Förstå etablering för Premium-filresurser. Premium-filresurser erbjuder också burst-krediter som en försäkring om du tillfälligt behöver överskrida en premiumfilresurss baslinje-IOPS-gräns.
Skapa lagringskonton i samma regioner som anslutna klienter för att minska svarstiden: Ju längre du kommer från Azure Files-tjänsten, desto större svarstid och desto svårare att uppnå prestandaskalningsgränser. Det här är särskilt viktigt när du kommer åt Azure Files från lokala miljöer. Om möjligt kontrollerar du att ditt lagringskonto och dina klienter finns i samma Azure-region. Optimera för lokala klienter genom att minimera nätverksfördröjningen eller genom att använda en ExpressRoute-anslutning för att utöka lokala nätverk till Microsoft-molnet via en privat anslutning.
Samla in prestandadata: Övervaka arbetsbelastningens prestanda, inklusive svarstid, tillgänglighet och användningsstatistik . Analysera loggar för att diagnostisera problem som tidsgränser och begränsning. Skapa aviseringar för att meddela dig om en filresurs begränsas, håller på att begränsas eller har långa svarstider.
Optimera för hybriddistributioner: Om du använder Azure File Sync beror synkroniseringsprestanda på många faktorer: din Windows Server och den underliggande diskkonfigurationen, nätverksbandbredden mellan servern och Azure Storage, filstorlek, total datamängdsstorlek och aktiviteten på datauppsättningen. För att mäta prestandan för en lösning som baseras på Azure File Sync fastställer du antalet objekt, till exempel filer och kataloger, som du bearbetar per sekund.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Aktivera SMB Multichannel för Premium SMB-filresurser. Med SMB Multichannel kan en SMB 3.1.1-klient upprätta flera nätverksanslutningar till en SMB Azure-filresurs. SMB Multichannel fungerar bara när funktionen är aktiverad på både klientsidan (klienten) och på tjänstsidan (Azure). På Windows-klienter är SMB Multichannel aktiverat som standard, men du måste aktivera det på ditt lagringskonto. |
Öka dataflödet och IOPS samtidigt som du minskar den totala ägandekostnaden. Prestandafördelarna ökar med antalet filer som distribuerar belastningen. |
| Använd monteringsalternativet nconnect på klientsidan med NFS Azure-filresurser på Linux-klienter. Med Nconnect kan du använda fler TCP-anslutningar mellan klienten och Azure Files Premium-tjänsten för NFSv4.1. | Öka prestanda i stor skala och minska den totala ägandekostnaden för NFS-filresurser. |
| Kontrollera att filresursen eller lagringskontot inte begränsas, vilket kan leda till långa svarstider, lågt dataflöde eller lågt IOPS. Begäranden begränsas när IOPS-, ingress- eller utgående gränser nås. För standardlagringskonton sker begränsning på kontonivå. För premiumfilresurser sker begränsning vanligtvis på resursnivå. |
Undvik begränsning för att ge bästa möjliga klientupplevelse. |
Azure-principer
Azure tillhandahåller en omfattande uppsättning inbyggda principer som rör Azure Files. Några av föregående rekommendationer kan granskas via Azure-principer. Du kan till exempel kontrollera om:
- Endast begäranden från säkra anslutningar, till exempel HTTPS, godkänns.
- Auktorisering av delad nyckel är inaktiverad.
- Brandväggsregler för nätverk tillämpas på kontot.
- Diagnostikinställningar för Azure Files är inställda på att strömma resursloggar till en Azure Monitor Logs-arbetsyta.
- Åtkomst till offentligt nätverk är inaktiverad.
- Azure File Sync har konfigurerats med privata slutpunkter för att använda privata DNS-zoner.
Omfattande styrning finns i de inbyggda Definitionerna för Azure Policy för lagring och andra principer som kan påverka säkerheten för beräkningslagret.
Azure Advisor-rekommendationer
Azure Advisor är en anpassad molnkonsult som hjälper dig att följa bästa praxis för att optimera dina Azure-distributioner. Här följer några rekommendationer som kan hjälpa dig att förbättra azure files tillförlitlighet, säkerhet, kostnadseffektivitet, prestanda och driftseffektivitet.
Gå vidare
Mer information finns i Dokumentation om Azure Files.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för