你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

规划弹性 SAN 的部署

弹性存储区域网络 (SAN) 主要涉及三方面：SAN 本身、卷组和卷。 部署 SAN 时，要在配置 SAN 时做出选择，包括整个 SAN 的冗余，以及 SAN 具有多高的性能和存储。 然后创建用于大规模管理卷的卷组。 应用于卷组的任何设置都由该卷组中的卷继承。 最后，将在 SAN 级别分配的存储容量分区为单个卷。

在部署弹性 SAN 之前，请考虑以下事项：

• 需要多少存储？
• 你需要何种级别的性能？
• 需要哪种类型的冗余？

通过解决这三个问题，可以帮助你成功部署满足自己需求的 SAN。

存储和性能

性能和存储存在两个层面：弹性 SAN 拥有的总存储和性能，以及单个卷的性能和存储。

弹性 SAN

可通过两种方法分配弹性 SAN 的存储：可以分配基本容量或额外容量。 每 TiB 的基本容量也会增加 SAN 的 IOPS 和吞吐量 (MB/秒)，但成本高于每 TiB 的额外容量。 增加额外的容量不会增加 SAN 的 IOPS 或吞吐量 (MB/s)。

为弹性 SAN 分配存储时，请考虑所需的存储量和性能。 使用基本容量和额外容量的组合来满足这些要求，可以优化成本。 例如，如果需要 100 TiB 存储，但只需要 250,000 IOPS 和 4,000 MB/秒，可以分配 50 TiB 的基本容量以及 50 TiB 的额外容量。

卷

从分配到弹性 SAN 的存储创建卷。 创建卷时，请将其视为对弹性 SAN 存储的一部分进行分区。 单个卷的最高性能取决于分配给它的存储量。 单个卷可以具有相当高的 IOPS 和吞吐量，但所有卷的总 IOPS 和吞吐量不能超过 SAN 拥有的总 IOPS 和吞吐量。

我们继续采用具有 500,000 IOPS 和 20,000 MB/秒的 100 TiB SAN 作为示例。 假设这个 SAN 有 100 个 1 TiB 卷。 你也许能让六个卷在其最高性能下运行（80,000 IOPS、1,280 MB/秒），因为这会低于 SAN 的限制。 但如果需要七个卷同时以最高性能运行，就是不可行的。 而 SAN 的性能将在这些卷间均匀地分摊。

网络

在弹性 SAN 中，可以在弹性 SAN 级别启用或禁用公共网络访问。 还可以通过所选虚拟网络子网中的公共存储服务终结点和专用终结点配置对 SAN 中的卷组的访问。 为卷组配置网络访问后，配置将由属于组的所有卷继承。 如果在 SAN 级别禁用公共访问，则仅可通过专用终结点访问该 SAN 中的卷组，而不管卷组的各个配置如何。

若要允许网络访问或单个卷组，必须为 Azure 存储启用服务终结点或在虚拟网络中启用专用终结点，然后在卷组上为任何服务终结点设置网络规则。 不需要通过网络规则允许来自专用终结点的流量，因为存储防火墙只通过公共终结点控制访问。 然后可通过 Internet 小型计算机系统接口 (iSCSI) 协议从该子网中的 AKS、Linux 或 Windows 客户端装载卷。

冗余

为了保护弹性 SAN 中的数据不丢失或损坏，所有 SAN 在写入每个文件时都存储多个副本。 可以根据工作负载的要求选择额外的冗余度。 目前支持以下数据冗余选项：

• 本地冗余存储 (LRS)：使用 LRS，每个 SAN 在 Azure 存储群集中存储三次。 这可以防止由于硬件故障（例如磁盘驱动器损坏）而导致数据丢失。 但是，如果数据中心内发生火灾或洪水等灾难，使用 LRS 的弹性 SAN 的所有副本可能会丢失或无法恢复。
• 区域冗余存储 (ZRS)：使用 ZRS，将存储每个 SAN 的三个副本，但这些副本位于不同的 Azure 可用性区域的三个不同存储群集中，这些存储群集在物理上是隔离的。 可用性区域是 Azure 区域中独特的物理位置。 每个区域由一个或多个数据中心组成，这些数据中心配置了独立电源、冷却和网络。 会同步发生一个针对使用 ZRS 的存储的写入请求。 写入操作仅在将数据写入三个可用性区域中的所有副本后才能成功返回。

加密

所有存储在弹性 SAN 中的数据都使用 Azure 存储服务加密 (SSE) 进行静止加密。 存储服务加密的工作方式类似于 Windows 上的 BitLocker：在文件系统级别下对数据进行加密。 SSE 可保护数据，并帮助你履行组织的安全性和合规性承诺。 弹性 SAN 中存储的数据使用 Microsoft 管理的密钥进行加密。 使用 Microsoft 管理的密钥，Microsoft 持有用于加密/解密数据的密钥，且负责定期轮换这些密钥。

Azure 弹性 SAN 中的数据使用 256 位 AES 加密（可用的最强大分组加密法之一）进行透明加密和解密，并且符合 FIPS 140-2 规范。 系统将对所有弹性 SAN 启用加密，加密是无法禁用的。 因为数据默认受保护，所以无需修改代码或应用程序即可使用 SSE。 SSE 没有额外费用。

有关加密模块基础 SSE 的详细信息，请参阅加密 API：下一代。

迁移

目前有两个选项可用于将数据迁移到 Azure 弹性 SAN。 下面两个路径都要求先部署和配置弹性 SAN，然后通过迁移过程创建卷。

• Cirrus Data，支持从外部位置（例如本地 SAN）进行迁移。
• 托管磁盘快照（预览版），支持从托管磁盘迁移到弹性 SAN 卷。

iSCSI 支持

弹性 SAN 支持 Internet 小型计算机系统接口 (iSCSI) 协议。 目前支持以下 iSCSI 命令：

• TEST UNIT READY
• REQUEST SENSE
• INQUIRY
• REPORT LUNS
• MODE SENSE
• READ CAPACITY (10)
• READ CAPACITY (16)
• READ (6)
• READ (10)
• READ (16)
• WRITE (6)
• WRITE (10)
• WRITE (16)
• WRITE VERIFY (10)
• WRITE VERIFY (16)
• VERIFY (10)
• VERIFY (16)
• SYNCHRONIZE CACHE (10)
• SYNCHRONIZE CACHE (16)
• RESERVE
• RELEASE
• PERSISTENT RESERVE IN
• PERSISTENT RESERVE OUT

当前不支持以下 iSCSI 功能：

• CHAP 授权
• 发起程序注册
• iSCSI 错误恢复级别 1 和 2
• ESXi iSCSI 流控制
• 每个 iSCSI 目标有多个 LUN

后续步骤

• 弹性 SAN 的网络选项
• 部署弹性 SAN

有关介绍常规规划和部署以及一些示例方案的视频，请参阅 Azure 弹性 SAN 入门。