規劃彈性 SAN 的部署

彈性存放區域網路 (SAN) 有三個主要層面：SAN 本身、磁碟區群組和磁碟區。 部署 SAN 時，您會在設定 SAN 時進行選取，包括整個 SAN 的備援，以及 SAN 有多少效能和儲存體。 然後，您會建立用於大規模管理磁碟區的磁碟區群組。 套用至磁碟區群組的任何設定都會由該磁碟區群組內的磁碟區繼承。 最後，您會將 SAN 層級配置的儲存體容量分割成個別的磁碟區。

在部署彈性 SAN 之前，請考慮下列事項：

• 您需要多少儲存空間？
• 您需要哪個效能層級？
• 您需要何種加密類型？

回答這三個問題可協助您成功部署符合需求的 SAN。

儲存體與效能

效能和儲存體方面有兩層：彈性 SAN 所擁有的總儲存體和效能，以及個別磁碟區的效能和儲存體。

彈性 SAN

有兩種方式可以配置彈性 SAN 的儲存體：您可以配置基底容量或額外容量。 每個 TiB 的基底容量也會增加 SAN 的 IOPS 和輸送量 (MB/s)，但成本高於每個 TiB 的額外容量。 增加額外容量不會增加 SAN 的 IOPS 或輸送量 (MB/s)。

為彈性 SAN 配置儲存體時，請考慮您需要多少儲存體，以及您需要多少效能。 使用基底容量和額外容量的組合來符合這些需求，可讓您將成本最佳化。 例如，如果您需要 100 TiB 的儲存體，但只需要 250,000 IOPS 和 4,000 MB/s，您可以在基底容量中配置 50 TiB 並在額外容量中配置 50 TiB。

磁碟區

您可以從配置至彈性 SAN 的儲存體建立磁碟區。 當您建立磁碟區時，請將此視為分割彈性 SAN 儲存體的一部分。 個別磁碟區的效能上限取決於配置給其的儲存體數量。 個別磁碟區可以有相當高的 IOPS 和輸送量，但您所有磁碟區的 IOPS 和輸送量總計不能超過 SAN 擁有的 IOPS 和輸送量總計。

使用具有 500,000 IOPS 和 20,000 MB/s 的相同 100 TiB SAN 範例。 假設此 SAN 有 100 個 1 TiB 磁碟區。 您可以有六個這樣的磁碟區以最大效能 (80,000 IOPS、1,280 MB/s) 運作，因為這仍會低於 SAN 的限制。 但如果同時需要七個磁碟區全都以最大效能運作，則無法做到。 相反地，SAN 的效能會平均分割於其間。

網路

在彈性 SAN 中，您可以在彈性 SAN 層級啟用或停用公用網路存取。 您也可以從選取虛擬網路子網路透過公用儲存體服務端點以及私人端點，設定 SAN 中對磁碟區群組的存取權。 設定磁碟區群組的網路存取之後，屬於該群組的所有磁碟區都會繼承設定。 如果您在 SAN 層級停用公用存取，則不論磁碟區群組的個別設定為何，都只能透過私人端點存取該 SAN 內的磁碟區群組。

若要允許網路存取或個別磁碟區群組，您必須在虛擬網路中啟用 Azure 儲存體的服務端點或私人端點，然後在任何服務端點的磁碟區群組上設定網路規則。 您不需要網路規則來允許自私人端點的流量，因為儲存體防火牆只會控制透過公用端點的存取。 接著，您可以使用網際網路小型電腦系統介面 (iSCSI) 通訊協定，從子網路中的 AKS、Linux 或 Windows 用戶端掛接磁碟區。

備援

為了保護彈性 SAN 中的資料，避免資料遺失或損毀，所有 SAN 都會在寫入時儲存每個檔案的多個複本。 視工作負載的需求而定，您可以選取額外的備援程度。 目前支援下列資料備援選項：

• 本地備援儲存體 (LRS)：使用 LRS 時，每個 SAN 都會在 Azure 儲存體叢集內儲存三次。 這可防止因為硬體錯誤 (例如磁碟機損壞) 而遺失資料。 但是，若在資料中心內發生火災或洪水之類的災害，則所有使用 LRS 的彈性 SAN 複本都可能會遺失或無法復原。
• 區域備援儲存體 (ZRS)：使用 ZRS 時，每個 SAN 有三個複本，而這三個複本會儲存在實際隔離在不同 Azure 可用性區域中的三個不同儲存體叢集中。 可用性區域是 Azure 地區內獨特的實體位置。 每個區域皆由一或多個配備獨立電源、冷卻系統及網路的資料中心組成。 對於使用 ZRS 的儲存體的寫入要求會同步發生。 只有在將資料寫入三個可用區域的所有複本之後，寫入作業才會成功傳回。

加密

使用 Azure 儲存體服務加密 (SSE) 將儲存在彈性 SAN 中的所有資料進行待用加密。 儲存體服務加密的運作方式與 Windows 上的 BitLocker 相似：資料會在檔案系統層級下加密。 SSE 可保護您的資料安全，並協助您符合組織安全性和合規性承諾。 儲存在彈性 SAN 中的資料會使用 Microsoft 代控金鑰進行加密。 使用 Microsoft 管理的金鑰時，Microsoft 會保存金鑰來加密/解密資料，並負責定期輪替。

Azure 彈性 SAN 中的資料已使用 256 位元的 AES 加密以透明的方式進行加密和解密，這是可用的最強區塊編碼器之一，並符合 FIPS 140-2 規範。 所有彈性 SAN 都已啟用加密，無法予以停用。 預設會保護您的資料，因此無須修改您的程式碼或應用程式，即可利用儲存體服務加密。 沒有額外的 SSE 成本。

如需有關基礎 SSE 的加密模組詳細資訊，請參閱加密 API：下一代。

遷移

目前有兩個選項可供您將資料移轉至 Azure 彈性 SAN。 這兩個路徑都需要事先部署和設定彈性 SAN，然後透過移轉流程建立磁碟區。

• Cirrus 資料可讓您從外部位置 (例如內部部署 SAN) 進行移轉。
• 受控磁碟快照集 (預覽) 可讓您從受控磁碟移轉至彈性 SAN 磁碟區。

iSCSI 支援

彈性 SAN 支援網際網路小型電腦系統介面 (iSCSI) 通訊協定。 目前支援下列 iSCSI 命令：

• TEST UNIT READY
• REQUEST SENSE
• INQUIRY
• REPORT LUNS
• MODE SENSE
• READ CAPACITY (10)
• READ CAPACITY (16)
• READ (6)
• READ (10)
• READ (16)
• WRITE (6)
• WRITE (10)
• WRITE (16)
• WRITE VERIFY (10)
• WRITE VERIFY (16)
• VERIFY (10)
• VERIFY (16)
• SYNCHRONIZE CACHE (10)
• SYNCHRONIZE CACHE (16)
• RESERVE
• RELEASE
• PERSISTENT RESERVE IN
• PERSISTENT RESERVE OUT

目前不支援下列 iSCSI 功能：

• CHAP 授權
• 啟動器註冊
• iSCSI 錯誤復原層級 1 和 2
• ESXi iSCSI 流量控制
• 每個 iSCSI 目標一個以上的 LUN

下一步

• 彈性 SAN 的網路選項
• 部署彈性 SAN

如需透過幾個範例情節介紹一般規劃和部署的影片，請觀看開始使用 Azure 彈性 SAN。