Azure 受控磁碟簡介
適用於: ✔️ Linux VM ✔️ Windows VM ✔️ 彈性擴展集 ✔️ 統一擴展集
Azure 受控磁碟是由 Azure 管理並與 Azure 虛擬機器搭配使用的區塊層級儲存體磁碟區。 受控磁碟類似內部部署伺服器中的實體磁碟,但是為虛擬化。 使用受控磁碟時,您只需要指定磁碟大小、磁碟類型,以及物件磁碟。 一旦您佈建磁碟後,Azure 會處理剩餘項目。
這些可用的磁碟類型為 Ultra 磁碟、進階固態硬碟 (SSD)、標準 SSD 和標準硬碟 (HDD)。 如需每種個別磁碟類型的相關資訊,請參閱選取適用於 IaaS VM 的磁碟類型。
或者,您可以使用 Azure 彈性 SAN 做為 VM 的儲存體。 如果您有大量的大規模 IO 密集工作負載和最上層資料庫,彈性 SAN 可讓您將所有工作負載的儲存體合併為單一儲存體後端,而且可以更具成本效益。 若要深入了解,請參閱什麼是 Azure 彈性 SAN?
受控磁碟的好處
讓我們來複習一下使用受控磁碟時的一些好處。
高耐久性及可用性
受控磁碟的設計旨在確保 99.999% 可用性。 受控磁碟透過提供您三個資料的複本來實現此一目標,從而確保高持久性。 如果一或甚至兩個複本出現問題,其餘的複本可協助確保您資料的持續性以及對錯誤的高容錯度。 此結構讓 Azure 針對以基礎結構即服務 (IaaS) 磁碟穩定地展現企業級持久性,提供領先界業的年度零失敗率。 本地備援儲存體 (LRS) 磁碟在指定的一年中提供持久性至少達 99.999999999% (11 個 9),區域備援儲存體 (ZRS) 磁碟在指定的一年中提供持久性至少達 99.9999999999% (12 個 9)。
簡單且可調整的 VM 部署
您可以使用受控磁碟在每個區域的一個訂用帳戶中建立最多 50,000 個同類型虛擬機器磁碟,這可讓您在單一訂用帳戶中建立數千部虛擬機器。 這項功能也可讓您使用 Marketplace 映像或 Azure Compute Gallery 映像,在一個虛擬機器擴展集內建立最多 1,000 個虛擬機器,進一步提高虛擬機器擴展集的可擴縮性。
整合可用性設定組
受控磁碟會與可用性設定組整合,以確定可用性設定組中的虛擬機器磁碟彼此充分隔離,以避免出現單一失敗點。 磁碟會自動放置在不同的儲存體縮放單位 (戳記)。 如果因為硬體或軟體失敗造成戳記失敗,則只有磁碟在這些戳記上的 VM 執行個體才會失敗。 例如,假設您的應用程式在五個 VM 上執行,且這些 VM 位於可用性設定組中。 這些磁碟的 VM 不會全部以相同的戳記儲存,因此,如果有一個戳記失效,應用程式的其他執行個體會繼續執行。
整合可用性設定組
受控磁碟支援可用性區域,這是高可用性供應項目,可保護您的應用程式不受資料中心故障影響。 「可用性區域」是 Azure 地區內獨特的實體位置。 每個區域都是由一或多個資料中心所組成,配備了獨立的電力、冷卻系統及網路系統。 若要確保復原能力,在所有已啟用的區域中都至少要有三個個別的區域。 透過可用性區域,Azure 可提供業界最佳的 99.99% VM 執行時間 SLA。
Azure 備份支援
為了防止發生區域災難,可使用 Azure 備份透過時間型備份和備份保留原則,來建立備份作業。 這可讓您隨意執行 VM 或受控磁碟的還原。 目前 Azure 備份支援的磁碟大小上限為 32 TiB。 深入了解 Azure VM 備份支援。
Azure 磁碟備份
Azure 備份提供 Azure 磁碟備份做為原生的雲端式備份解決方案,保護受控磁碟中的資料。 這是一種簡單、安全且符合成本效益的解決方案,可讓您透過幾個步驟設定受控磁碟的保護, Azure 磁碟備份提供了一種可為受控磁碟提供快照集生命週期管理的現成解決方案,方法是定期自動建立快照集,並使用備份原則在設定的持續時間內保留該快照集。 如需 Azure 磁碟備份的詳細資訊,請參閱 Azure 磁碟備份概觀。
細微的存取控制
您可以使用 Azure 角色型存取控制 (Azure RBAC) 將受控磁碟的特定權限指派給一個或多個使用者。 受控磁碟公開各種不同的作業,包括讀取、寫入 (建立/更新)、刪除和擷取磁碟的共用存取簽章 (SAS) URI。 您可以授權某人只能存取他份內工作所需的作業。 例如,如果您不想讓某人將受控磁碟複製到儲存體帳戶,您可以選擇不要授權存取該受控磁碟的匯出動作。 同樣地,如果您不想讓某人使用 SAS URI 來複製受控磁碟,您可以選擇不要授與有關受控磁碟的這種權限。
上傳您的 vhd
直接上傳可讓您輕鬆地將 vhd 轉送至 Azure 受控磁碟。 之前,您必須遵循涉入更深的程序,其中包含將您的資料暫存在儲存體帳戶中。 現在,步驟比較少。 您可以更輕鬆地將內部部署 VM 上傳至 Azure、上傳至大型受控磁碟,以及簡化備份和還原程序。 它也可讓您直接將資料上傳至受控磁碟,而不需將其附加至 VM,藉此降低成本。 您可使用直接上傳來上傳大小高達 32 TiB 的 vhd。
若要了解如何將您的 vhd 轉送至 Azure,請參閱 CLI 或 PowerShell文章。
安全性
私人連結
對受控磁碟的 Private Link 支援可用來匯入或匯出網路內部的受控磁碟。 Private Link 可讓您為未連結的受控磁碟和快照集產生時間繫結的共用存取簽章 (SAS) URI,以供您用來將資料匯出至其他區域進行區域擴充、災害復原和鑑識分析。 您也可以使用 SAS URI,直接將 VHD 從內部部署環境上傳至空白磁碟。 現在您可以利用 Private Link 來限制受控磁碟的匯出和匯入,使其只能在您的 Azure 虛擬網路內進行。 Private Link 可讓您確保資料只會在安全的 Microsoft 骨幹網路內移動。
若要了解如何啟用 Private Link 以便匯入或匯出受控磁碟,請參閱 CLI 或入口網站文章。
加密
受控磁片提供兩種不同的加密。 第一種是「伺服器端加密」(SSE),這會由儲存體服務執行。 第二種是 Azure 磁碟加密 (ADE),您可以在您 VM 的作業系統和資料磁碟上啟用它。
伺服器端加密
伺服器端加密提供待用加密並保護資料安全,以符合組織的安全性與合規性承諾。 在所有受控磁碟可供使用的區域中,所有受控磁碟、快照集和映像依預設都會啟用伺服器端加密。 (另一方面,暫存磁碟不會由伺服器端加密來加密,除非您在主機上啟用加密;請參閱磁碟角色:暫存磁碟)。
您可以允許 Azure 為您管理金鑰 (這些屬於平台管理的金鑰),您也可以自行管理金鑰 (這些屬於客戶管理的金鑰)。 如需詳細資訊,請造訪 Azure 磁碟儲存體的伺服器端加密一文。
Azure 磁碟加密
Azure 磁碟加密可讓您加密由 IaaS 虛擬機器所使用的作業系統和資料磁碟。 此加密包含受控磁碟。 對於 Windows,磁碟機是使用業界標準的 BitLocker 加密技術來加密。 對於 Linux,磁碟是使用 DM-Crypt 技術來加密。 加密程序會與 Azure Key Vault 整合,可讓您控制和管理磁碟加密金鑰。 如需詳細資訊,請參閱適用於 Linux VM 的 Azure 磁碟加密或適用於 Windows VM 的 Azure 磁碟加密。
磁碟角色
Azure 中有三個主要磁碟角色:OS 磁碟、數據磁碟和暫存磁碟。 這些角色對應到與虛擬機器連結的磁碟。
作業系統磁碟
每個虛擬機器都有一個連結的作業系統磁碟。 作業系統磁碟有預先安裝作業系統,在建立虛擬機器時即已選取。 此磁碟包含開機磁碟區。 一般而言,您應該只將您的OS資訊儲存在OS磁碟上,並將所有應用程式和資料儲存在資料磁碟上。 不過,如果成本是問題,您可以使用OS磁碟,而不是建立數據磁碟。
此磁碟的最大容量為 4,095 GiB。 不過,許多作業系統預設會分割主開機記錄 (MBR)。 MBR 會將可用大小限制為 2 TiB。 如果需要超過 2 TiB,請建立和連結資料磁碟,並作為資料儲存體。 如果需要將資料儲存在 OS 磁碟上,而且需要更多空間,請轉換為 GUID 磁碟分割表格 (GPT)。 若要了解 Windows 部署上 MBR 和 GPT 之間的差異,請參閱 Windows和 GPT 常見問題集。
資料磁碟
資料磁碟是連接至虛擬機器的受控磁碟,用來儲存應用程式資料或其他您需要保留的資料。 資料磁碟註冊為 SCSI 磁碟機,並以您選擇的字母標示。 虛擬機器的大小會決定您可以連接之磁碟的數量,以及您可以用來裝載磁碟的儲存體類型。
一般而言,您應該使用資料磁碟來儲存應用程式和數據,而不是將它們儲存在OS磁碟上。 使用資料磁碟來儲存應用程式和資料可提供下列優點,而使用 OS 磁碟:
- 改善備份和災害復原
- 更具彈性和延展性
- 效能隔離
- 更容易維護
- 改善安全性和訪問控制
如需這些優點的詳細資訊,請參閱 為何應該使用數據磁碟來儲存應用程式和數據,而不是OS磁碟?。
暫存磁碟
大部分 VM 都包含暫存磁碟,不是受控磁碟。 暫存磁碟為應用程式和程序提供短期儲存空間,僅用於儲存分頁檔、交換檔或 SQL Server tempdb 之類的資料。 當您重新佈署 VM 或停止 VM 時,暫存磁碟上的資料可能會在維護事件期間遺失。 VM 成功完成標準重新開機期間會保留暫存磁碟上的資料。 關於無暫存磁碟的 VM,如需詳細資訊,請參閱無本機暫存磁碟的 Azure VM 大小。
在 Azure Linux VM 上,暫存磁碟通常是 /dev/sdb,而 Windows VM 上的暫存磁碟則預設為 D:。 暫存磁碟不會加密,除非您啟用主機加密 (即伺服器端加密),或透過 Windows 上設定為 [All] 的 VolumeType 或 Linux 上的 EncryptFormatAll 進行加密 (即 Azure 磁碟加密)。
受控磁碟快照集
受控磁碟快照集是受控磁碟的絕對一致完整唯讀複本,預設會儲存為標準受控磁碟。 快照集可讓您在任何時間點備份受控磁碟。 這些快照集可在來源磁碟外獨立存在,還能用來建立新的受控磁碟。
快照集會根據使用的大小來計費。 例如,如果建立佈建容量為 64 GiB 的受控磁碟快照集,而實際使用資料大小為 10 GiB,則只會對已使用的 10 GiB 資料大小收取快照集費用。 您可以藉由檢查 Azure 使用量報表來查看已使用的快照大小。 例如,如果快照集的已使用資料大小為 10 GiB,則每日使用量報表會顯示已使用數量為 10 GiB/(31 天) = 0.3226。
若要深入了解如何建立受控磁碟的快照集,請參閱建立受控磁碟的快照集一文。
影像
受控磁碟也支援建立受管理的自訂映像。 您可以從儲存體帳戶中的自訂 VHD 或直接從一般化 (系統預備的) 虛擬機器建立映像。 此程序會擷取單一映像。 此映像包含與虛擬機器相關聯的所有受控磁碟,包括作業系統和資料磁碟。 這個受控自訂映像可讓您使用自訂映像建立數百部虛擬機器,而不需要複製或管理任何儲存體帳戶。
如需建立映像的詳細資訊,請參閱下列文章︰
映像與快照集的比較
請務必了解映像和快照集之間的差異。 受控磁碟可讓您為已解除配置的一般化虛擬機器建立映像。 此映像包含所有附加至虛擬機器的磁碟。 您可以使用此映像建立虛擬機器,它會包含所有磁碟。
快照集是磁碟在快照時間點的複本。 只適用於一個磁碟。 如果您的虛擬機器有一個磁碟 (作業系統磁碟),您可以建立它的快照集或映像,然後從快照集或映像建立虛擬機器。
快照集只會感知到本身包含的磁碟,對其他任何磁碟一概不知。 若要在需要協調多個磁碟的情況下 (例如等量分割) 使用,這會出現問題。 快照集必須能夠彼此協調,但目前不支援。
磁碟配置和效能
下圖描繪即時配置磁碟的頻寬和 IOPS,有三個不同路徑可供 IO 採用:
第一個 IO 路徑是未快取的受控磁碟路徑。 如果您使用受控磁碟並將主機快取設定為無,則會採用此路徑。 使用此路徑的 IO 依序根據磁碟層級佈建、VM 網路層級佈建的 IOPs 和輸送量來執行。
第二個 IO 路徑是快取的受控磁碟路徑。 快取的受控磁碟 IO 使用接近 VM (已佈建自己的 IOPs 和輸送量) 的 SSD ,在圖表中標示為 SSD 層級佈建。 當快取的受控磁碟起始讀取時,要求會先檢查資料是否在伺服器 SSD 中。 如果資料不存在,則會建立快取遺漏,然後 IO 依序根據 SSD 層級佈建、磁碟層級佈建及 VM 網路層級佈建的 IOPs 和輸送量來執行。 伺服器 SSD 對快取的 IO 起始伺服器 SSD 上存在的讀取時,將會建立快取命中,然後 IO 根據 SSD 層級佈建執行。 快取的受控磁碟所起始的寫入一律遵循快取遺漏的路徑,而且必須經過 SSD 層級、磁片層級和 VM 網路層級佈建。
最後,第三個路徑用於本機/暫存磁碟。 這只在支援本機/暫存磁碟的 VM 上才有。 使用此路徑的 IO 根據 SSD 層級佈建的 IOPs 和輸送量來執行。
在這些限制的範例中,Standard_D2s_v3 VM 因為 SSD 和網路層級的限制而無法達到 P30 磁碟的 5,000 IOPS 潛能 (不論是否快取):
Azure 會針對磁碟流量使用依優先順序的網路通道,其優先順序高於其他低優先順序的網路流量。 這可協助磁碟在網路爭用的情況下維持其預期的效能。 同樣地,Azure 儲存體會使用自動負載平衡來處理背景中的資源爭用和其他問題。 當您建立磁碟時,Azure 儲存體會配置所需的資源,並套用資源的主動式和回應式平衡來處理流量層級。 這可進一步確保磁碟可維持其預期的 IOPS 和輸送量目標。 您可以視需要使用 VM 層級和磁碟層級計量來追蹤效能和設定警示。
請參閱我們的高效能設計一文,以了解最佳化 VM 和磁碟組態的最佳作法,以便您達到所需的效能
下一步
如果想看受控磁碟的詳細解說影片,請觀賞:使用受控磁碟提升 Azure VM 復原能力。
請參閱磁碟類型的相關文章,深入了解 Azure 提供的各種磁碟類型,找出何種類型最符合您的需求,以及了解其效能目標。