共用方式為

Azure 受控磁碟簡介

  • 發行項

適用於: ✔️ Linux VM ✔️ Windows VM ✔️ 彈性擴展集 ✔️ 統一擴展集

Azure 受控磁碟是由 Azure 管理並與 Azure 虛擬機器搭配使用的區塊層級儲存體磁碟區。 受控磁碟就像是內部部署伺服器中的實體磁碟,但已虛擬化。 使用受控磁碟時,您只需要指定磁碟大小、磁碟類型,以及物件磁碟。 佈建磁碟之後,Azure 就會處理其餘事項。

可用的受控磁碟型別為 Ultra 磁碟、進階固態硬碟 (SSD)、標準固態硬碟和標準硬碟 (HDD)。 如需每個磁碟類型的相關資訊,請參閱 Azure 受控磁碟類型

替代方法是使用 Azure Elastic SAN 作為虛擬機器 (VM) 的儲存體。 使用彈性 SAN,您可將所有工作負載的儲存體合併到單一儲存體後端。 如果您有許多大規模、需要大量 I/O 的工作負載和最上層資料庫,這個選擇可能更具成本效益。 若要深入了解,請參閱什麼是 Azure 彈性 SAN?

受控磁碟的好處

讓我們探索使用受控磁碟獲得的某些優點。

高持久性和可用性

受控磁碟的設計旨在確保 99.999% 可用性。 受控磁碟藉由提供資料的三個複本來達成此可用性。 如果一個或甚至兩個複本遇到問題,其餘複本有助於確保資料的持續性,以及遇到失敗時的高容錯力。

此結構讓 Azure 針對以基礎結構即服務 (IaaS) 磁碟穩定地展現高持久性,提供 0% 年度失敗率。 本地備援儲存體 (LRS) 磁碟在一年內提供至少 99.999999999% (11 個 9) 的持久性。 區域備援儲存體 (ZRS) 磁碟在一年內提供至少 99.9999999999% (12 個 9) 的持久性。

簡單且可調整的 VM 部署

使用受控磁碟,您可在每個區域的訂用帳戶中建立最多 50,000 個同類型 VM 磁碟。 然後,您可以在單一訂用帳戶中建立數千個 VM。

受控磁碟可增加虛擬機器擴展集的可擴縮性。 您可使用 Azure Marketplace 映像或 Azure Compute Gallery 映像搭配受控磁碟,在虛擬機器擴展集中建立最多 1,000 個 VM。

整合可用性設定組

受控磁碟會與可用性設定組整合,協助確保可用性設定組中的虛擬機器磁碟彼此充分隔離,以避免出現單一失敗點。

磁碟會自動放置在不同的儲存體縮放單位 (戳記)。 如果因為硬體或軟體失敗造成戳記失敗,則只有磁碟在這些戳記上的 VM 執行個體才會失敗。

例如,假設您的應用程式在五個 VM 上執行,且這些 VM 位於可用性設定組中。 這些 VM 的磁碟不會全部儲存在相同的戳記中。 因此,如果一個戳記關閉,應用程式的其他執行個體會繼續執行。

與可用性區域整合

受控磁碟支援可用性區域,這有助於保護您的應用程式免於遭遇資料中心失敗。

可用性區域是 Azure 地區內獨特的實體位置。 每個區域皆由一或多個配備獨立電力、冷卻系統及網路的資料中心所組成。 若要確保復原能力,在所有已啟用的區域中都至少要有三個個別的區域。

如需可用性區域的 VM 執行時間服務等級協定 (SLA) 相關資訊,請參閱 Azure SLA 的頁面

Azure 備份支援

為了防止發生區域災難,可使用 Azure 備份透過時間型備份和備份保留原則來建立備份作業。 然後,您可隨意執行 VM 或受控磁碟的還原。

目前 Azure 備份支援的磁碟大小上限為 32 TiB。 深入了解 Azure VM 備份支援。

Azure 磁碟備份

Azure 備份提供 Azure 磁碟備份做為原生的雲端式備份解決方案,協助保護受控磁碟中的資料。 只要幾個步驟,您就可以使用此解決方案來設定受控磁碟的保護。

Azure 磁碟備份提供受控磁碟的快照集生命週期管理。 它會使用備份原則,將快照集的定期建立自動化,並將快照集持續保留設定的時間。 如需詳細資訊,請參閱 Azure 磁碟備份概觀

細微的存取控制

您可以使用 Azure 角色型存取控制 (Azure RBAC) 將受控磁碟的特定權限指派給一個或多個使用者。

受控磁碟公開各種不同的作業,包括讀取、寫入 (建立/更新) 和刪除,以及擷取磁碟的共用存取簽章 (SAS) URI。 您可以授權某人只能存取執行工作所需的作業。

例如,如果您不想讓某人將受控磁碟複製到儲存體帳戶,請勿授權存取該受控磁碟的匯出動作。 同樣地,如果您不想讓某人使用 SAS URI 來複製受控磁碟,請勿授與有關受控磁碟的這種權限。

上傳 VHD 的能力

您可以使用直接上傳,將 VHD 轉送至 Azure 受控磁碟。 之前,您必須遵循程序,其中包含將您的資料暫存在儲存體帳戶中。 現在,步驟比較少。 更輕鬆地將內部部署 VM 上傳至 Azure,並將 VM 上傳至大型受控磁碟。 備份和還原程序也已簡化。

您可將資料直接上傳至受控磁碟,而不需將它們連結至 VM,藉此降低成本。 您可使用直接上傳來上傳大小高達 32 TiB 的 VHD。

若要了解如何將您的 VHD 轉送至 Azure,請參閱 Azure CLIAzure PowerShell 文章。

安全性

您可使用對受控磁碟的 Azure Private Link 支援,匯入或匯出網路內部的受控磁碟。 使用 Private Link,您可以針對未連結的受控磁碟和快照集產生有時限的 SAS URI。 然後,您可以使用該 SAS URI 將資料匯出至其他區域,以進行區域擴充、災害復原和鑑識分析。 您也可以使用 SAS URI,直接將 VHD 從內部部署環境上傳至空白磁碟。

Private Link 可協助您限制受控磁碟的匯出和匯入,使其只發生在 Azure 虛擬網路內。 使用 Private Link 有助於確保您的資料只會在安全的 Microsoft 骨幹網路內移動。

若要了解如何啟用 Private Link 以便匯入或匯出受控磁碟,請參閱 Azure CLIAzure 入口網站文章。

加密

受控磁碟提供兩種不同的加密方式。 第一個是儲存體服務執行的伺服器端加密。 第二種是 Azure 磁碟加密,您可以在 VM 的作業系統和資料磁碟上啟用它。

伺服器端加密

伺服器端加密提供待用加密並協助保護資料安全,以符合組織的安全性與合規性承諾。 在所有受控磁碟可供使用的區域中,所有受控磁碟、快照集和映像依預設都會啟用伺服器端加密。

除非您在主機上啟用加密,否則伺服器端加密不會加密暫存磁碟。 如需詳細資訊,請參閱本文稍後的暫存磁碟一節。

您有下列金鑰管理選項:

  • 平台管理的金鑰:Azure 會為您管理金鑰。
  • 客戶自控金鑰:您自己管理金鑰。

如需詳細資訊,請參閱 Azure 磁碟儲存體的伺服器端加密

Azure 磁碟加密

您可使用 Azure 磁碟加密來加密 IaaS 虛擬機器所使用的作業系統和資料磁碟。 此加密包含受控磁碟。

在 Windows VM 上,磁碟機是透過業界標準的 BitLocker 加密技術來加密。 在 Linux VM 上,磁碟會透過 DM-Crypt 技術加密。 加密程序會與 Azure Key Vault 整合,以便控制和管理磁碟加密金鑰。 如需詳細資訊,請參閱適用於 Linux VM 的 Azure 磁碟加密適用於 Windows VM 的 Azure 磁碟加密

磁碟角色

Azure 中有三個主要磁碟角色:作業系統磁碟、資料磁碟和暫存磁碟。 這些角色對應到與虛擬機器連結的磁碟。

說明作用中磁碟角色的圖表。

OS 磁碟

每個虛擬機器都有一個連結的作業系統磁碟。 此磁碟有預先安裝的作業系統,在您建立 VM 時即已選取。 此磁碟包含開機磁碟區。

一般而言,您應該只將作業系統資訊儲存在作業系統磁碟上。 您應該將所有應用程式和資料儲存在資料磁碟上。 但是,如果成本是個問題,您可使用作業系統磁碟,而不是建立資料磁碟。

作業系統磁碟有 4,095 GiB 的容量上限。 不過,許多作業系統預設會分割主開機記錄 (MBR)。 MBR 將可用大小限制為 2 TiB。 如果需要超過 2 TiB,請建立和連結資料磁碟,並作為資料儲存體。 如果需要將資料儲存在作業系統磁碟上,而且需要更多空間,請轉換為 GUID 磁碟分割表格 (GPT)。 若要了解 Windows 部署上 MBR 和 GPT 之間的差異,請參閱 Windows 和 GPT 常見問題集

在 Azure Windows VM 上,磁碟機 C 是您的 OS 磁碟而且是永續性儲存體,除非您使用暫時 OS 磁碟

資料磁碟

資料磁碟是連接至虛擬機器的受控磁碟,用來儲存應用程式資料或其他您需要保留的資料。 資料磁碟註冊為 SCSI 磁碟機,並以您選擇的字母標示。 虛擬機器的大小會決定您可以連接之磁碟的數量,以及您可以用來裝載磁碟的儲存體類型。

一般而言,您應該使用資料磁碟來儲存應用程式和資料,而不是將它們儲存在 OS 磁碟上。 相較於使用 OS 磁碟,使用資料磁碟來儲存應用程式和資料可提供下列優點:

  • 改善備份和災害復原
  • 更具彈性和可擴縮性
  • 效能隔離
  • 更容易維護
  • 改善安全性和存取控制

如需這些優點的詳細資訊,請參閱為何應該使用資料磁碟來儲存應用程式和資料,而不是作業系統磁碟?

暫存磁碟

大部分 VM 都包含暫存磁碟,不是受控磁碟。 暫存磁碟可為應用程式和程序提供短期儲存。 它只能用於儲存分頁檔案、交換檔案或 SQL Server tempdb 檔案等資料。

當您重新佈署 VM 或停止 VM 時,暫存磁碟上的資料可能會在維護事件期間遺失。 VM 成功完成標準重新啟動期間會保留暫存磁碟上的資料。 關於無暫存磁碟的 VM,如需詳細資訊,請參閱無本機暫存磁碟的 Azure VM 大小

在 Azure Linux VM 上,暫存磁碟通常是 /dev/sdb。 在 Windows VM 上,暫存磁碟預設為磁碟機 D。 暫存磁碟不會加密,除非:

  • 針對伺服器端加密,您可在主機啟用加密。
  • 針對 Azure 磁碟加密,您可以在 Windows 上將 VolumeType 參數設定為 All,或在 Linux 上設定為 EncryptFormatAll

受控磁碟快照集

受控磁碟快照集是受控磁碟的絕對一致完整唯讀複本,預設會儲存為標準受控磁碟。 快照集可讓您在任何時間點備份受控磁碟。 這些快照集會與來源磁碟獨立存在,您只能用於建立新的受控磁碟。

快照集會根據使用的大小來計費。 例如,如果建立佈建容量為 64 GiB 的受控磁碟快照集,而實際使用資料大小為 10 GiB,則只會對已使用的 10 GiB 資料大小收取快照集費用。 您可藉由檢查 Azure 使用量報表來查看已使用的快照大小。 例如,如果快照集的已使用資料大小為 10 GiB,則每日使用量報表會顯示已使用數量為 10 GiB/(31 天) = 0.3226。

若要深入了解如何建立受控磁碟的快照集,請參閱建立虛擬硬碟的快照集一文。

影像

受控磁碟支援建立受管理的自訂映像。 您可以從儲存體帳戶中的自訂 VHD 或直接從一般化 (透過 Sysprep) 虛擬機器建立映像。 此映像包含與虛擬機器相關聯的所有受控磁碟,包括作業系統和資料磁碟。 受控自訂映像可讓您建立數百部 VM,而不需要複製或管理任何儲存體帳戶。

如需建立映像的資訊,請參閱在 Azure 中建立一般化 VM 的舊版受控映像

映像與快照集的比較

請務必了解映像和快照集之間的差異。 受控磁碟可讓您為已解除配置的一般化虛擬機器建立映像。 此映像包含所有附加至虛擬機器的磁碟。 您可使用此映像來建立 VM。

快照集是某個時間點的磁碟複本。 只適用於一個磁碟。 如果您的虛擬機器有一個磁碟 (作業系統磁碟),您可以建立它的快照集或映像,然後從快照集或映像建立虛擬機器。

快照集只會感知到本身包含的磁碟,對其他任何磁碟一概不知。 在需要協調多個磁碟的情況下 (例如等量分割) 使用快照集會出現問題。 快照集必須能夠彼此協調,但目前不支援。

磁碟配置和效能

下圖描述磁碟的頻寬和每秒 I/O 作業(IOPS) 的即時配置,以及 I/O 可採用的三個路徑。

三層佈建系統的圖表,其中顯示頻寬和 IOPS 配置。

第一個 I/O 路徑是未快取的受控磁碟路徑。 如果您使用受控磁碟,並將主機快取設定為 none,I/O 作業會使用此路徑。 使用此路徑的 I/O 作業會依序根據 IOPS 和輸送量的磁碟層級佈建、VM 網路層級佈建來執行。

第二個 I/O 路徑是快取的受控磁碟路徑。 快取的受控磁碟 I/O 會使用接近 VM 的 SSD。 此 SSD 已佈建自己的 IOPS 和輸送量,其會顯示為圖表中的「SSD 層級佈建」。

當快取的受控磁碟起始讀取時,要求會先檢查資料是否在伺服器 SSD 中。 如果資料不存在,這會建立快取的遺漏。 接著,I/O 會依序根據 IOPS 和輸送量的 SSD 層級佈建、磁碟層級佈建、VM 網路層級佈建來執行。

當伺服器 SSD 在伺服器 SSD 上存在的快取 I/O 上起始讀取時,它會建立快取命中。 接著,I/O 會根據 SSD 層級佈建執行。 快取的受控磁碟起始的寫入一律會遵循快取遺漏的路徑。 其需要經歷 SSD 層級、磁碟層級和 VM 網路層級佈建。

第三個路徑用於本機/暫存磁碟。 僅可在支援「本機/暫存」磁碟的 VM 上使用。 使用此路徑的 I/O 作業會根據 IOPS 和輸送量的 SSD 層級佈建來執行。

下圖顯示這些限制的範例。 因為 SSD 和網路層級的限制,系統會使 Standard_D2s_v3 VM 無法達到 P30 磁碟的 5,000 IOPS 潛能 (不論是否快取)。

具有 Standard_D2s_v3 範例配置之三個層級佈建系統的圖表。

Azure 會針對磁碟流量使用已排定優先順序的網路通道。 磁碟流量的優先順序高於低優先順序的網路流量。 此優先順序可協助磁碟在網路爭用的情況下維持其預期的效能。

同樣地,Azure 儲存體會使用自動負載平衡來處理背景中的資源爭用和其他問題。 當您建立磁碟時,Azure 儲存體會配置所需的資源,並套用資源的主動式和回應式平衡來處理流量層級。 此行為可進一步確保磁碟可維持其預期的 IOPS 和輸送量目標。 您可以視需要使用 VM 層級和磁碟層級計量來追蹤效能和設定警示。

若要了解最佳化 VM 和磁碟組態的最佳做法,以便達到所需的效能,請參閱高效能設計

相關內容