Az Azure Well-Architected Framework perspektívája az Azure Filesban
Az Azure Files egy Microsoft-fájltárolási megoldás a felhő számára. Az Azure Files kiszolgálói üzenetblokkokat (SMB) és hálózati fájlrendszerbeli (NFS) fájlmegosztásokat biztosít, amelyeket csatlakoztathat a felhőben, a helyszínen vagy mindkettőben található ügyfelekhez. Az Azure File Sync használatával is gyorsítótárazhatja az SMB-fájlmegosztásokat egy helyi Windows-kiszolgálón, és a réteg ritkán használt fájlokat a felhőbe.
Ez a cikk feltételezi, hogy tervezőként áttekintette a tárolási lehetőségeket , és az Azure Filest választotta tárolási szolgáltatásként, amelyen futtathatja a számítási feladatokat. A cikk útmutatása olyan architekturális javaslatokat tartalmaz, amelyek az Azure Well-Architected Framework alappilléreihez vannak megfeleltetve.
Fontos
Útmutató használata
Minden szakasz rendelkezik egy tervezési ellenőrzőlistával , amely a technológiai hatókörre honosított tervezési stratégiákkal együtt mutatja be az architektúra aggályos területeit.
Ezek közé tartoznak a technológiai képességekre vonatkozó javaslatok is, amelyek segíthetnek ezeknek a stratégiáknak a megvalósításában. A javaslatok nem jelölik az Azure Fileshoz és függőségeihez elérhető összes konfiguráció teljes listáját. Ehelyett felsorolják a tervezési szempontokhoz hozzárendelt legfontosabb javaslatokat. A javaslatok segítségével elkészítheti a megvalósíthatósági igazolást, vagy optimalizálhatja meglévő környezeteit.
Megbízhatóság
A megbízhatósági pillér célja a folyamatos működés biztosítása a megfelelő rugalmasság kialakításával és a hibákból való gyors helyreállítás lehetőségével.
A megbízhatósági tervezési alapelvek magas szintű tervezési stratégiát biztosítanak az egyes összetevőkre, számítási feladatokra, rendszerfolyamatokra és a rendszer egészére vonatkozóan.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a megbízhatósági terv felülvizsgálati ellenőrzőlistája alapján.
Hibamód-elemzés használata: Csökkentse a meghibásodási pontokat olyan belső függőségek figyelembevételével, mint például a virtuális hálózatok, az Azure Key Vault vagy az Azure Content Delivery Network vagy az Azure Front Door végpontjainak rendelkezésre állása. Hibák akkor fordulhatnak elő, ha hitelesítő adatokra van szüksége az Azure Files eléréséhez, és a hitelesítő adatok hiányoznak a Key Vaultból. Vagy ha a számítási feladatok egy hiányzó tartalomkézbesítési hálózaton alapuló végpontot használnak, akkor hiba fordulhat elő. Ezekben az esetekben előfordulhat, hogy a számítási feladatokat úgy kell konfigurálnia, hogy egy alternatív végponthoz csatlakozzanak. A hibamód elemzésével kapcsolatos általános információkért tekintse meg a hibamód-elemzés elvégzésére vonatkozó javaslatokat.
Megbízhatósági és helyreállítási célok meghatározása: Tekintse át az Azure szolgáltatásiszint-szerződéseket (SLA-kat). A tárfiók szolgáltatásiszint-célkitűzésének (SLO) levezetése. A választott redundanciakonfiguráció például hatással lehet az SLO-ra. Vegye figyelembe a regionális kimaradás hatását, az adatvesztés lehetőségét, valamint a kimaradás utáni hozzáférés visszaállításához szükséges időt. Vegye figyelembe a hibamód-elemzés részeként azonosított belső függőségek rendelkezésre állását is.
Adatredundancia konfigurálása: A maximális tartósság érdekében válasszon egy konfigurációt, amely adatokat másol a rendelkezésre állási zónákba vagy a globális régiókba. A maximális rendelkezésre állás érdekében válasszon egy konfigurációt, amely lehetővé teszi az ügyfelek számára az adatok olvasását a másodlagos régióból az elsődleges régió kimaradása során.
Alkalmazások tervezése: Úgy tervezheti meg az alkalmazásokat , hogy zökkenőmentesen elmozduljanak, hogy egy másodlagos régióból olvassák be az adatokat, ha az elsődleges régió nem érhető el. Ez a kialakítási szempont csak a georedundáns tárolás (GRS) és a geozónaredundáns tárolás (GZRS) konfigurációira vonatkozik. Az alkalmazásokat úgy tervezheti meg, hogy megfelelően kezeljék a kimaradásokat, ami csökkenti az ügyfelek állásidejét.
Fedezze fel a helyreállítási célok teljesítését segítő funkciókat: Helyreállíthatóvá teheti a fájlokat, hogy helyreállíthassa a sérült, szerkesztett vagy törölt fájlokat.
Helyreállítási terv létrehozása: Fontolja meg az adatvédelmi funkciókat, a biztonsági mentési és visszaállítási műveleteket vagy a feladatátvételi eljárásokat. Készüljön fel a lehetséges adatvesztésre és adatkonzisztenciákra , valamint a feladatátvétel idejére és költségeire. További információ: Javaslatok vészhelyreállítási stratégia kialakításához.
Lehetséges rendelkezésre állási problémák monitorozása: Iratkozzon fel az Azure Service Health irányítópultjára a lehetséges rendelkezésre állási problémák monitorozásához. A riasztások vizsgálatához használjon tárolási metrikákat és diagnosztikai naplókat az Azure Monitorban.
Ajánlások
| Ajánlás | Juttatás |
|---|---|
| Konfigurálja a tárfiókot a redundancia érdekében. A maximális rendelkezésre állás és tartósság érdekében konfigurálja fiókját zónaredundáns tárolással (ZRS), GRS-vel vagy GZRS-sel. A korlátozott Azure-régiók támogatják a ZRS-t standard és prémium szintű fájlmegosztásokhoz. Csak a standard SMB-fiókok támogatják a GRS-t és a GZRS-t. A prémium SMB-megosztások és NFS-megosztások nem támogatják a GRS-t és a GZRS-t. Az Azure Files nem támogatja az olvasási hozzáférésű georedundáns tárolást (RA-GRS) vagy az olvasási hozzáférésű georedundáns tárolást (RA-GZRS). Ha egy tárfiókot RA-GRS vagy RA-GZRS használatára konfigurál, a fájlmegosztások GRS vagy GZRS néven vannak konfigurálva és számlázva. |
A redundancia megvédi az adatokat a váratlan hibáktól. A ZRS és a GZRS konfigurációs beállításai replikálódnak a különböző rendelkezésre állási zónákban, és lehetővé teszik, hogy az alkalmazások továbbra is olvashassák az adatokat a kimaradás során. További információ: Tartósság és rendelkezésre állás üzemkimaradási forgatókönyv , valamint tartóssági és rendelkezésre állási paraméterek alapján. |
| Mielőtt feladatátvételt vagy feladat-visszavételt kezdeményez, ellenőrizze az utolsó szinkronizálási idő tulajdonság értékét az adatvesztés lehetőségének kiértékeléséhez. Ez a javaslat csak a GRS- és GZRS-konfigurációkra vonatkozik. | Ez a tulajdonság segít megbecsülni, hogy mennyi adat veszhet el, ha feladatátvételt kezdeményez. Az utolsó szinkronizálási idő előtt írt összes adat és metaadat elérhető a másodlagos régióban, de előfordulhat, hogy az utolsó szinkronizálási idő után írt adatok és metaadatok elvesznek, mert az nem a másodlagos régióba van írva. |
| A biztonsági mentési és helyreállítási stratégia részeként engedélyezze a helyreállítható törlést, és használjon pillanatképeket az időponthoz kötött visszaállításhoz. Az Azure Backup használatával biztonsági másolatot készíthet az SMB-fájlmegosztásokról. Az Azure File Sync használatával helyszíni SMB-fájlmegosztásokról is készíthet biztonsági másolatot egy Azure-fájlmegosztásra. Az Azure Backup lehetővé teszi az Azure Files tárolóalapú biztonsági mentésének (előzetes verziójának) készítését is, hogy megvédje adatait a zsarolóvírus-támadásoktól vagy a rosszindulatú szereplő vagy gazember rendszergazdája által okozott adatvesztéstől. Tárolóalapú biztonsági mentés használatával az Azure Backup a Recovery Services-tárolóban másolja és tárolja az adatokat. Ezzel létrehoz egy helyszíni másolatot az adatokról, amelyeket akár 99 évig is megőrizhet. Az Azure Backup a biztonsági mentési szabályzatban meghatározott ütemezésnek és megőrzésnek megfelelően hozza létre és kezeli a helyreállítási pontokat. További információ. |
A helyreállítható törlés fájlmegosztási szinten működik, hogy megvédje az Azure-fájlmegosztásokat a véletlen törlés ellen. Az időponthoz kötött visszaállítás védelmet nyújt a véletlen törléssel vagy sérüléssel szemben, mert visszaállíthatja a fájlmegosztásokat egy korábbi állapotba. További információ: Adatvédelem – áttekintés. |
Biztonság
A biztonsági pillér célja, hogy bizalmassági, integritási és rendelkezésre állási garanciákat biztosítson a számítási feladat számára.
A biztonsági tervezési alapelvek magas szintű tervezési stratégiát biztosítanak ezeknek a céloknak a eléréséhez a fájltároló konfigurációjának műszaki tervezésére alkalmazott megközelítések alkalmazásával.
A biztonsági követelmények és javaslatok attól függően változnak, hogy a számítási feladat az SMB vagy az NFS protokollt használja-e a fájlmegosztások eléréséhez. A következő szakaszok tehát külön tervezési ellenőrzőlistával és javaslatokkal rendelkeznek az SMB- és NFS-fájlmegosztásokhoz.
Ajánlott eljárásként az SMB- és NFS-fájlmegosztásokat külön tárfiókokban kell tartania, mert eltérő biztonsági követelményekkel rendelkeznek. Ezzel a megközelítéssel erős biztonságot és nagy rugalmasságot biztosít a számítási feladatokhoz.
SMB-fájlmegosztások tervezési ellenőrzőlistája
Indítsa el a tervezési stratégiát a Biztonság tervezési felülvizsgálati ellenőrzőlistája alapján. A biztonsági helyzet javítása érdekében azonosíthatja a biztonsági réseket és a vezérlőket. Bővítse ki a stratégiát, hogy szükség szerint további megközelítéseket is tartalmazzon.
Tekintse át az Azure Storage biztonsági alapkonfigurációjának áttekintését: Első lépésként tekintse át a Storage biztonsági alapkonfigurációjának áttekintését.
Fontolja meg a hálózati vezérlők használatát a bejövő és kimenő forgalom korlátozásához: Előfordulhat, hogy bizonyos feltételek mellett kényelmesen teszi közzé tárfiókját a nyilvános interneten, például ha identitásalapú hitelesítéssel biztosít hozzáférést a fájlmegosztásokhoz. Javasoljuk azonban, hogy hálózati vezérlőkkel biztosítsa a felhasználók és alkalmazások minimálisan szükséges hozzáférési szintjét. További információ: A tárfiók hálózati biztonságának megközelítése.
A támadási felület csökkentése: Használjon titkosítást az átvitel során, és megakadályozza a nem biztonságos (HTTP-) kapcsolatokon keresztüli hozzáférést a támadási felület csökkentése érdekében. Az ügyfeleknek a Transport Layer Security (TLS) protokoll legújabb verziójával kell adatokat küldeni és fogadniuk.
A tárfiókkulcsok használatának minimalizálása: Az identitásalapú hitelesítés kiváló biztonságot nyújt a tárfiókkulcsok használatához képest. Egy fájlmegosztás teljes felügyeleti felügyeletéhez azonban tárfiókkulcsot kell használnia, beleértve a fájl tulajdonjogának átvételét is. Csak a szükséges engedélyeket adja meg a biztonsági tagoknak a feladataik elvégzéséhez.
Bizalmas információk védelme: Bizalmas információk, például tárfiókkulcsok és jelszavak védelme. Nem javasoljuk, hogy ezeket az engedélyezési formákat használja, de ha igen, ügyeljen arra, hogy elforgatja, lejárja és biztonságosan tárolja őket.
Fenyegetések észlelése: Engedélyezze a Microsoft Defender for Storage számára, hogy észlelje az Azure-fájlmegosztások SMB- vagy FileREST-protokollokon keresztüli elérésére vagy kihasználására tett potenciálisan káros kísérleteket. Az előfizetés-rendszergazdák e-mail-riasztásokat kapnak a gyanús tevékenységek részleteivel és a fenyegetések kivizsgálására és elhárítására vonatkozó javaslatokkal. A Defender for Storage nem támogatja az Azure-fájlmegosztások víruskereső képességeit. Ha a Defender for Storage-t használja, a tranzakciós terhelésű fájlmegosztások jelentős költségekkel járnak, ezért érdemes lehet kikapcsolni a Defender for Storage használatát bizonyos tárfiókok esetében.
Javaslatok SMB-fájlmegosztásokhoz
| Ajánlás | Juttatás |
|---|---|
| Azure Resource Manager-zárolás alkalmazása a tárfiókra. | Zárolja a fiókot, hogy megakadályozza a tárfiók véletlen vagy rosszindulatú törlését, ami adatvesztést okozhat. |
| Nyissa meg a 445-ös KIMENŐ TCP-portot, vagy állítson be vpn-átjárót vagy Azure ExpressRoute-kapcsolatot az Azure-on kívüli ügyfelek számára a fájlmegosztás eléréséhez. | Az SMB 3.x egy internetbiztos protokoll, de előfordulhat, hogy nem tudja módosítani a szervezeti vagy internetszolgáltatói szabályzatokat. Alternatív lehetőségként használhat VPN-átjárót vagy ExpressRoute-kapcsolatot. |
| Ha megnyitja a 445-ös portot, mindenképpen tiltsa le az SMBv1-et Windows- és Linux-ügyfeleken. Az Azure Files nem támogatja az SMB 1-et, de továbbra is le kell tiltania az ügyfeleken. | Az SMB 1 egy elavult, nem hatékony és nem biztonságos protokoll. Tiltsa le az ügyfeleken a biztonsági helyzet javítása érdekében. |
| Fontolja meg a tárfiók nyilvános hálózati hozzáférésének letiltását. Csak akkor engedélyezze a nyilvános hálózati hozzáférést, ha az Azure-on kívüli SMB-ügyfelek és -szolgáltatások hozzáférést igényelnek a tárfiókhoz. Ha letiltja a nyilvános hálózati hozzáférést, hozzon létre egy privát végpontot a tárfiókhoz. A privát végpontokra vonatkozó standard adatfeldolgozási arányok érvényesek. A privát végpontok nem tiltják le a nyilvános végponttal létesített kapcsolatokat. A korábban leírtaknak megfelelően továbbra is le kell tiltania a nyilvános hálózati hozzáférést. Ha nem igényel statikus IP-címet a fájlmegosztáshoz, és szeretné elkerülni a privát végpontok költségeit, akkor ehelyett korlátozhatja a nyilvános végpontok hozzáférését adott virtuális hálózatokhoz és IP-címekhez. |
A hálózati forgalom a Nyilvános internet helyett a Microsoft gerinchálózatán halad át, ami kiküszöböli a nyilvános internet kockázatának kitettségét. |
| Engedélyezze az adott virtuális hálózatokhoz való hozzáférést korlátozó tűzfalszabályokat. Kezdje a nulla hozzáféréssel, majd módszeresen és növekményesen adja meg az ügyfelek és szolgáltatások számára szükséges minimális hozzáférést. | Minimalizálja a támadók számára a megnyitások létrehozásának kockázatát. |
| Ha lehetséges, használja az identitásalapú hitelesítést az AES-256 Kerberos-jegytitkosítással az SMB Azure-fájlmegosztásokhoz való hozzáférés engedélyezéséhez. | Identitásalapú hitelesítéssel csökkentheti annak lehetőségét, hogy a támadó tárfiókkulcsot használjon a fájlmegosztásokhoz való hozzáféréshez. |
| Ha tárfiókkulcsokat használ, tárolja őket a Key Vaultban, és győződjön meg arról, hogy rendszeresen újragenerálja őket. A tárfiók kulcshozzáférése teljes mértékben letiltható a fájlmegosztáshoz, ha eltávolítja az NTLMv2-t a megosztás SMB biztonsági beállításaiból. Általában azonban nem szabad eltávolítania az NTLMv2-t a megosztás SMB biztonsági beállításaiból, mert a rendszergazdáknak továbbra is használniuk kell a fiókkulcsot bizonyos feladatokhoz. |
A Key Vault használatával futtatókörnyezetben lekérheti a kulcsokat, és nem menti őket az alkalmazással. A Key Vault emellett megkönnyíti a kulcsok megszakítás nélküli elforgatását az alkalmazásokban. A fiókkulcsok rendszeres elforgatásával csökkentheti az adatok rosszindulatú támadásoknak való felfedésének kockázatát. |
| A legtöbb esetben engedélyeznie kell a biztonságos átvitelhez szükséges beállítást az összes tárfiókon az SMB-fájlmegosztások átvitel közbeni titkosításának engedélyezéséhez. Ne engedélyezze ezt a beállítást, ha nagyon régi ügyfeleknek kell engedélyeznie a megosztás elérését. Ha letiltja a biztonságos átvitelt, mindenképpen használjon hálózati vezérlőket a forgalom korlátozásához. |
Ez a beállítás biztosítja, hogy a tárfiókon keresztül érkező összes kérés biztonságos kapcsolatokon (HTTPS) keresztül valósuljon meg. A HTTP-en keresztül küldött kérések sikertelenek lesznek. |
| Konfigurálja a tárfiókot úgy, hogy a TLS 1.2 legyen az adatok küldéséhez és fogadásához szükséges minimális verzió. | A TLS 1.2 biztonságosabb és gyorsabb, mint a TLS 1.0 és 1.1, amely nem támogatja a modern titkosítási algoritmusokat és titkosítási csomagokat. |
| Csak a legújabb támogatott SMB protokollverziót használja (jelenleg 3.1.1.), és csak az AES-256-GCM-et használja az SMB-csatorna titkosításához. Az Azure Files olyan beállításokat tesz elérhetővé, amelyekkel az SMB protokollt válthatja, és kompatibilisebbé vagy biztonságosabbá teheti a szervezet igényeitől függően. Alapértelmezés szerint az összes SMB-verzió engedélyezett. Az SMB 2.1 azonban nem engedélyezett, ha engedélyezi a biztonságos átvitelt , mert az SMB 2.1 nem támogatja az átvitt adatok titkosítását. Ha magas szintű biztonságra korlátozza ezeket a beállításokat, előfordulhat, hogy egyes ügyfelek nem tudnak csatlakozni a fájlmegosztáshoz. |
A Windows 10-ben kiadott SMB 3.1.1 fontos biztonsági és teljesítményfrissítéseket tartalmaz. Az AES-256-GCM biztonságosabb csatornatitkosítást biztosít. |
Az NFS-fájlmegosztások tervezési ellenőrzőlistája
Tekintse át a Storage biztonsági alapkonfigurációjának áttekintését: Első lépésként tekintse át a Storage biztonsági alapkonfigurációjának áttekintését.
Ismerje meg a szervezet biztonsági követelményeit: Az NFS Azure-fájlmegosztások csak az NFSv4.1 protokollt használó Linux-ügyfeleket támogatják, a 4.1 protokoll specifikációjának legtöbb funkcióját támogatva. Bizonyos biztonsági funkciók, például a Kerberos-hitelesítés, a hozzáférés-vezérlési listák (ACL-ek) és az átvitel közbeni titkosítás nem támogatottak.
Hálózati szintű biztonság és vezérlők használata a bejövő és kimenő forgalom korlátozásához: Az identitásalapú hitelesítés nem érhető el az NFS Azure-fájlmegosztásokhoz, ezért hálózati szintű biztonságot és vezérlőket kell használnia a felhasználók és alkalmazások minimális szükséges hozzáférési szintjének biztosításához. További információ: A tárfiók hálózati biztonságának megközelítése.
Javaslatok NFS-fájlmegosztásokhoz
| Ajánlás | Juttatás |
|---|---|
| Resource Manager-zárolás alkalmazása a tárfiókra. | Zárolja a fiókot, hogy megakadályozza a tárfiók véletlen vagy rosszindulatú törlését, ami adatvesztést okozhat. |
| Meg kell nyitnia a 2049-s portot azon ügyfeleken, amelyekhez csatlakoztatni szeretné az NFS-megosztást. | Nyissa meg a 2049-s portot, hogy az ügyfelek kommunikálhassanak az NFS Azure-fájlmegosztással. |
| Az NFS Azure-fájlmegosztások csak korlátozott hálózatokon keresztül érhetők el. Ezért létre kell hoznia egy privát végpontot a tárfiókhoz, vagy korlátoznia kell a nyilvános végpont hozzáférését a kiválasztott virtuális hálózatokhoz és IP-címekhez. Javasoljuk, hogy hozzon létre egy privát végpontot. Hálózati szintű biztonságot kell konfigurálnia az NFS-megosztásokhoz, mert az Azure Files nem támogatja az NFS protokollal való átvitel közbeni titkosítást. Az NFS Azure-fájlmegosztások használatához le kell tiltania a tárfiók biztonságos átvitelének megkövetelése beállítást. A privát végpontokra standard adatfeldolgozási arányok vonatkoznak. Ha nem igényel statikus IP-címet a fájlmegosztáshoz, és szeretné elkerülni a privát végpontok költségeit, korlátozhatja a nyilvános végpontok elérését. |
A hálózati forgalom a Nyilvános internet helyett a Microsoft gerinchálózatán halad át, ami kiküszöböli a nyilvános internet kockázatának kitettségét. |
| Fontolja meg a tárfiók kulcshozzáférésének letiltását a tárfiók szintjén. Nincs szüksége erre a hozzáférésre az NFS-fájlmegosztások csatlakoztatásához. Ne feledje azonban, hogy a fájlmegosztások teljes felügyeleti felügyelete, beleértve a fájlok tulajdonjogának átvételét is, tárfiókkulcs használatát igényli. | Tiltsa le a tárfiókkulcsok használatát a tárfiók biztonságosabbá tételéhez. |
Költségoptimalizálás
A költségoptimalizálás a költségminták észlelésére , a kritikus területeken lévő beruházások rangsorolására, valamint a szervezet költségvetésének megfelelő optimalizálására összpontosít az üzleti követelmények teljesítése során.
A Költségoptimalizálás tervezési alapelvei magas szintű tervezési stratégiát biztosítanak e célok eléréséhez, és szükség szerint kompromisszumokat hozhatnak a fájltároláshoz és környezetéhez kapcsolódó műszaki tervezésben.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a beruházások költségoptimalizálási ellenőrzőlistája alapján. Finomhangolja a tervet, hogy a számítási feladat igazodjon a számítási feladathoz lefoglalt költségvetéshez. A tervezésnek a megfelelő Azure-képességeket kell használnia, figyelnie kell a beruházásokat, és meg kell találnia az optimalizálás lehetőségeit az idő függvényében.
Döntse el, hogy a számítási feladathoz prémium szintű fájlmegosztások (Azure Premium SSD) teljesítménye szükséges-e, vagy az Azure Standard HDD-tároló elegendő- e: Határozza meg a tárfiók típusát és a számlázási modellt a szükséges tárterület típusa alapján. Ha nagy mennyiségű bemeneti/kimeneti műveletre van szüksége másodpercenként (IOPS), rendkívül gyors adatátviteli sebességre vagy nagyon alacsony késésre, akkor prémium szintű Azure-fájlmegosztásokat kell választania. Az NFS Azure-fájlmegosztások csak a prémium szinten érhetők el. Az NFS- és SMB-fájlmegosztások ára megegyezik a prémium szinten.
Hozzon létre egy tárfiókot a fájlmegosztáshoz, és válasszon egy redundanciaszintet: Válasszon standard (GPv2) vagy prémium (FileStorage) fiókot. A választott redundanciaszint hatással van a költségekre. Minél több a redundancia, annál magasabb a költség. A helyileg redundáns tárolás (LRS) a legkedvezőbb. A GRS csak standard SMB-fájlmegosztásokhoz érhető el. A standard fájlmegosztások csak a tárfiók szintjén jelenítik meg a tranzakciós adatokat, ezért javasoljuk, hogy minden tárfiókban csak egy fájlmegosztást helyezzen üzembe a teljes számlázási láthatóság biztosítása érdekében.
A számla kiszámításának ismertetése: A standard Azure-fájlmegosztások használatalapú fizetéses modellt biztosítanak. A prémium szintű megosztások olyan kiépített modellt használnak, amelyben meghatározott mennyiségű kapacitást, IOPS-t és átviteli sebességet határoznak meg és fizetnek előre. A használatalapú fizetéses modellben a mérők nyomon követik a fiókban vagy a kapacitásban tárolt adatok mennyiségét, valamint az adatok használatán alapuló tranzakciók számát és típusát. A használatalapú fizetéses modell költséghatékony lehet, mert csak azért fizet, amit használ. A használatalapú fizetéses modellel nem kell a teljesítménykövetelmények vagy a kereslet ingadozásai alapján túlterjeszkednie vagy leépítenie a tárterületet.
Előfordulhat azonban, hogy nehéz megtervezni a tárolást egy költségvetés-készítési folyamat részeként, mert a végfelhasználói felhasználás a költségeket határozza meg. A kiépített modell esetében a tranzakciók nem befolyásolják a számlázást, így a költségek könnyen előre jelezhetők. A kiosztott tárkapacitásért azonban fizetnie kell, akár használja, akár nem. A költségek kiszámításának részletes részletezéséért tekintse meg az Azure Files számlázásának ismertetése című témakört.
A kapacitás és a műveletek költségeinek becslése: Az Azure díjkalkulátorával modellezheti az adattárolással, a bejövő forgalommal és a kimenő forgalommal kapcsolatos költségeket. Hasonlítsa össze a különböző régiókhoz, fióktípusokhoz és redundanciakonfigurációkhoz kapcsolódó költségeket. További információkért tekintse meg az Azure Files díjszabását.
Válassza ki a legköltséghatékonyabb hozzáférési szintet: A standard SMB Azure-fájlmegosztások három hozzáférési szintet kínálnak: tranzakcióoptimalizált, gyakori és ritka elérésű. Mindhárom réteg ugyanazon a szabványos tárolóhardveren van tárolva. A három szint fő különbsége a rest storage-árakon tárolt adataik, amelyek alacsonyabbak a hidegebb rétegekben, és a tranzakciós árak, amelyek magasabbak a alacsonyabb szinteken. További információ: Különbségek a standard szintekben.
Döntse el, hogy mely hozzáadott értékű szolgáltatásokra van szüksége: az Azure Files támogatja az olyan hozzáadott értékű szolgáltatásokkal való integrációt, mint a Backup, az Azure File Sync és a Defender for Storage. Ezek a megoldások saját licenc- és termékköltségekkel rendelkeznek, de gyakran a fájltárolás teljes tulajdonjogi költségeinek részét képezik. Az Azure File Sync használata esetén fontolja meg az egyéb költségekre vonatkozó szempontokat .
Védőkorlátok létrehozása: Költségvetések létrehozása előfizetések és erőforráscsoportok alapján. Szabályozási szabályzatok használatával korlátozhatja az erőforrástípusokat, konfigurációkat és helyeket. Emellett szerepköralapú hozzáférés-vezérléssel (RBAC) letilthatja azokat a műveleteket, amelyek túlköltekezéshez vezethetnek.
Költségek figyelése: Győződjön meg arról, hogy a költségek a költségvetésen belül maradnak, összehasonlítja a költségeket az előrejelzésekkel, és láthatja, hogy hol fordul elő a túlköltekezés. Az Azure Portal költségelemzési paneljén figyelheti a költségeket. Költségadatokat is exportálhat egy tárfiókba, és az Excel vagy a Power BI használatával elemezheti ezeket az adatokat.
Használat monitorozása: Folyamatosan monitorozza a használati mintákat a nem használt vagy kihasználatlan tárfiókok és fájlmegosztások észleléséhez. Ellenőrizze a kapacitás váratlan növekedését, ami azt jelezheti, hogy számos naplófájlt vagy helyreállíthatóan törölt fájlt gyűjt. Dolgozzon ki egy stratégiát a fájlok törlésére vagy a fájlok költséghatékonyabb hozzáférési szintekre való áthelyezésére.
Ajánlások
| Ajánlás | Juttatás |
|---|---|
| Amikor standard Azure-fájlmegosztásokra migrál, javasoljuk, hogy a kezdeti migrálás során kezdje a tranzakcióoptimalizált szinttel. A migrálás során a tranzakcióhasználat általában nem a normál tranzakcióhasználatra utal. Ez a szempont nem vonatkozik a prémium szintű fájlmegosztásokra, mert a kiépített számlázási modell nem számít fel tranzakciókat. | Az Azure Filesba való migrálás ideiglenes, tranzakciós terhelésű számítási feladat. Optimalizálja a nagy tranzakciós számítási feladatok árát a migrálási költségek csökkentése érdekében. |
| A számítási feladatok migrálása után, ha standard fájlmegosztásokat használ, gondosan válassza ki a fájlmegosztás legköltséghatékonyabb hozzáférési szintjét: gyakori elérésű, ritka elérésű vagy tranzakcióoptimalizált. Miután néhány napig vagy hetekig rendszeres használattal működött, a tranzakciószámokat beszúrhatja a díjkalkulátorba , hogy megállapítsa, melyik szint felel meg a legjobban a számítási feladatnak. A legtöbb ügyfélnek akkor is érdemes a ritka elérésűt választania, ha aktívan használja a megosztást. Érdemes azonban megvizsgálnia az egyes megosztásokat, és hasonlítsa össze a tárolási kapacitás és a tranzakciók közötti egyensúlyt a szint meghatározásához. Ha a tranzakciós költségek a számla jelentős százalékát teszik ki, a ritka elérésű hozzáférési szint használatával járó megtakarítások gyakran ellensúlyozzák ezt a költséget, és minimálisra csökkentik a teljes költséget. Azt javasoljuk, hogy csak akkor helyezze át a standard fájlmegosztásokat a hozzáférési szintek között, ha szükséges, hogy optimalizálni tudja a számítási feladat mintázatának változásait. Minden áthelyezés tranzakciókat von maga után. További információ: Váltás a standard szintek között. |
Válassza ki a standard fájlmegosztások megfelelő hozzáférési szintjét a költségek jelentős csökkentése érdekében. |
| Ha prémium szintű megosztásokat használ, győződjön meg arról, hogy a számítási feladathoz elegendő kapacitásnál és teljesítménynél nagyobb kapacitást és teljesítményt épít ki, de nem annyira, hogy felesleges költségekkel járjon. Javasoljuk, hogy 2-3 alkalommal túlterjeszkedjen. A prémium szintű fájlmegosztásokat dinamikusan skálázhatja felfelé vagy lefelé a tárolási és bemeneti/kimeneti (IO-) teljesítmény jellemzőitől függően. | A prémium szintű fájlmegosztások ésszerű mértékű túlterjeszkedése a teljesítmény fenntartása és a jövőbeli növekedési és teljesítménykövetelmények figyelembe vétele érdekében. |
| Az Azure Files-foglalások( más néven fenntartott példányok) használatával előre elvégezheti a tárterület-használatot, és kedvezményt kaphat. Használjon foglalásokat éles számítási feladatokhoz, vagy konzisztens lábnyomokkal rendelkező fejlesztési/tesztelési számítási feladatokat. További információ: Költségek optimalizálása tárfoglalásokkal. A foglalások nem tartalmazzák a tranzakciós, sávszélességi, adatátviteli és metaadat-tárolási díjakat. |
A hároméves foglalások akár 36%-os kedvezményt is biztosíthatnak a fájltárolás teljes költségére. A foglalások nem befolyásolják a teljesítményt. |
| Pillanatkép-használat figyelése. A pillanatképek díjakat vonnak maguk után, de az egyes pillanatképek különbségi tárterület-használatán alapulnak. Csak az egyes pillanatképek különbségéért kell fizetnie. További információ: Pillanatképek. Az Azure File Sync a rendszeres használat részeként megosztási szintű és fájlszintű pillanatképeket készít, ami növelheti a teljes Azure Files-számlát. |
A különbségi pillanatképek biztosítják, hogy nem kell többször fizetnie ugyanazon adatok tárolásáért. Az Azure Files-számla csökkentése érdekében azonban továbbra is figyelnie kell a pillanatkép-használatot. |
| Állítsa be a helyreállítható törlési funkció megőrzési időtartamát, különösen akkor, ha először kezdi el használni. Érdemes lehet egy rövid megőrzési időszakkal kezdeni, hogy jobban megértse, hogyan befolyásolja a funkció a számláját. A minimálisan ajánlott megőrzési idő hét nap. A standard és prémium szintű fájlmegosztások helyreállítható törlésekor a rendszer a kiosztott kapacitás helyett használt kapacitásként számlázja őket. A prémium szintű fájlmegosztások számlázása pedig pillanatkép-sebességgel történik, miközben helyreállítható törlési állapotban van. A standard fájlmegosztások számlázása normál díjszabás szerint történik, helyreállítható törlési állapotban. |
Állítson be egy megőrzési időtartamot, hogy a helyreállíthatóan törölt fájlok ne halmozódjon fel, és növeljék a kapacitás költségét. A konfigurált megőrzési időszak után a véglegesen törölt adatok nem járnak költségekkel. |
Működésbeli kiválóság
Az operatív kiválóság elsősorban a fejlesztési gyakorlatokra, a megfigyelhetőségre és a kiadáskezelésre vonatkozó eljárásokra összpontosít.
Az Operational Excellence tervezési alapelvei magas szintű tervezési stratégiát biztosítanak a számítási feladatok működési követelményeihez kitűzött célok eléréséhez.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát az Operational Excellence tervezési felülvizsgálati ellenőrzőlistája alapján a fájltároló konfigurációjához kapcsolódó megfigyelhetőségi, tesztelési és üzembe helyezési folyamatok meghatározásához.
Karbantartási és vészhelyreállítási tervek létrehozása: Fontolja meg az adatvédelmi funkciókat, a biztonsági mentési és visszaállítási műveleteket, valamint a feladatátvételi eljárásokat. Készüljön fel a lehetséges adatvesztésre és adatkonzisztenciákra , valamint a feladatátvétel idejére és költségeire.
A tárfiók állapotának monitorozása: Storage Insights-irányítópultok létrehozása a rendelkezésre állási, teljesítmény- és rugalmassági metrikák monitorozásához. Állítson be riasztásokat a rendszer problémáinak azonosításához és kezeléséhez, mielőtt az ügyfelek észrevennénk őket. Diagnosztikai beállítások használatával irányíthatja az erőforrásnaplókat egy Azure Monitor Logs-munkaterületre. Ezután lekérdezheti a naplókat a riasztások mélyebb vizsgálatához.
Rendszeresen tekintse át a fájlmegosztási tevékenységet: A megosztási tevékenység idővel változhat. Helyezze át a standard fájlmegosztásokat a jobb hozzáférési szintekre, vagy kiépítheti vagy megszüntetheti a prémium szintű megosztások kapacitását. Amikor a standard fájlmegosztásokat egy másik hozzáférési szintre helyezi át, tranzakciós díjat kell fizetnie. A normál fájlmegosztásokat csak akkor helyezze át, ha a havi számla csökkentéséhez szükséges.
Ajánlások
| Ajánlás | Juttatás |
|---|---|
| Az infrastruktúra kódként (IaC) való használatával definiálhatja a tárfiókok részleteit az Azure Resource Manager-sablonokban (ARM-sablonok), a Bicepben vagy a Terraformban. | A meglévő DevOps-folyamatokkal új tárfiókokat helyezhet üzembe, és az Azure Policy használatával kikényszerítheti a konfigurációjukat. |
| A Storage insights használatával nyomon követheti a tárfiókok állapotát és teljesítményét. A Storage Insights egységes képet nyújt az összes tárfiók hibáiról, teljesítményéről, rendelkezésre állásáról és kapacitásáról. | Nyomon követheti az egyes fiókok állapotát és működését. Egyszerűen létrehozhat irányítópultokat és jelentéseket, amelyekkel az érintettek nyomon követhetik a tárfiókok állapotát. |
| A Monitor használatával elemezheti a metrikákat, például a rendelkezésre állást, a késést és a használatot, valamint riasztásokat hozhat létre. | A Monitor áttekintést nyújt a fájlmegosztások rendelkezésre állásáról, teljesítményéről és rugalmasságáról. |
Teljesítménybeli hatékonyság
A teljesítményhatékonyság a felhasználói élmény fenntartásáról szól , még akkor is, ha a kapacitás kezelésével növekszik a terhelés . A stratégia magában foglalja az erőforrások skálázását, a lehetséges szűk keresztmetszetek azonosítását és optimalizálását, valamint a csúcsteljesítmény optimalizálását.
A Teljesítményhatékonyság tervezési alapelvei magas szintű tervezési stratégiát biztosítanak ezeknek a kapacitáscéloknak a várt kihasználtsághoz való eléréséhez.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a teljesítményhatékonyság tervezési felülvizsgálati ellenőrzőlistája alapján. Definiáljon egy alapkonfigurációt, amely a fájltároló konfigurációjának fő teljesítménymutatóin alapul.
Méretezési terv: A tárfiókok, az Azure Files és az Azure File Sync skálázhatósági és teljesítménycéljainak megismerése.
Megismerheti az alkalmazás- és használati mintákat a kiszámítható teljesítmény eléréséhez: Meghatározza a késés érzékenységét, az IOPS-t és az átviteli sebesség követelményeit, a számítási feladatok időtartamát és gyakoriságát, valamint a számítási feladatok párhuzamosságát. Az Azure Files többszálú alkalmazásokhoz használható a szolgáltatás felső teljesítménykorlátjának eléréséhez. Ha a legtöbb kérés metaadat-központú, például createfile, openfile, closefile, queryinfo vagy querydirectory, a kérések gyenge késést okoznak, amely magasabb az olvasási és írási műveleteknél. Ha ez a probléma jelentkezik, érdemes lehet elkülöníteni a fájlmegosztást több fájlmegosztásra ugyanabban a tárfiókban.
Válassza ki az optimális tárfióktípust: Ha a számítási feladat nagy mennyiségű IOPS-t, rendkívül gyors adatátviteli sebességet vagy nagyon alacsony késést igényel, akkor prémium szintű (FileStorage) tárfiókokat kell választania. A legtöbb SMB-fájlmegosztási számítási feladathoz használhat szabványos általános célú v2-fiókot. A két tárfióktípus közötti elsődleges kompromisszum a költség és a teljesítmény.
A kiosztott megosztás mérete, például az IOPS, a kimenő forgalom és a bejövő forgalom, valamint az egyfájlos korlátok határozzák meg a prémium szintű megosztás teljesítményét. További információ: A prémium szintű fájlmegosztások kiépítésének ismertetése. A prémium szintű fájlmegosztások biztosítási kötvényként is kínálnak kipukkanási krediteket , ha ideiglenesen meg kell haladnia a prémium szintű fájlmegosztás alapkonfigurációjának IOPS-korlátját.
Hozzon létre tárfiókokat ugyanabban a régióban, mint az ügyfelek csatlakoztatása a késés csökkentése érdekében: Minél messzebb van az Azure Files szolgáltatástól, annál nagyobb a késés és annál nehezebb elérni a teljesítményskálázási korlátokat. Ez a szempont különösen igaz, ha helyszíni környezetekből éri el az Azure Filest. Ha lehetséges, győződjön meg arról, hogy a tárfiók és az ügyfelek ugyanabban az Azure-régióban találhatók. Optimalizálja a helyszíni ügyfeleket a hálózati késés minimalizálásával vagy egy ExpressRoute-kapcsolattal a helyszíni hálózatok Microsoft-felhőbe való kiterjesztéséhez egy privát kapcsolaton keresztül.
Teljesítményadatok gyűjtése: A számítási feladatok teljesítményének monitorozása, beleértve a késést, a rendelkezésre állást és a használati metrikákat. Naplók elemzése olyan problémák diagnosztizálásához, mint az időtúllépések és a szabályozás. Riasztásokat hozhat létre, amelyek értesítik, ha egy fájlmegosztás szabályozása, szabályozása vagy nagy késés tapasztalható.
Optimalizálás hibrid üzemelő példányokhoz: Az Azure File Sync használata esetén a szinkronizálási teljesítmény számos tényezőtől függ: a Windows Servertől és a mögöttes lemezkonfigurációtól, a kiszolgáló és az Azure Storage közötti hálózati sávszélességtől, a fájlmérettől, az adathalmaz teljes méretétől és az adathalmazon végzett tevékenységtől. Az Azure File Syncen alapuló megoldások teljesítményének méréséhez határozza meg, hogy hány objektumot, például fájlokat és könyvtárakat dolgoz fel másodpercenként.
Ajánlások
| Ajánlás | Juttatás |
|---|---|
| Engedélyezze a többcsatornás SMB-t a prémium szintű SMB-fájlmegosztásokhoz. Az SMB Multichannel lehetővé teszi, hogy egy SMB 3.1.1-ügyfél több hálózati kapcsolatot létesítsen egy SMB Azure-fájlmegosztáshoz. Az SMB Multichannel csak akkor működik, ha a funkció az ügyféloldalon (az ügyfélen) és a szolgáltatásoldalon (Azure) is engedélyezve van. Windows-ügyfeleken az SMB Multichannel alapértelmezés szerint engedélyezve van, de engedélyeznie kell a tárfiókban. |
Növelje az átviteli sebességet és az IOPS-t, miközben csökkenti a teljes tulajdonosi költséget. A teljesítménybeli előnyök a terhelést elosztó fájlok számával növekednek. |
| Használja az nconnect ügyféloldali csatlakoztatási lehetőséget NFS Azure-fájlmegosztásokkal Linux-ügyfeleken. Az Nconnect lehetővé teszi, hogy több TCP-kapcsolatot használjon az ügyfél és az NFSv4.1 prémium szintű Azure Files szolgáltatása között. | Növelje a teljesítményt nagy méretekben, és csökkentse az NFS-fájlmegosztások teljes tulajdonosi költségét. |
| Győződjön meg arról, hogy a fájlmegosztás vagy a tárfiók nincs szabályozva, ami nagy késést, alacsony átviteli sebességet vagy alacsony IOPS-t eredményezhet. A kérelmek szabályozása az IOPS, a bejövő vagy a kimenő forgalom korlátainak elérésekor történik. A standard tárfiókok esetében a szabályozás a fiók szintjén történik. A prémium szintű fájlmegosztások esetében a szabályozás általában a megosztás szintjén történik. |
A lehető legjobb ügyfélélmény érdekében kerülje a szabályozást. |
Azure-szabályzatok
Az Azure az Azure Fileshoz kapcsolódó beépített szabályzatok széles halmazát biztosítja. Az előző javaslatok némelyike az Azure-szabályzatok segítségével naplózható. Például ellenőrizheti, hogy:
- A rendszer csak a biztonságos kapcsolatokból( például HTTPS) érkező kéréseket fogadja el.
- A megosztott kulcs engedélyezése le van tiltva.
- A rendszer hálózati tűzfalszabályokat alkalmaz a fiókra.
- Az Azure Files diagnosztikai beállításai úgy vannak beállítva, hogy erőforrásnaplókat streameljenek egy Azure Monitor Logs-munkaterületre.
- A nyilvános hálózati hozzáférés le van tiltva.
- Az Azure File Sync privát végpontokkal van konfigurálva a privát DNS-zónák használatára.
Az átfogó szabályozás érdekében tekintse át az Azure Policy beépített tárolódefinícióit és a számítási réteg biztonságát esetleg befolyásoló egyéb szabályzatokat.
Azure Advisor-javaslatok
Az Azure Advisor egy személyre szabott felhőtanácsadó, amely segít az ajánlott eljárások alkalmazásában az Azure-környezetek optimalizálása érdekében. Íme néhány javaslat, amely segíthet javítani az Azure Files megbízhatóságát, biztonságát, költséghatékonyságát, teljesítményét és működési kiválóságát.
Következő lépés
További információkért tekintse meg az Azure Files dokumentációját.