Perspektif Azure Well-Architected Framework di Azure Files
Azure Files adalah solusi penyimpanan file Microsoft untuk cloud. Azure Files menyediakan berbagi file blok pesan server (SMB) dan sistem file jaringan (NFS) yang dapat Anda pasang ke klien di cloud, lokal, atau keduanya. Anda juga dapat menggunakan Azure File Sync untuk menyimpan berbagi file SMB di server Windows lokal dan tingkat yang jarang digunakan file ke cloud.
Artikel ini mengasumsikan bahwa sebagai arsitek, Anda telah meninjau opsi penyimpanan dan memilih Azure Files sebagai layanan penyimpanan untuk menjalankan beban kerja Anda. Panduan dalam artikel ini memberikan rekomendasi arsitektur yang dipetakan ke prinsip pilar Azure Well-Architected Framework.
Penting
Cara menggunakan panduan ini
Setiap bagian memiliki daftar periksa desain yang menyajikan area kekhawatiran arsitektur bersama dengan strategi desain yang dilokalkan ke cakupan teknologi.
Juga termasuk rekomendasi tentang kemampuan teknologi yang dapat membantu menerapkan strategi tersebut. Rekomendasi tidak mewakili daftar lengkap semua konfigurasi yang tersedia untuk Azure Files dan dependensinya. Sebaliknya, mereka mencantumkan rekomendasi utama yang dipetakan ke perspektif desain. Gunakan rekomendasi untuk membangun bukti konsep Anda atau mengoptimalkan lingkungan Anda yang ada.
Keandalan
Tujuan pilar Keandalan adalah untuk memberikan fungsionalitas berkelanjutan dengan membangun ketahanan yang cukup dan kemampuan untuk memulihkan dengan cepat dari kegagalan.
Prinsip desain Keandalan menyediakan strategi desain tingkat tinggi yang diterapkan untuk komponen individu, beban kerja, alur sistem, dan sistem secara keseluruhan.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Keandalan.
Gunakan analisis mode kegagalan: Minimalkan titik kegagalan dengan mempertimbangkan dependensi internal seperti ketersediaan jaringan virtual, Azure Key Vault, atau Azure Content Delivery Network atau titik akhir Azure Front Door. Kegagalan dapat terjadi jika Anda memerlukan kredensial untuk mengakses Azure Files, dan kredensial hilang dari Key Vault. Atau Anda mungkin mengalami kegagalan jika beban kerja Anda menggunakan titik akhir yang didasarkan pada jaringan pengiriman konten yang hilang. Dalam kasus ini, Anda mungkin perlu mengonfigurasi beban kerja untuk tersambung ke titik akhir alternatif. Untuk informasi umum tentang analisis mode kegagalan, lihat Rekomendasi untuk melakukan analisis mode kegagalan.
Tentukan target keandalan dan pemulihan: Tinjau perjanjian tingkat layanan (SLA) Azure. Dapatkan tujuan tingkat layanan (SLO) untuk akun penyimpanan. Misalnya, konfigurasi redundansi yang Anda pilih dapat memengaruhi SLO. Pertimbangkan efek pemadaman regional, potensi kehilangan data, dan waktu yang diperlukan untuk memulihkan akses setelah pemadaman. Pertimbangkan juga ketersediaan dependensi internal yang Anda identifikasi sebagai bagian dari analisis mode kegagalan Anda.
Mengonfigurasi redundansi data: Untuk durabilitas maksimum, pilih konfigurasi yang menyalin data di seluruh zona ketersediaan atau wilayah global. Untuk ketersediaan maksimum, pilih konfigurasi yang memungkinkan klien membaca data dari wilayah sekunder selama pemadaman wilayah utama.
Merancang aplikasi: Desain aplikasi Anda untuk bergeser dengan mulus sehingga mereka membaca data dari wilayah sekunder jika wilayah utama tidak tersedia. Pertimbangan desain ini hanya berlaku untuk konfigurasi penyimpanan geo-redundan (GRS) dan penyimpanan geo-zona-redundan (GZRS). Rancang aplikasi Anda untuk menangani pemadaman dengan benar, yang mengurangi waktu henti bagi pelanggan.
Jelajahi fitur untuk membantu Anda memenuhi target pemulihan: Buat file dapat dipulihkan sehingga Anda dapat memulihkan file yang rusak, diedit, atau dihapus.
Membuat rencana pemulihan: Pertimbangkan fitur perlindungan data, operasi pencadangan dan pemulihan, atau prosedur failover. Bersiaplah untuk potensi kehilangan data dan inkonsistensi data serta waktu dan biaya failover. Untuk informasi selengkapnya, lihat Rekomendasi untuk merancang strategi pemulihan bencana.
Pantau potensi masalah ketersediaan: Berlangganan dasbor Azure Service Health untuk memantau potensi masalah ketersediaan. Gunakan metrik penyimpanan dan log diagnostik di Azure Monitor untuk menyelidiki pemberitahuan.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Konfigurasikan akun penyimpanan Anda untuk redundansi. Untuk ketersediaan dan durabilitas maksimum, konfigurasikan akun Anda dengan penyimpanan zona redundan (ZRS), GRS, atau GZRS. Wilayah Azure terbatas mendukung ZRS untuk berbagi file standar dan premium . Hanya akun SMB standar yang mendukung GRS dan GZRS. Saham SMB premium dan saham NFS tidak mendukung GRS dan GZRS. Azure Files tidak mendukung penyimpanan geo-redundan akses baca (RA-GRS) atau penyimpanan geo-zona-redundan akses baca (RA-GZRS). Jika Anda mengonfigurasi akun penyimpanan untuk menggunakan RA-GRS atau RA-GZRS, berbagi file dikonfigurasi dan ditagih sebagai GRS atau GZRS. |
Redundansi melindungi data Anda dari kegagalan tak terduga. Opsi konfigurasi ZRS dan GZRS mereplikasi di berbagai zona ketersediaan dan memungkinkan aplikasi untuk terus membaca data selama pemadaman. Untuk informasi selengkapnya, lihat Durabilitas dan ketersediaan berdasarkan skenario pemadaman dan Parameter durabilitas dan ketersediaan. |
| Sebelum Anda memulai failover atau failback, periksa nilai properti waktu sinkronisasi terakhir untuk mengevaluasi potensi kehilangan data. Rekomendasi ini hanya berlaku untuk konfigurasi GRS dan GZRS. | Properti ini membantu Anda memperkirakan berapa banyak data yang mungkin Hilang jika Anda memulai failover akun. Semua data dan metadata yang ditulis sebelum waktu sinkronisasi terakhir tersedia di wilayah sekunder, tetapi Anda mungkin kehilangan data dan metadata yang ditulis setelah waktu sinkronisasi terakhir karena tidak ditulis ke wilayah sekunder. |
| Sebagai bagian dari strategi pencadangan dan pemulihan Anda, aktifkan penghapusan sementara dan gunakan rekam jepret untuk pemulihan titik waktu. Anda dapat menggunakan Azure Backup untuk mencadangkan berbagi file SMB Anda. Anda juga dapat menggunakan Azure File Sync untuk mencadangkan berbagi file SMB lokal ke berbagi file Azure. Azure Backup juga memungkinkan Anda melakukan pencadangan vault (pratinjau) Azure Files untuk melindungi data Anda dari serangan ransomware atau kehilangan data sumber karena aktor jahat atau admin nakal. Dengan menggunakan cadangan vault, Azure Backup menyalin dan menyimpan data di vault Layanan Pemulihan. Ini membuat salinan data di luar lokasi yang dapat Anda simpan hingga 99 tahun. Azure Backup membuat dan mengelola titik pemulihan sesuai jadwal dan retensi yang ditentukan dalam kebijakan pencadangan. Pelajari selengkapnya. |
Penghapusan sementara berfungsi pada tingkat berbagi file untuk melindungi berbagi file Azure dari penghapusan yang tidak disengaja. Pemulihan titik waktu melindungi dari penghapusan atau kerusakan yang tidak disengaja karena Anda dapat memulihkan berbagi file ke status sebelumnya. Untuk informasi selengkapnya, lihat Gambaran umum perlindungan data. |
Keamanan
Tujuan pilar Keamanan adalah untuk memberikan jaminan kerahasiaan, integritas, dan ketersediaan terhadap beban kerja.
Prinsip desain Keamanan menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dengan menerapkan pendekatan pada desain teknis konfigurasi penyimpanan file Anda.
Persyaratan dan rekomendasi keamanan bervariasi tergantung pada apakah beban kerja Anda menggunakan protokol SMB atau NFS untuk mengakses berbagi file Anda. Jadi bagian berikut memiliki daftar periksa desain dan rekomendasi terpisah untuk berbagi file SMB dan NFS.
Sebagai praktik terbaik, Anda harus menyimpan berbagi file SMB dan NFS di akun penyimpanan terpisah karena memiliki persyaratan keamanan yang berbeda. Gunakan pendekatan ini untuk memberikan beban kerja Anda keamanan yang kuat dan fleksibilitas tinggi.
Daftar periksa desain untuk berbagi file SMB
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Keamanan. Identifikasi kerentanan dan kontrol untuk meningkatkan postur keamanan. Perluas strategi untuk menyertakan lebih banyak pendekatan sesuai kebutuhan.
Tinjau garis besar keamanan untuk Azure Storage: Untuk memulai, tinjau garis besar keamanan untuk Storage.
Pertimbangkan untuk menggunakan kontrol jaringan untuk membatasi lalu lintas masuk dan keluar: Anda mungkin nyaman mengekspos akun penyimpanan Anda ke internet publik dalam kondisi tertentu, seperti jika Anda menggunakan autentikasi berbasis identitas untuk memberikan akses ke berbagi file. Tetapi kami menyarankan agar Anda menggunakan kontrol jaringan untuk memberikan tingkat akses minimum yang diperlukan kepada pengguna dan aplikasi. Untuk informasi selengkapnya, lihat Cara mendekati keamanan jaringan untuk akun penyimpanan Anda.
Mengurangi permukaan serangan: Gunakan enkripsi saat transit dan cegah akses melalui koneksi non-aman (HTTP) untuk mengurangi permukaan serangan. Mengharuskan klien untuk mengirim dan menerima data dengan menggunakan versi terbaru protokol Keamanan Lapisan Transportasi (TLS).
Minimalkan penggunaan kunci akun penyimpanan: Autentikasi berbasis identitas memberikan keamanan yang unggul dibandingkan dengan menggunakan kunci akun penyimpanan. Tetapi Anda harus menggunakan kunci akun penyimpanan untuk mendapatkan kontrol administratif penuh atas berbagi file, termasuk kemampuan untuk mengambil kepemilikan file. Berikan prinsip keamanan hanya izin yang diperlukan yang mereka butuhkan untuk melakukan tugas mereka.
Lindungi informasi sensitif: Lindungi informasi sensitif, seperti kunci akun penyimpanan dan kata sandi. Kami tidak menyarankan Anda menggunakan bentuk otorisasi ini, tetapi jika Anda melakukannya, Anda harus memastikan untuk memutar, kedaluwarsa, dan menyimpannya dengan aman.
Mendeteksi ancaman: Aktifkan Microsoft Defender for Storage untuk mendeteksi upaya yang berpotensi berbahaya untuk mengakses atau mengeksploitasi berbagi file Azure Anda melalui protokol SMB atau FileREST. Administrator langganan mendapatkan pemberitahuan email dengan detail aktivitas dan rekomendasi yang mencurigakan tentang cara menyelidiki dan memulihkan ancaman. Defender for Storage tidak mendukung kemampuan antivirus untuk berbagi file Azure. Jika Anda menggunakan Defender for Storage, berbagi file yang berat transaksi dikenakan biaya yang signifikan, jadi pertimbangkan untuk menolak Defender for Storage untuk akun penyimpanan tertentu.
Rekomendasi untuk berbagi file SMB
| Rekomendasi | Keuntungan |
|---|---|
| Terapkan kunci Azure Resource Manager pada akun penyimpanan. | Kunci akun untuk mencegah penghapusan akun penyimpanan yang tidak disengaja atau berbahaya, yang dapat menyebabkan kehilangan data. |
| Buka port TCP 445 keluar atau siapkan gateway VPN atau koneksi Azure ExpressRoute untuk klien di luar Azure untuk mengakses berbagi file. | SMB 3.x adalah protokol yang aman untuk internet, tetapi Anda mungkin tidak memiliki kemampuan untuk mengubah kebijakan organisasi atau ISP. Anda dapat menggunakan gateway VPN atau koneksi ExpressRoute sebagai opsi alternatif. |
| Jika Anda membuka port 445, pastikan untuk menonaktifkan SMBv1 pada klien Windows dan Linux . Azure Files tidak mendukung SMB 1, tetapi Anda masih harus menonaktifkannya di klien Anda. | SMB 1 adalah protokol yang ketinggalan zaman, tidak efisien, dan tidak aman. Nonaktifkan pada klien untuk meningkatkan postur keamanan Anda. |
| Pertimbangkan untuk menonaktifkan akses jaringan publik ke akun penyimpanan Anda. Aktifkan akses jaringan publik hanya jika klien dan layanan SMB yang berada di luar Azure memerlukan akses ke akun penyimpanan Anda. Jika Anda menonaktifkan akses jaringan publik, buat titik akhir privat untuk akun penyimpanan Anda. Tarif pemrosesan data standar untuk titik akhir privat berlaku. Titik akhir privat tidak memblokir koneksi ke titik akhir publik. Anda masih harus menonaktifkan akses jaringan publik seperti yang dijelaskan sebelumnya. Jika Anda tidak memerlukan alamat IP statis untuk berbagi file Anda dan ingin menghindari biaya titik akhir privat, Anda dapat membatasi akses titik akhir publik ke jaringan virtual dan alamat IP tertentu. |
Lalu lintas jaringan melakukan perjalanan melalui jaringan backbone Microsoft alih-alih internet publik, yang menghilangkan paparan risiko dari internet publik. |
| Aktifkan aturan firewall yang membatasi akses ke jaringan virtual tertentu. Mulailah dengan akses nol, lalu secara metodis dan bertahap menyediakan jumlah akses paling sedikit yang diperlukan untuk klien dan layanan. | Minimalkan risiko membuat bukaan untuk penyerang. |
| Jika memungkinkan, gunakan autentikasi berbasis identitas dengan enkripsi tiket AES-256 Kerberos untuk mengotorisasi akses ke berbagi file Azure SMB. | Gunakan autentikasi berbasis identitas untuk mengurangi kemungkinan penyerang menggunakan kunci akun penyimpanan untuk mengakses berbagi file. |
| Jika Anda menggunakan kunci akun penyimpanan, simpan di Key Vault, dan pastikan untuk meregenerasinya secara berkala. Anda dapat melarang akses kunci akun penyimpanan sepenuhnya ke berbagi file dengan menghapus NTLMv2 dari pengaturan keamanan SMB berbagi. Tetapi Anda umumnya tidak boleh menghapus NTLMv2 dari pengaturan keamanan SMB berbagi karena administrator masih perlu menggunakan kunci akun untuk beberapa tugas. |
Gunakan Key Vault untuk mengambil kunci pada runtime alih-alih menyimpannya dengan aplikasi Anda. Key Vault juga memudahkan untuk memutar kunci Anda tanpa gangguan pada aplikasi Anda. Putar kunci akun secara berkala untuk mengurangi risiko mengekspos data Anda ke serangan berbahaya. |
| Dalam kebanyakan kasus, Anda harus mengaktifkan opsi Transfer aman yang diperlukan pada semua akun penyimpanan Anda untuk mengaktifkan enkripsi saat transit untuk berbagi file SMB. Jangan aktifkan opsi ini jika Anda perlu mengizinkan klien yang sangat lama untuk mengakses berbagi. Jika Anda menonaktifkan transfer aman, pastikan untuk menggunakan kontrol jaringan untuk membatasi lalu lintas. |
Pengaturan ini memastikan bahwa semua permintaan yang dibuat terhadap akun penyimpanan terjadi melalui koneksi aman (HTTPS). Permintaan apa pun yang dibuat melalui HTTP akan gagal. |
| Konfigurasikan akun penyimpanan Anda sehingga TLS 1.2 adalah versi minimum bagi klien untuk mengirim dan menerima data. | TLS 1.2 lebih aman dan lebih cepat daripada TLS 1.0 dan 1.1, yang tidak mendukung algoritma kriptografi modern dan suite sandi. |
| Gunakan hanya versi protokol SMB terbaru yang didukung (saat ini 3.1.1.), dan hanya gunakan AES-256-GCM untuk enkripsi saluran SMB. Azure Files mengekspos pengaturan yang dapat Anda gunakan untuk mengalihkan protokol SMB dan membuatnya lebih kompatibel atau lebih aman, tergantung pada persyaratan organisasi Anda. Secara default, semua versi SMB diizinkan. Namun, SMB 2.1 tidak diizinkan jika Anda mengaktifkan Memerlukan transfer aman karena SMB 2.1 tidak mendukung enkripsi data saat transit. Jika Anda membatasi pengaturan ini ke tingkat keamanan yang tinggi, beberapa klien mungkin tidak dapat tersambung ke berbagi file. |
SMB 3.1.1, dirilis dengan Windows 10, berisi pembaruan keamanan dan performa penting. AES-256-GCM menawarkan enkripsi saluran yang lebih aman. |
Daftar periksa desain untuk berbagi file NFS
Tinjau garis besar keamanan untuk Penyimpanan: Untuk memulai, tinjau garis besar keamanan untuk Penyimpanan.
Pahami persyaratan keamanan organisasi Anda: Berbagi file NFS Azure hanya mendukung klien Linux yang menggunakan protokol NFSv4.1, dengan dukungan untuk sebagian besar fitur dari spesifikasi protokol 4.1. Beberapa fitur keamanan, seperti autentikasi Kerberos, daftar kontrol akses (ACL), dan enkripsi saat transit, tidak didukung.
Gunakan keamanan dan kontrol tingkat jaringan untuk membatasi lalu lintas masuk dan keluar: Autentikasi berbasis identitas tidak tersedia untuk berbagi file NFS Azure, jadi Anda harus menggunakan keamanan dan kontrol tingkat jaringan untuk memberikan tingkat akses minimum yang diperlukan kepada pengguna dan aplikasi. Untuk informasi selengkapnya, lihat Cara mendekati keamanan jaringan untuk akun penyimpanan Anda.
Rekomendasi untuk berbagi file NFS
| Rekomendasi | Keuntungan |
|---|---|
| Terapkan kunci Resource Manager pada akun penyimpanan. | Kunci akun untuk mencegah penghapusan akun penyimpanan yang tidak disengaja atau berbahaya, yang dapat menyebabkan kehilangan data. |
| Anda harus membuka port 2049 pada klien yang ingin Anda pasang berbagi NFS Anda. | Buka port 2049 untuk memungkinkan klien berkomunikasi dengan berbagi file NFS Azure. |
| Berbagi file NFS Azure hanya dapat diakses melalui jaringan terbatas. Jadi Anda harus membuat titik akhir privat untuk akun penyimpanan Anda atau membatasi akses titik akhir publik ke jaringan virtual dan alamat IP yang dipilih. Kami menyarankan agar Anda membuat titik akhir privat. Anda harus mengonfigurasi keamanan tingkat jaringan untuk berbagi NFS karena Azure Files tidak mendukung enkripsi saat transit dengan protokol NFS. Anda perlu menonaktifkan pengaturan Perlu transfer aman pada akun penyimpanan untuk menggunakan berbagi file NFS Azure. Tarif pemrosesan data standar berlaku untuk titik akhir privat. Jika Anda tidak memerlukan alamat IP statis untuk berbagi file Anda dan ingin menghindari biaya titik akhir privat, Anda dapat membatasi akses titik akhir publik sebagai gantinya. |
Lalu lintas jaringan melakukan perjalanan melalui jaringan backbone Microsoft alih-alih internet publik, yang menghilangkan paparan risiko dari internet publik. |
| Pertimbangkan untuk melarang akses kunci akun penyimpanan di tingkat akun penyimpanan. Anda tidak memerlukan akses ini untuk memasang berbagi file NFS. Tetapi perlu diingat bahwa kontrol administratif penuh atas berbagi file, termasuk kemampuan untuk mengambil kepemilikan file, memerlukan penggunaan kunci akun penyimpanan. | Larang penggunaan kunci akun penyimpanan untuk membuat akun penyimpanan Anda lebih aman. |
Pengoptimalan Biaya
Pengoptimalan Biaya berfokus pada mendeteksi pola pengeluaran, memprioritaskan investasi di area penting, dan mengoptimalkan orang lain untuk memenuhi anggaran organisasi sambil memenuhi persyaratan bisnis.
Prinsip desain Pengoptimalan Biaya menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dan membuat tradeoff seperlunya dalam desain teknis yang terkait dengan penyimpanan file dan lingkungannya.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Pengoptimalan Biaya untuk investasi. Sesuaikan desain sehingga beban kerja selaras dengan anggaran yang dialokasikan untuk beban kerja. Desain Anda harus menggunakan kemampuan Azure yang tepat, memantau investasi, dan menemukan peluang untuk dioptimalkan dari waktu ke waktu.
Tentukan apakah beban kerja Anda memerlukan performa berbagi file premium (Azure Premium SSD) atau apakah penyimpanan HDD Standar Azure cukup: Tentukan jenis akun penyimpanan dan model penagihan Anda berdasarkan jenis penyimpanan yang Anda butuhkan. Jika Anda memerlukan sejumlah besar operasi input/output per detik (IOPS), kecepatan transfer data yang sangat cepat, atau latensi yang sangat rendah, maka Anda harus memilih berbagi file Azure premium. Berbagi file NFS Azure hanya tersedia di tingkat premium. Berbagi file NFS dan SMB adalah harga yang sama pada tingkat premium.
Buat akun penyimpanan untuk berbagi file Anda, dan pilih tingkat redundansi: Pilih akun standar (GPv2) atau premium (FileStorage). Tingkat redundansi yang Anda pilih memengaruhi biaya. Semakin banyak redundansi, semakin tinggi biayanya. Penyimpanan redundan lokal (LRS) adalah yang paling terjangkau. GRS hanya tersedia untuk berbagi file SMB standar. Berbagi file standar hanya menampilkan informasi transaksi di tingkat akun penyimpanan, jadi kami sarankan Anda hanya menyebarkan satu berbagi file di setiap akun penyimpanan untuk memastikan visibilitas penagihan penuh.
Pahami bagaimana tagihan Anda dihitung: Berbagi file Azure Standar menyediakan model bayar sesuai pemakaian. Berbagi premium menggunakan model yang disediakan di mana Anda menentukan dan membayar sejumlah kapasitas, IOPS, dan throughput di muka. Dalam model bayar sesuai penggunaan, meter melacak jumlah data yang disimpan di akun, atau kapasitas, dan jumlah dan jenis transaksi berdasarkan penggunaan data tersebut. Model bayar sesuai pemakaian bisa hemat biaya karena Anda hanya membayar untuk apa yang Anda gunakan. Dengan model bayar sesuai pemakaian, Anda tidak perlu melakukan provisi atau deprovisi penyimpanan berlebih berdasarkan persyaratan performa atau fluktuasi permintaan.
Tetapi Anda mungkin merasa sulit untuk merencanakan penyimpanan sebagai bagian dari proses anggaran karena konsumsi pengguna akhir mendorong biaya. Dengan model yang disediakan, transaksi tidak memengaruhi penagihan, sehingga biaya mudah diprediksi. Tetapi Anda membayar kapasitas penyimpanan yang disediakan apakah Anda menggunakannya atau tidak. Untuk perincian terperinci tentang bagaimana biaya dihitung, lihat Memahami penagihan Azure Files.
Perkirakan biaya kapasitas dan operasi: Anda dapat menggunakan kalkulator harga Azure untuk memodelkan biaya yang terkait dengan penyimpanan data, ingress, dan egress. Bandingkan biaya yang terkait dengan berbagai wilayah, jenis akun, dan konfigurasi redundansi. Untuk informasi selengkapnya, lihat Harga Azure Files.
Pilih tingkat akses yang paling hemat biaya: Berbagi file Azure SMB Standar menawarkan tiga tingkat akses: transaksi dioptimalkan, panas, dan dingin. Ketiga tingkatan disimpan pada perangkat keras penyimpanan standar yang sama. Perbedaan utama untuk ketiga tingkatan ini adalah data mereka pada harga penyimpanan tidak aktif, yang lebih rendah dalam tingkat yang lebih dingin, dan harga transaksi, yang lebih tinggi di tingkat yang lebih dingin. Untuk informasi selengkapnya, lihat Perbedaan tingkat standar.
Tentukan layanan bernilai tambah mana yang Anda butuhkan: Azure Files mendukung integrasi dengan layanan bernilai tambah seperti Backup, Azure File Sync, dan Defender for Storage. Solusi ini memiliki lisensi dan biaya produk mereka sendiri tetapi sering dianggap sebagai bagian dari total biaya kepemilikan untuk penyimpanan file. Pertimbangkan aspek biaya lain jika Anda menggunakan Azure File Sync.
Membuat pagar pembatas: Membuat anggaran berdasarkan langganan dan grup sumber daya. Gunakan kebijakan tata kelola untuk membatasi jenis sumber daya, konfigurasi, dan lokasi. Selain itu, gunakan kontrol akses berbasis peran (RBAC) untuk memblokir tindakan yang dapat menyebabkan pengeluaran berlebih.
Memantau biaya: Pastikan biaya tetap dalam anggaran, bandingkan biaya dengan prakiraan, dan lihat di mana pengeluaran berlebihan terjadi. Anda dapat menggunakan panel analisis biaya di portal Azure untuk memantau biaya. Anda juga dapat mengekspor data biaya ke akun penyimpanan, dan menggunakan Excel atau Power BI untuk menganalisis data tersebut.
Memantau penggunaan: Terus memantau pola penggunaan untuk mendeteksi akun penyimpanan dan berbagi file yang tidak digunakan atau kurang digunakan. Periksa peningkatan kapasitas yang tidak terduga, yang mungkin menunjukkan bahwa Anda mengumpulkan banyak file log atau file yang dihapus sementara. Kembangkan strategi untuk menghapus file atau memindahkan file ke tingkat akses yang lebih hemat biaya.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Saat Anda bermigrasi ke berbagi file Azure standar, kami sarankan Anda memulai di tingkat yang dioptimalkan transaksi selama migrasi awal. Penggunaan transaksi selama migrasi biasanya tidak menunjukkan penggunaan transaksi normal. Pertimbangan ini tidak berlaku untuk berbagi file premium karena model penagihan yang disediakan tidak dikenakan biaya untuk transaksi. | Migrasi ke Azure Files adalah beban kerja sementara yang berat untuk transaksi. Optimalkan harga untuk beban kerja transaksi tinggi untuk membantu mengurangi biaya migrasi. |
| Setelah Anda memigrasikan beban kerja, jika Anda menggunakan berbagi file standar, pilih tingkat akses paling hemat biaya untuk berbagi file Anda: panas, dingin, atau transaksi yang dioptimalkan. Setelah beroperasi selama beberapa hari atau minggu dengan penggunaan reguler, Anda dapat memasukkan jumlah transaksi Anda dalam kalkulator harga untuk mengetahui tingkat mana yang paling sesuai dengan beban kerja Anda. Sebagian besar pelanggan harus memilih dingin meskipun mereka secara aktif menggunakan berbagi. Tetapi Anda harus memeriksa setiap berbagi dan membandingkan keseimbangan kapasitas penyimpanan dengan transaksi untuk menentukan tingkat Anda. Jika biaya transaksi membentuk persentase signifikan dari tagihan Anda, penghematan dari penggunaan tingkat akses dingin sering mengimbangi biaya ini dan meminimalkan total biaya keseluruhan. Kami menyarankan agar Anda memindahkan berbagi file standar antar tingkat akses hanya jika perlu untuk mengoptimalkan perubahan dalam pola beban kerja Anda. Setiap pemindahan menimbulkan transaksi. Untuk informasi selengkapnya, lihat Beralih antar tingkat standar. |
Pilih tingkat akses yang sesuai untuk berbagi file standar untuk mengurangi biaya Anda secara besar-besaran. |
| Jika Anda menggunakan berbagi premium, pastikan Anda menyediakan lebih dari cukup kapasitas dan performa untuk beban kerja Anda tetapi tidak terlalu banyak sehingga Anda dikenakan biaya yang tidak perlu. Kami merekomendasikan provisi berlebih sebanyak dua hingga tiga kali. Anda dapat menskalakan berbagi file premium secara dinamis ke atas atau ke bawah tergantung pada karakteristik performa penyimpanan dan input/output (IO) Anda. | Pembagian file premium provisi berlebih dengan jumlah yang wajar untuk membantu menjaga performa dan memperhitungkan persyaratan pertumbuhan dan performa di masa mendatang. |
| Gunakan reservasi Azure Files, juga disebut sebagai instans yang dipesan, untuk melakukan pra-penerapan penggunaan penyimpanan dan mendapatkan diskon. Gunakan reservasi untuk beban kerja produksi atau beban kerja dev/test dengan jejak yang konsisten. Untuk informasi selengkapnya, lihat Mengoptimalkan biaya dengan reservasi penyimpanan. Reservasi tidak termasuk biaya transaksi, bandwidth, transfer data, dan penyimpanan metadata. |
Reservasi tiga tahun dapat memberikan diskon hingga 36% pada total biaya penyimpanan file. Reservasi tidak memengaruhi performa. |
| Pantau penggunaan rekam jepret. Rekam jepret dikenakan biaya, tetapi ditagih berdasarkan penggunaan penyimpanan diferensial dari setiap rekam jepret. Anda hanya membayar selisih dalam setiap rekam jepret. Untuk informasi selengkapnya, lihat Snapshots. Azure File Sync mengambil rekam jepret tingkat berbagi dan tingkat file sebagai bagian dari penggunaan reguler, yang dapat meningkatkan total tagihan Azure Files Anda. |
Rekam jepret diferensial memastikan bahwa Anda tidak ditagih beberapa kali untuk menyimpan data yang sama. Namun, Anda masih harus memantau penggunaan rekam jepret untuk membantu mengurangi tagihan Azure Files Anda. |
| Atur periode retensi untuk fitur penghapusan sementara, terutama saat Anda pertama kali mulai menggunakannya. Pertimbangkan untuk memulai dengan periode retensi singkat untuk lebih memahami bagaimana fitur tersebut memengaruhi tagihan Anda. Periode retensi minimum yang direkomendasikan adalah tujuh hari. Saat Anda menghapus sementara berbagi file standar dan premium, mereka ditagih sebagai kapasitas yang digunakan daripada kapasitas yang disediakan. Dan berbagi file premium ditagih pada tingkat rekam jepret saat dalam status penghapusan sementara. Berbagi file standar ditagih dengan tarif reguler saat berada dalam status penghapusan sementara. |
Atur periode retensi sehingga file yang dihapus sementara tidak menumpuk dan meningkatkan biaya kapasitas. Setelah periode retensi yang dikonfigurasi, data yang dihapus secara permanen tidak dikenakan biaya. |
Keunggulan Operasional
Keunggulan Operasional terutama berfokus pada prosedur untuk praktik pengembangan, pengamatan, dan manajemen rilis.
Prinsip desain Keunggulan Operasional menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut untuk persyaratan operasional beban kerja.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Keunggulan Operasional untuk menentukan proses untuk pengamatan, pengujian, dan penyebaran yang terkait dengan konfigurasi penyimpanan file Anda.
Membuat rencana pemeliharaan dan pemulihan darurat: Pertimbangkan fitur perlindungan data, operasi pencadangan dan pemulihan, dan prosedur failover. Bersiaplah untuk potensi kehilangan data dan inkonsistensi data serta waktu dan biaya failover.
Memantau kesehatan akun penyimpanan Anda: Membuat dasbor wawasan Penyimpanan untuk memantau metrik ketersediaan, performa, dan ketahanan. Siapkan pemberitahuan untuk mengidentifikasi dan mengatasi masalah di sistem Anda sebelum pelanggan Anda memperhatikannya. Gunakan pengaturan diagnostik untuk merutekan log sumber daya ke ruang kerja Log Azure Monitor. Kemudian Anda dapat mengkueri log untuk menyelidiki pemberitahuan lebih dalam.
Meninjau aktivitas berbagi file secara berkala: Aktivitas berbagi dapat berubah dari waktu ke waktu. Pindahkan berbagi file standar ke tingkat akses yang lebih dingin, atau Anda dapat menyediakan atau mendeprovisi kapasitas untuk berbagi premium. Saat Anda memindahkan berbagi file standar ke tingkat akses yang berbeda, Anda dikenakan biaya transaksi. Pindahkan berbagi file standar hanya jika diperlukan untuk mengurangi tagihan bulanan Anda.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Gunakan infrastruktur sebagai kode (IaC) untuk menentukan detail akun penyimpanan Anda di templat Azure Resource Manager (templat ARM), Bicep, atau Terraform. | Anda dapat menggunakan proses DevOps yang ada untuk menyebarkan akun penyimpanan baru, dan menggunakan Azure Policy untuk menerapkan konfigurasinya. |
| Gunakan Wawasan Penyimpanan untuk melacak kesehatan dan performa akun penyimpanan Anda. Wawasan penyimpanan memberikan tampilan terpadu tentang kegagalan, performa, ketersediaan, dan kapasitas untuk semua akun penyimpanan Anda. | Anda dapat melacak kesehatan dan pengoperasian setiap akun Anda. Buat dasbor dan laporan yang dapat digunakan pemangku kepentingan dengan mudah untuk melacak kesehatan akun penyimpanan Anda. |
| Gunakan Monitor untuk menganalisis metrik, seperti ketersediaan, latensi, dan penggunaan, dan untuk membuat pemberitahuan. | Monitor menyediakan tampilan ketersediaan, performa, dan ketahanan untuk berbagi file Anda. |
Efisiensi Performa
Efisiensi Performa adalah tentang mempertahankan pengalaman pengguna bahkan ketika ada peningkatan beban dengan mengelola kapasitas. Strategi ini mencakup penskalaan sumber daya, mengidentifikasi dan mengoptimalkan potensi hambatan, dan mengoptimalkan performa puncak.
Prinsip desain Efisiensi Performa menyediakan strategi desain tingkat tinggi untuk mencapai tujuan kapasitas tersebut terhadap penggunaan yang diharapkan.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Efisiensi Performa. Tentukan garis besar yang didasarkan pada indikator performa utama untuk konfigurasi penyimpanan file Anda.
Rencanakan skala: Pahami skalabilitas dan target performa untuk akun penyimpanan, Azure Files, dan Azure File Sync.
Pahami pola aplikasi dan penggunaan Anda untuk mencapai performa yang dapat diprediksi: Tentukan sensitivitas latensi, persyaratan IOPS dan throughput, durasi dan frekuensi beban kerja, dan paralelisasi beban kerja. Gunakan Azure Files untuk aplikasi multi-utas untuk membantu Anda mencapai batas performa atas layanan. Jika sebagian besar permintaan Anda berpusat pada metadata, seperti createfile, openfile, closefile, queryinfo, atau querydirectory, permintaan membuat latensi buruk yang lebih tinggi dari operasi baca dan tulis. Jika Anda memiliki masalah ini, pertimbangkan untuk memisahkan berbagi file menjadi beberapa berbagi file dalam akun penyimpanan yang sama.
Pilih jenis akun penyimpanan yang optimal: Jika beban kerja Anda memerlukan IOPS dalam jumlah besar, kecepatan transfer data yang sangat cepat, atau latensi yang sangat rendah, maka Anda harus memilih akun penyimpanan premium (FileStorage). Anda dapat menggunakan akun v2 tujuan umum standar untuk sebagian besar beban kerja berbagi file SMB. Tradeoff utama antara dua jenis akun penyimpanan adalah biaya versus performa.
Ukuran berbagi yang disediakan, seperti IOPS, egress, dan ingress, dan batas file tunggal menentukan performa berbagi premium. Untuk informasi selengkapnya, lihat Memahami provisi untuk berbagi file premium. Berbagi file premium juga menawarkan kredit burst sebagai kebijakan asuransi jika Anda perlu untuk sementara melebihi batas IOPS dasar berbagi file premium.
Buat akun penyimpanan di wilayah yang sama dengan menghubungkan klien untuk mengurangi latensi: Semakin jauh Anda dari layanan Azure Files, semakin besar latensi dan semakin sulit untuk mencapai batas skala performa. Pertimbangan ini terutama berlaku saat Anda mengakses Azure Files dari lingkungan lokal. Jika memungkinkan, pastikan akun penyimpanan dan klien Anda berada di wilayah Azure yang sama. Optimalkan untuk klien lokal dengan meminimalkan latensi jaringan atau dengan menggunakan koneksi ExpressRoute untuk memperluas jaringan lokal ke cloud Microsoft melalui koneksi privat.
Mengumpulkan data performa: Memantau performa beban kerja, termasuk metrik latensi, ketersediaan, dan penggunaan . Analisis log untuk mendiagnosis masalah seperti batas waktu dan pembatasan. Buat pemberitahuan untuk memberi tahu Anda jika berbagi file sedang dibatasi, akan dibatasi, atau mengalami latensi tinggi.
Optimalkan untuk penyebaran hibrid: Jika Anda menggunakan Azure File Sync, performa sinkronisasi bergantung pada banyak faktor: Windows Server Anda dan konfigurasi disk yang mendasar, bandwidth jaringan antara server dan penyimpanan Azure, ukuran file, ukuran total himpunan data, dan aktivitas pada himpunan data. Untuk mengukur performa solusi yang didasarkan pada Azure File Sync, tentukan jumlah objek, seperti file dan direktori, yang Anda proses per detik.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Aktifkan SMB Multichannel untuk berbagi file SMB premium. SMB Multichannel memungkinkan klien SMB 3.1.1 membuat beberapa koneksi jaringan ke berbagi file Azure SMB. SMB Multichannel hanya berfungsi saat fitur diaktifkan di sisi klien (klien Anda) dan sisi layanan (Azure). Pada klien Windows, SMB Multichannel diaktifkan secara default, tetapi Anda perlu mengaktifkannya di akun penyimpanan Anda. |
Tingkatkan throughput dan IOPS sekaligus mengurangi total biaya kepemilikan. Manfaat performa meningkat dengan jumlah file yang mendistribusikan beban. |
| Gunakan opsi pemasangan sisi klien nconnect dengan berbagi file NFS Azure di klien Linux. Nconnect memungkinkan Anda menggunakan lebih banyak koneksi TCP antara klien dan layanan premium Azure Files untuk NFSv4.1. | Tingkatkan performa dalam skala besar, dan kurangi total biaya kepemilikan untuk berbagi file NFS. |
| Pastikan berbagi file atau akun penyimpanan Anda tidak dibatasi, yang dapat mengakibatkan latensi tinggi, throughput rendah, atau IOPS rendah. Permintaan dibatasi ketika batas IOPS, ingress, atau egress tercapai. Untuk akun penyimpanan standar, pembatasan terjadi di tingkat akun. Untuk berbagi file premium, pembatasan biasanya terjadi di tingkat berbagi. |
Hindari pembatasan untuk memberikan pengalaman klien terbaik. |
Kebijakan Azure
Azure menyediakan serangkaian kebijakan bawaan yang luas yang terkait dengan Azure Files. Beberapa rekomendasi sebelumnya dapat diaudit melalui kebijakan Azure. Misalnya, Anda dapat memeriksa apakah:
- Hanya permintaan dari koneksi aman, seperti HTTPS, yang diterima.
- Otorisasi kunci bersama dinonaktifkan.
- Aturan firewall jaringan diterapkan ke akun.
- Pengaturan diagnostik untuk Azure Files diatur untuk mengalirkan log sumber daya ke ruang kerja Log Azure Monitor.
- Akses jaringan publik dinonaktifkan.
- Azure File Sync dikonfigurasi dengan titik akhir privat untuk menggunakan zona DNS privat.
Untuk tata kelola komprehensif, tinjau definisi bawaan Azure Policy untuk penyimpanan dan kebijakan lain yang mungkin memengaruhi keamanan lapisan komputasi.
Rekomendasi Azure Advisor
Azure Advisor adalah konsultan cloud yang dipersonalisasi yang membantu Anda mengikuti cara terbaik untuk mengoptimalkan pengoperasian Azure Anda. Berikut adalah beberapa rekomendasi yang dapat membantu Anda meningkatkan keandalan, keamanan, efektivitas biaya, performa, dan keunggulan operasional Azure Files.
Langkah selanjutnya
Untuk informasi selengkapnya, lihat dokumentasi Azure Files.