Azure Dosyalar üzerinde Azure İyi Tasarlanmış Çerçeve perspektifi
Azure Dosyalar, bulut için bir Microsoft dosya depolama çözümüdür. Azure Dosyalar, buluttaki, şirket içindeki veya her ikisine de bağlayabileceğiniz sunucu ileti bloğu (SMB) ve ağ dosya sistemi (NFS) dosya paylaşımları sağlar. Azure Dosya Eşitleme kullanarak SMB dosya paylaşımlarını yerel bir Windows sunucusunda önbelleğe alabilir ve sık kullanılmayan dosyaları bulutta katmanlayabilirsiniz.
Bu makalede, bir mimar olarak depolama seçeneklerini gözden geçirip iş yüklerinizin çalıştırıldığı depolama hizmeti olarak Azure Dosyalar seçtiğiniz varsayılır. Bu makaledeki kılavuz, Azure İyi Tasarlanmış Çerçeve yapı taşlarının ilkelerine eşlenen mimari öneriler sağlar.
Önemli
Bu kılavuzu kullanma
Her bölümün, teknoloji kapsamına göre yerelleştirilmiş tasarım stratejilerinin yanı sıra, mimari olarak ilgili alanları sunan bir tasarım denetim listesi vardır.
Ayrıca, bu stratejilerin uygulanmasına yardımcı olabilecek teknoloji özellikleriyle ilgili öneriler de dahildir. Öneriler, Azure Dosyalar ve bağımlılıkları için kullanılabilen tüm yapılandırmaların kapsamlı bir listesini temsil etmemektedir. Bunun yerine, tasarım perspektiflerine eşlenen önemli önerileri listeler. Kavram kanıtınızı oluşturmak veya mevcut ortamlarınızı iyileştirmek için önerileri kullanın.
Güvenilirlik
Güvenilirlik sütununun amacı, yeterli dayanıklılık ve hatalardan hızlı kurtarma olanağı oluşturarak sürekli işlevsellik sağlamaktır.
Güvenilirlik tasarım ilkeleri tek tek bileşenler, iş yükleri, sistem akışları ve bir bütün olarak sistem için uygulanan üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
Güvenilirlik için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın.
Hata modu analizini kullanma: Sanal ağların, Azure Key Vault'un veya Azure Content Delivery Network veya Azure Front Door uç noktalarının kullanılabilirliği gibi iç bağımlılıkları göz önünde bulundurarak hata noktalarını en aza indirin. Azure Dosyalar erişmek için kimlik bilgilerine ihtiyacınız varsa ve kimlik bilgileri Key Vault'ta kaybolursa hatalar oluşabilir. veya iş yükleriniz eksik içerik teslim ağını temel alan bir uç nokta kullanıyorsa bir hatayla karşınıza çıkabilir. Böyle durumlarda, iş yüklerinizi alternatif bir uç noktaya bağlanacak şekilde yapılandırmanız gerekebilir. Hata modu analizi hakkında genel bilgi için bkz . Hata modu analizi gerçekleştirme önerileri.
Güvenilirlik ve kurtarma hedeflerini tanımlama: Azure hizmet düzeyi sözleşmelerini (SLA)gözden geçirin. Depolama hesabı için hizmet düzeyi hedefini (SLO) türetin. Örneğin, seçtiğiniz yedeklilik yapılandırması SLO'yı etkileyebilir. Bölgesel bir kesintinin etkisini, veri kaybı olasılığını ve kesinti sonrasında erişimi geri yüklemek için gereken süreyi göz önünde bulundurun. Hata modu analizinizin bir parçası olarak tanımladığınız iç bağımlılıkların kullanılabilirliğini de göz önünde bulundurun.
Veri yedekliliğini yapılandırma: Maksimum dayanıklılık için kullanılabilirlik alanları veya genel bölgeler arasında veri kopyalayan bir yapılandırma seçin. En yüksek kullanılabilirlik için, istemcilerin birincil bölgede kesinti sırasında ikincil bölgeden verileri okumasına olanak tanıyan bir yapılandırma seçin.
Uygulama tasarlama: Uygulamalarınızı , birincil bölge kullanılamıyorsa ikincil bölgeden verileri okuyacak şekilde sorunsuz bir şekilde kaydıracak şekilde tasarlar. Bu tasarımda dikkat edilmesi gerekenler yalnızca coğrafi olarak yedekli depolama (GRS) ve coğrafi alanlar arası yedekli depolama (GZRS) yapılandırmaları için geçerlidir. Uygulamalarınızı kesintileri düzgün bir şekilde işleyecek şekilde tasarlar ve bu da müşterilerin kapalı kalma süresini azaltır.
Kurtarma hedeflerinizi karşılamanıza yardımcı olacak özellikleri keşfedin: Bozuk, düzenlenmiş veya silinmiş dosyaları kurtarabilmeniz için dosyaları geri yüklenebilir hale getirin.
Kurtarma planı oluşturma: Veri koruma özelliklerini, yedekleme ve geri yükleme işlemlerini veya yük devretme yordamlarını göz önünde bulundurun. Olası veri kaybına ve veri tutarsızlıklarına ve yük devretmenin zamanına ve maliyetine hazırlanın. Daha fazla bilgi için bkz . Olağanüstü durum kurtarma stratejisi tasarlama önerileri.
Olası kullanılabilirlik sorunlarını izleme: Olası kullanılabilirlik sorunlarını izlemek için Azure Hizmet Durumu panosuna abone olun. Uyarıları araştırmak için Azure İzleyici'de depolama ölçümlerini ve tanılama günlüklerini kullanın.
Öneriler
| Öneri | Avantaj |
|---|---|
| Depolama hesabınızı yedeklilik için yapılandırın. Maksimum kullanılabilirlik ve dayanıklılık için hesabınızı alanlar arası yedekli depolama (ZRS), GRS veya GZRS ile yapılandırın. Sınırlı Azure bölgeleri standart ve premium dosya paylaşımları için ZRS'i destekler. Yalnızca standart SMB hesapları GRS ve GZRS'i destekler. Premium SMB paylaşımları ve NFS paylaşımları GRS ve GZRS'i desteklemez. Azure Dosyalar okuma erişimli coğrafi olarak yedekli depolamayı (RA-GRS) veya okuma erişimli coğrafi alanlar arası yedekli depolamayı (RA-GZRS) desteklemez. Bir depolama hesabını RA-GRS veya RA-GZRS kullanacak şekilde yapılandırırsanız, dosya paylaşımları GRS veya GZRS olarak yapılandırılır ve faturalandırılır. |
Yedeklilik, verilerinizi beklenmeyen hatalara karşı korur. ZRS ve GZRS yapılandırma seçenekleri çeşitli kullanılabilirlik alanlarında çoğaltılır ve uygulamaların kesinti sırasında verileri okumaya devam etmelerini sağlar. Daha fazla bilgi için bkz . Kesinti senaryosuna göre dayanıklılık ve kullanılabilirlik ve Dayanıklılık ve kullanılabilirlik parametreleri. |
| Yük devretme veya yeniden çalışma başlatmadan önce, veri kaybı olasılığını değerlendirmek için son eşitleme zamanı özelliğinin değerini denetleyin. Bu öneri yalnızca GRS ve GZRS yapılandırmaları için geçerlidir. | Bu özellik, bir hesap yük devretmesi başlatırsanız ne kadar veri kaybedeceğinizi tahmin yardımcı olur. Son eşitleme zamanından önce yazılmış olan tüm veriler ve meta veriler ikincil bölgede kullanılabilir, ancak son eşitleme zamanından sonra yazılan verileri ve meta verileri, ikincil bölgeye yazılmadığı için kaybedebilirsiniz. |
| Yedekleme ve kurtarma stratejinizin bir parçası olarak geçici silmeyi etkinleştirin ve belirli bir noktaya geri yükleme için anlık görüntüleri kullanın. SMB dosya paylaşımlarınızı yedeklemek için Azure Backup'ı kullanabilirsiniz. Şirket içi SMB dosya paylaşımlarını bir Azure dosya paylaşımına yedeklemek için de Azure Dosya Eşitleme kullanabilirsiniz. Azure Backup ayrıca kötü amaçlı bir aktör veya düzenbaz yönetici nedeniyle verilerinizi fidye yazılımı saldırılarına veya kaynak veri kaybına karşı korumak için Azure Dosyalar kasalı yedekleme (önizleme) yapmanıza olanak tanır. Azure Backup, kasalı yedeklemeyi kullanarak verileri Kurtarma Hizmetleri kasasına kopyalar ve depolar. Bu, 99 yıla kadar saklayabileceğiniz bir veri kopyası oluşturur. Azure Backup, kurtarma noktalarını yedekleme ilkesinde tanımlanan zamanlama ve bekletmeye göre oluşturur ve yönetir. Daha fazla bilgi edinin. |
Geçici silme, Azure dosya paylaşımlarını yanlışlıkla silinmeye karşı korumak için dosya paylaşımı düzeyinde çalışır. Belirli bir noktaya geri yükleme, dosya paylaşımlarını önceki bir duruma geri yükleyebildiğiniz için yanlışlıkla silinmeye veya bozulmaya karşı koruma sağlar. Daha fazla bilgi için bkz . Veri korumasına genel bakış. |
Güvenlik
Güvenlik sütununun amacı iş yüküne gizlilik, bütünlük ve kullanılabilirlik garantileri sağlamaktır.
Güvenlik tasarımı ilkeleri, dosya depolama yapılandırmanızın teknik tasarımına yaklaşımlar uygulayarak bu hedeflere ulaşmak için üst düzey bir tasarım stratejisi sağlar.
Güvenlik gereksinimleri ve önerileri, iş yükünüzün dosya paylaşımlarınıza erişmek için SMB veya NFS protokollerini kullanıp kullanmadığına bağlı olarak değişir. Bu nedenle aşağıdaki bölümlerde SMB ve NFS dosya paylaşımları için ayrı tasarım denetim listeleri ve öneriler bulunur.
En iyi uygulama olarak, SMB ve NFS dosya paylaşımlarını farklı güvenlik gereksinimleri olduğundan ayrı depolama hesaplarında tutmalısınız. İş yükünüz için güçlü güvenlik ve yüksek esneklik sağlamak için bu yaklaşımı kullanın.
SMB dosya paylaşımları için tasarım denetim listesi
Güvenlik için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın. Güvenlik duruşunu geliştirmek için güvenlik açıklarını ve denetimleri belirleyin. Gerektiğinde daha fazla yaklaşım içerecek şekilde stratejiyi genişletin.
Azure Depolama için güvenlik temelini gözden geçirin: Başlamak için Depolama için güvenlik temelini gözden geçirin.
Giriş ve çıkış trafiğini kısıtlamak için ağ denetimlerini kullanmayı göz önünde bulundurun: Dosya paylaşımlarına erişim vermek için kimlik tabanlı kimlik doğrulaması kullanıyorsanız, belirli koşullar altında depolama hesabınızı genel İnternet'e açıklayabilirsiniz. Ancak, kullanıcılara ve uygulamalara gereken en düşük erişim düzeyini vermek için ağ denetimlerini kullanmanızı öneririz. Daha fazla bilgi için bkz . Depolama hesabınız için ağ güvenliğine yaklaşma.
Saldırı yüzeyini azaltın: Aktarım sırasında şifreleme kullanın ve saldırı yüzeyini azaltmak için güvenli olmayan (HTTP) bağlantılar üzerinden erişimi engelleyin. İstemcilerin Aktarım Katmanı Güvenliği (TLS) protokolünün en son sürümünü kullanarak veri göndermesini ve almasını zorunlu kılın.
Depolama hesabı anahtarlarının kullanımını en aza indirin: Kimlik tabanlı kimlik doğrulaması , depolama hesabı anahtarı kullanımına kıyasla üstün güvenlik sağlar. Ancak, bir dosyanın sahipliğini alma özelliği de dahil olmak üzere bir dosya paylaşımının tam yönetim denetimini almak için bir depolama hesabı anahtarı kullanmanız gerekir. Güvenlik sorumlularına yalnızca görevlerini gerçekleştirmek için gereken izinleri verin.
Hassas bilgileri koruma: Depolama hesabı anahtarları ve parolalar gibi hassas bilgileri koruyun. Bu yetkilendirme biçimlerini kullanmanızı önermiyoruz, ancak kullanıyorsanız bunları güvenli bir şekilde döndürdüğünüzden, süresi dolduğundan ve depoladığınızdan emin olmanız gerekir.
Tehditleri algılama: SMB veya FileREST protokolleri üzerinden Azure dosya paylaşımlarınıza erişmeye veya bu paylaşımlardan yararlanmaya yönelik zararlı olabilecek girişimleri algılamak için Depolama için Microsoft Defender'ı etkinleştirin. Abonelik yöneticileri şüpheli etkinliğin ayrıntılarını içeren e-posta uyarıları ve tehditleri araştırma ve düzeltme hakkında öneriler alır. Depolama için Defender, Azure dosya paylaşımları için virüsten koruma özelliklerini desteklemez. Depolama için Defender kullanıyorsanız işlem açısından ağır dosya paylaşımları önemli maliyetler doğurabilir, bu nedenle belirli depolama hesapları için Depolama için Defender'ı geri çevirmeyi göz önünde bulundurun.
SMB dosya paylaşımları için öneriler
| Öneri | Avantaj |
|---|---|
| Depolama hesabına bir Azure Resource Manager kilidi uygulayın. | Depolama hesabının yanlışlıkla veya kötü amaçlı silinmesini önlemek için hesabı kilitleyerek veri kaybına neden olabilir. |
| Giden TCP bağlantı noktası 445'i açın veya Azure dışındaki istemcilerin dosya paylaşımına erişmesi için bir VPN ağ geçidi veya Azure ExpressRoute bağlantısı ayarlayın. | SMB 3.x, İnternet'e güvenli bir protokoldür, ancak kuruluş veya ISS ilkelerini değiştirme olanağınız olmayabilir. Alternatif seçenek olarak VPN ağ geçidi veya ExpressRoute bağlantısı kullanabilirsiniz. |
| Bağlantı noktası 445'i açarsanız Windows ve Linux istemcilerinde SMBv1'i devre dışı bırakdığınızdan emin olun. Azure Dosyalar SMB 1'i desteklemez, ancak istemcilerinde devre dışı bırakmanız gerekir. | SMB 1 eski, verimsiz ve güvenli olmayan bir protokoldür. Güvenlik duruşunuzu geliştirmek için istemcilerde devre dışı bırakın. |
| Depolama hesabınıza genel ağ erişimini devre dışı bırakmayı göz önünde bulundurun. Yalnızca Azure dışındaki SMB istemcileri ve hizmetleri depolama hesabınıza erişim gerektiriyorsa genel ağ erişimini etkinleştirin. Genel ağ erişimini devre dışı bırakırsanız depolama hesabınız için özel bir uç nokta oluşturun. Özel uç noktalar için standart veri işleme oranları geçerlidir. Özel uç nokta, genel uç noktaya bağlantıları engellemez. Daha önce açıklandığı gibi genel ağ erişimini devre dışı bırakmanız gerekir. Dosya paylaşımınız için statik IP adresi gerekmiyorsa ve özel uç noktaların maliyetinden kaçınmak istiyorsanız, bunun yerine genel uç nokta erişimini belirli sanal ağlara ve IP adreslerine kısıtlayabilirsiniz. |
Ağ trafiği, genel İnternet yerine Microsoft omurga ağı üzerinden hareket eder ve bu da genel İnternet'ten risk riskini ortadan kaldırır. |
| Erişimi belirli sanal ağlara sınırlayan güvenlik duvarı kurallarını etkinleştirin. Sıfır erişimle başlayın ve ardından istemciler ve hizmetler için gereken en az miktarda erişimi yöntemsel ve artımlı olarak sağlayın. | Saldırganlar için açıklık oluşturma riskini en aza indirin. |
| Mümkün olduğunda, SMB Azure dosya paylaşımlarına erişim yetkisi vermek için AES-256 Kerberos anahtar şifrelemesi ile kimlik tabanlı kimlik doğrulamasını kullanın. | Bir saldırganın dosya paylaşımlarına erişmek için depolama hesabı anahtarı kullanma olasılığını azaltmak için kimlik tabanlı kimlik doğrulamasını kullanın. |
| Depolama hesabı anahtarlarını kullanıyorsanız bunları Key Vault'ta depolayın ve düzenli aralıklarla yeniden oluşturduğunuzdan emin olun. NtLMv2'yi paylaşımın SMB güvenlik ayarlarından kaldırarak depolama hesabı anahtarının dosya paylaşımına erişimine tamamen izin verilmiyebilirsiniz. Ancak yöneticilerin bazı görevler için hesap anahtarını kullanması gerektiğinden, ntlmv2'yi genellikle paylaşımın SMB güvenlik ayarlarından kaldırmamanız gerekir. |
Anahtarları uygulamanızla kaydetmek yerine çalışma zamanında almak için Key Vault'ı kullanın. Key Vault, uygulamalarınızda kesinti yaşamadan anahtarlarınızı döndürmeyi de kolaylaştırır. Verilerinizi kötü amaçlı saldırılara maruz geçirme riskini azaltmak için hesap anahtarlarını düzenli aralıklarla döndürün. |
| Çoğu durumda, SMB dosya paylaşımları için aktarım sırasında şifrelemeyi etkinleştirmek için tüm depolama hesaplarınızda Güvenli aktarım gerekli seçeneğini etkinleştirmeniz gerekir. Çok eski istemcilerin paylaşıma erişmesine izin vermeniz gerekiyorsa bu seçeneği etkinleştirmeyin. Güvenli aktarımı devre dışı bırakırsanız trafiği kısıtlamak için ağ denetimlerini kullandığınızdan emin olun. |
Bu ayar, depolama hesabında yapılan tüm isteklerin güvenli bağlantılar (HTTPS) üzerinden gerçekleşmesini sağlar. HTTP üzerinden yapılan istekler başarısız olur. |
| Depolama hesabınızı , istemcilerin veri gönderip alabilmesi için TLS 1.2'nin en düşük sürüm olacak şekilde yapılandırın. | TLS 1.2, modern şifreleme algoritmalarını ve şifreleme paketlerini desteklemeyen TLS 1.0 ve 1.1'den daha güvenli ve daha hızlıdır. |
| Yalnızca en son desteklenen SMB protokolü sürümünü (şu anda 3.1.1.) kullanın ve SMB kanalı şifrelemesi için yalnızca AES-256-GCM kullanın. Azure Dosyalar, kuruluşunuzun gereksinimlerine bağlı olarak SMB protokolünü değiştirmek ve daha uyumlu veya daha güvenli hale getirmek için kullanabileceğiniz ayarları kullanıma sunar. Varsayılan olarak, tüm SMB sürümlerine izin verilir. Ancak, SMB 2.1 aktarımdaki verilerin şifrelenmesini desteklemediğinden Güvenli aktarım gerektir'i etkinleştirirseniz SMB 2.1'e izin verilmez. Bu ayarları yüksek güvenlik düzeyiyle kısıtlarsanız, bazı istemciler dosya paylaşımına bağlanamayabilir. |
Windows 10 ile yayınlanan SMB 3.1.1, önemli güvenlik ve performans güncelleştirmelerini içerir. AES-256-GCM daha güvenli kanal şifrelemesi sunar. |
NFS dosya paylaşımları için tasarım denetim listesi
Depolama için güvenlik temelini gözden geçirin: Başlamak için Depolama için güvenlik temelini gözden geçirin.
Kuruluşunuzun güvenlik gereksinimlerini anlama: NFS Azure dosya paylaşımları yalnızca NFSv4.1 protokolünü kullanan Linux istemcilerini destekler ve 4.1 protokol belirtiminin çoğu özelliğini destekler. Kerberos kimlik doğrulaması, erişim denetim listeleri (ACL' ler) ve aktarım sırasında şifreleme gibi bazı güvenlik özellikleri desteklenmez.
Giriş ve çıkış trafiğini kısıtlamak için ağ düzeyinde güvenlik ve denetimler kullanın: NFS Azure dosya paylaşımlarında kimlik tabanlı kimlik doğrulaması kullanılamaz, bu nedenle kullanıcılara ve uygulamalara gereken en düşük erişim düzeyini vermek için ağ düzeyinde güvenlik ve denetimler kullanmanız gerekir. Daha fazla bilgi için bkz . Depolama hesabınız için ağ güvenliğine yaklaşma.
NFS dosya paylaşımları için öneriler
| Öneri | Avantaj |
|---|---|
| Depolama hesabına Resource Manager kilidi uygulayın. | Depolama hesabının yanlışlıkla veya kötü amaçlı silinmesini önlemek için hesabı kilitleyerek veri kaybına neden olabilir. |
| NFS paylaşımınızı bağlamak istediğiniz istemcilerde 2049 numaralı bağlantı noktasını açmanız gerekir. | İstemcilerin NFS Azure dosya paylaşımıyla iletişim kurmasına izin vermek için 2049 numaralı bağlantı noktasını açın. |
| NFS Azure dosya paylaşımları yalnızca kısıtlı ağlar üzerinden erişilebilir. Bu nedenle, depolama hesabınız için özel bir uç nokta oluşturmanız veya seçili sanal ağlara ve IP adreslerine genel uç nokta erişimini kısıtlamanız gerekir. Özel uç nokta oluşturmanızı öneririz. Azure Dosyalar NFS protokolüyle aktarım sırasında şifrelemeyi desteklemediğinden NFS paylaşımları için ağ düzeyinde güvenlik yapılandırmanız gerekir. NFS Azure dosya paylaşımlarını kullanmak için depolama hesabında Güvenli aktarım gerektir ayarını devre dışı bırakmanız gerekir. Özel uç noktalar için standart veri işleme oranları geçerlidir. Dosya paylaşımınız için statik IP adresi gerekmiyorsa ve özel uç noktaların maliyetinden kaçınmak istiyorsanız, bunun yerine genel uç nokta erişimini kısıtlayabilirsiniz. |
Ağ trafiği, genel İnternet yerine Microsoft omurga ağı üzerinden hareket eder ve bu da genel İnternet'ten risk riskini ortadan kaldırır. |
| Depolama hesabı düzeyinde depolama hesabı anahtarı erişimine izin vermeyi göz önünde bulundurun. NFS dosya paylaşımlarını bağlamak için bu erişime ihtiyacınız yoktur. Ancak, bir dosyanın sahipliğini alma özelliği de dahil olmak üzere dosya paylaşımının tam yönetim denetiminin bir depolama hesabı anahtarı kullanılmasını gerektirdiğini unutmayın. | Depolama hesabınızı daha güvenli hale getirmek için depolama hesabı anahtarlarının kullanılmasına izin verme. |
Maliyet İyileştirmesi
Maliyet İyileştirme, harcama düzenlerini algılamaya, kritik alanlardaki yatırımlara öncelik vermeye ve diğer kullanıcılarda kuruluşun bütçesini karşılayacak şekilde iyileştirmeye ve iş gereksinimlerini karşılamaya odaklanır.
Maliyet İyileştirme tasarım ilkeleri, bu hedeflere ulaşmak ve dosya depolama ve ortamıyla ilgili teknik tasarımda gerektiği gibi ödün vermek için üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
Yatırımlar için Maliyet İyileştirme için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın. İş yükünün iş yükü için ayrılan bütçeyle hizalanabilmesi için tasarımda ince ayar yapın. Tasarımınız doğru Azure özelliklerini kullanmalı, yatırımları izlemeli ve zaman içinde iyileştirme fırsatları bulmalıdır.
İş yükünüzün premium dosya paylaşımlarının (Azure Premium SSD) performansını mı gerektirdiğine yoksa Azure Standart HDD depolama alanının mı yeterli olduğuna karar verin: depolama hesabı türünüzü ve faturalama modelinizi ihtiyacınız olan depolama türüne göre belirleyin. Saniyede büyük miktarda giriş/çıkış işlemi (IOPS), son derece yüksek veri aktarım hızları veya çok düşük gecikme süresi gerekiyorsa premium Azure dosya paylaşımları'nı seçmeniz gerekir. NFS Azure dosya paylaşımları yalnızca premium katmanda kullanılabilir. NFS ve SMB dosya paylaşımları premium katmanda aynı fiyattır.
Dosya paylaşımınız için bir depolama hesabı oluşturun ve yedeklilik düzeyi seçin: Standart (GPv2) veya premium (FileStorage) hesabı seçin. Seçtiğiniz yedeklilik düzeyi maliyeti etkiler. Yedeklilik ne kadar fazla olursa maliyet de o kadar yüksek olur. Yerel olarak yedekli depolama (LRS) en uygun fiyatlı depolama alanıdır. GRS yalnızca standart SMB dosya paylaşımları için kullanılabilir. Standart dosya paylaşımları yalnızca depolama hesabı düzeyinde işlem bilgilerini gösterir, bu nedenle tam faturalama görünürlüğü sağlamak için her depolama hesabında yalnızca bir dosya paylaşımı dağıtmanızı öneririz.
Faturanızın nasıl hesaplanmış olduğunu anlama: Standart Azure dosya paylaşımları kullandıkça öde modeli sağlar. Premium paylaşımlar, belirli bir kapasite, IOPS ve aktarım hızı miktarı için ön ödeme yaptığınız ve belirttiğiniz bir sağlanan model kullanır. Kullandıkça öde modelinde, ölçümler hesapta depolanan veri miktarını veya kapasiteyi ve bu verileri kullanımınıza göre işlemlerin sayısını ve türünü izler. Kullandıkça öde modeli, yalnızca kullandığınız kadar ödeme yaptığınız için maliyet açısından verimli olabilir. Kullandıkça öde modeliyle performans gereksinimlerine veya talep dalgalanmalarına göre depolamanın fazla sağlamasını veya sağlamasını kaldırmanız gerekmez.
Ancak depolamayı bütçeleme sürecinin bir parçası olarak planlamak zor olabilir çünkü son kullanıcı tüketimi maliyeti artırır. Sağlanan modelde işlemler faturalandırmayı etkilemez, bu nedenle maliyetleri tahmin etmek kolaydır. Ancak sağlanan depolama kapasitesini kullansanız da kullanmasanız da ödersiniz. Maliyetlerin nasıl hesaplandığına ilişkin ayrıntılı bir döküm için bkz. Faturalamayı Azure Dosyalar anlama.
Kapasite ve işlemlerin maliyetini tahmin etme: Veri depolama, giriş ve çıkış ile ilişkili maliyetleri modellemek için Azure fiyatlandırma hesaplayıcısını kullanabilirsiniz. Çeşitli bölgeler, hesap türleri ve yedeklilik yapılandırmalarıyla ilişkili maliyeti karşılaştırın. Daha fazla bilgi için bkz. fiyatlandırma Azure Dosyalar.
En uygun maliyetli erişim katmanını seçin: Standart SMB Azure dosya paylaşımları üç erişim katmanı sunar: işlem için iyileştirilmiş, sık erişimli ve seyrek erişimli. Üç katman da aynı standart depolama donanımında depolanır. Bu üç katman için temel fark, daha serin katmanlarda daha düşük olan rest depolama fiyatlarındaki verileri ve daha soğuk katmanlarda daha yüksek olan işlem fiyatlarıdır. Daha fazla bilgi için bkz . Standart katmanlardaki farklar.
Hangi katma değerli hizmetlere ihtiyacınız olduğunu belirleyin: Azure Dosyalar Yedekleme, Azure Dosya Eşitleme ve Depolama için Defender gibi katma değerli hizmetlerle tümleştirmeleri destekler. Bu çözümlerin kendi lisanslama ve ürün maliyetleri vardır, ancak genellikle dosya depolama için toplam sahip olma maliyetinin bir parçası olarak kabul edilir. Azure Dosya Eşitleme kullanıyorsanız diğer maliyet yönlerini göz önünde bulundurun.
Korumalar oluşturma: Abonelikleri ve kaynak gruplarını temel alan bütçeler oluşturun. Kaynak türlerini, yapılandırmaları ve konumları kısıtlamak için idare ilkelerini kullanın. Ayrıca, aşırı harcamaya neden olabilecek eylemleri engellemek için rol tabanlı erişim denetimini (RBAC) kullanın.
Maliyetleri izleme: Maliyetlerin bütçeler içinde kalmasını sağlayın, maliyetleri tahminlerle karşılaştırın ve fazla harcamanın nerede gerçekleştiğini görün. Maliyetleri izlemek için Azure portalındaki maliyet analizi bölmesini kullanabilirsiniz. Ayrıca maliyet verilerini bir depolama hesabına aktarabilir ve excel veya Power BI kullanarak bu verileri analiz edebilirsiniz.
Kullanımı izleme: Kullanılmayan veya kullanılmayan depolama hesaplarını ve dosya paylaşımlarını algılamak için kullanım düzenlerini sürekli izleyin. Çok sayıda günlük dosyası veya geçici olarak silinmiş dosya topladığınıza işaret eden beklenmedik kapasite artışları olup olmadığını denetleyin. Dosyaları silmek veya dosyaları daha uygun maliyetli erişim katmanlarına taşımak için bir strateji geliştirin.
Öneriler
| Öneri | Avantaj |
|---|---|
| Standart Azure dosya paylaşımlarına geçiş yaptığınızda, ilk geçiş sırasında işlem için iyileştirilmiş katmanda başlamanızı öneririz. Geçiş sırasındaki işlem kullanımı normalde normal işlem kullanımını göstermez. Sağlanan faturalama modeli işlemler için ücretlendirilemediğinden bu önemli nokta premium dosya paylaşımları için geçerli değildir. | Azure Dosyalar geçiş, işlem ağırlıklı geçici bir iş yüküdür. Geçiş maliyetlerini azaltmaya yardımcı olmak için yüksek işlemli iş yüklerinin fiyatını iyileştirin. |
| İş yükünüzü geçirdikten sonra standart dosya paylaşımları kullanıyorsanız dosya paylaşımınız için en uygun maliyetli erişim katmanını dikkatle seçin: sık erişimli, seyrek erişimli veya işlem için iyileştirilmiş. Normal kullanımla birkaç gün veya hafta boyunca işledikten sonra, iş yükünüz için en uygun katmanı bulmak için işlem sayılarınızı fiyatlandırma hesaplayıcısına ekleyebilirsiniz. Çoğu müşteri, paylaşımı etkin bir şekilde kullansa bile seyrek erişimli seçeneğini seçmelidir. Ancak katmanınızı belirlemek için her paylaşımı incelemeniz ve depolama kapasitesi bakiyesini işlemlerle karşılaştırmanız gerekir. İşlem maliyetleri faturanızın önemli bir yüzdesini oluşturursa seyrek erişim katmanının kullanılmasından elde edilen tasarruf genellikle bu maliyeti dengeler ve toplam maliyeti en aza indirir. Standart dosya paylaşımlarını yalnızca iş yükü düzeninizdeki değişiklikler için en iyi duruma getirmek için gerektiğinde erişim katmanları arasında taşımanızı öneririz. Her taşıma işlemine işlem uygulanır. Daha fazla bilgi için bkz . Standart katmanlar arasında geçiş yapma. |
Maliyetlerinizi önemli ölçüde azaltmak için standart dosya paylaşımları için uygun erişim katmanını seçin. |
| Premium paylaşımlar kullanıyorsanız, iş yükünüz için yeterli kapasite ve performanstan fazlasını sağladığınızdan, ancak gereksiz maliyetler doğurmayacak kadar fazla olmadığından emin olun. İki ile üç kez fazla sağlamanızı öneririz. Depolama ve giriş/çıkış (GÇ) performans özelliklerinize bağlı olarak premium dosya paylaşımlarını dinamik olarak artırıp azaltabilirsiniz. | Performansı korumaya yardımcı olmak ve gelecekteki büyüme ve performans gereksinimlerini hesaba katmanız için premium dosya paylaşımlarına makul miktarda fazla sağlama. |
| Depolama kullanımına önceden başvurmak ve indirim almak için ayrılmış örnekler olarak da adlandırılan Azure Dosyalar rezervasyonları kullanın. Üretim iş yükleri için rezervasyonları veya tutarlı ayak izine sahip geliştirme/test iş yüklerini kullanın. Daha fazla bilgi için bkz . Depolama rezervasyonlarıyla maliyetleri iyileştirme. Rezervasyonlar işlem, bant genişliği, veri aktarımı ve meta veri depolama ücretlerini içermez. |
Üç yıllık rezervasyonlar, toplam dosya depolama maliyetinde %36'ya kadar indirim sağlayabilir. Rezervasyonlar performansı etkilemez. |
| Anlık görüntü kullanımını izleyin. Anlık görüntüler ücretlendirilir, ancak her anlık görüntünün değişiklik depolama kullanımına göre faturalandırılır. Yalnızca her anlık görüntüdeki fark için ödemeniz gerekir. Daha fazla bilgi için bkz . Anlık görüntüler. Azure Dosya Eşitleme, normal kullanımın bir parçası olarak paylaşım düzeyi ve dosya düzeyinde anlık görüntüler alır ve bu da toplam Azure Dosyalar faturanızı artırabilir. |
Fark anlık görüntüleri, aynı verileri depolamak için birden çok kez faturalandırılmamanızı sağlar. Ancak, Azure Dosyalar faturanızı azaltmaya yardımcı olmak için anlık görüntü kullanımını izlemeniz gerekir. |
| Özellikle ilk kez kullanmaya başladığınızda geçici silme özelliği için bekletme sürelerini ayarlayın. Özelliğin faturanızı nasıl etkilediğini daha iyi anlamak için kısa bir saklama süresiyle başlamayı göz önünde bulundurun. Önerilen en düşük saklama süresi yedi gündür. Standart ve premium dosya paylaşımlarını geçici olarak sildiğinizde, bunlar sağlanan kapasite yerine kullanılan kapasite olarak faturalandırılır. Premium dosya paylaşımları geçici silme durumundayken anlık görüntü hızında faturalandırılır. Standart dosya paylaşımları, geçici silme durumundayken normal fiyatla faturalandırılır. |
Geçici olarak silinen dosyaların yığılmaması ve kapasite maliyetinin artırılması için bir bekletme süresi ayarlayın. Yapılandırılan saklama süresinden sonra kalıcı olarak silinen veriler maliyete neden olmaz. |
Operasyonel Mükemmellik
Operasyonel Mükemmellik öncelikli olarak geliştirme uygulamaları, gözlemlenebilirlik ve yayın yönetimi yordamlarına odaklanır.
Operasyonel Mükemmellik tasarım ilkeleri, iş yükünün operasyonel gereksinimlerine yönelik bu hedeflere ulaşmak için üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
Dosya depolama yapılandırmanızla ilgili gözlemlenebilirlik, test ve dağıtım süreçlerini tanımlamaya yönelik Operasyonel Mükemmellik için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın.
Bakım ve acil durum kurtarma planları oluşturma: Veri koruma özelliklerini, yedekleme ve geri yükleme işlemlerini ve yük devretme yordamlarını göz önünde bulundurun. Olası veri kaybına ve veri tutarsızlıklarına ve yük devretmenin zamanına ve maliyetine hazırlanın.
Depolama hesabınızın durumunu izleme: Kullanılabilirlik, performans ve dayanıklılık ölçümlerini izlemek için Depolama içgörüleri panoları oluşturun. Müşterileriniz fark etmeden önce sisteminizdeki sorunları belirlemek ve gidermek için uyarılar ayarlayın. Kaynak günlüklerini bir Azure İzleyici Günlükleri çalışma alanına yönlendirmek için tanılama ayarlarını kullanın. Ardından, uyarıları daha derinden araştırmak için günlükleri sorgulayabilirsiniz.
Dosya paylaşımı etkinliğini düzenli aralıklarla gözden geçirin: Paylaşım etkinliği zaman içinde değişebilir. Standart dosya paylaşımlarını daha serin erişim katmanlarına taşıyın veya premium paylaşımlar için kapasite sağlayabilir veya sağlamayı kaldırabilirsiniz. Standart dosya paylaşımlarını farklı bir erişim katmanına taşıdığınızda işlem ücreti alırsınız. Standart dosya paylaşımlarını yalnızca aylık faturanızı azaltmak için gerektiğinde taşıyın.
Öneriler
| Öneri | Avantaj |
|---|---|
| Azure Resource Manager şablonları (ARM şablonları), Bicep veya Terraform'da depolama hesaplarınızın ayrıntılarını tanımlamak için kod olarak altyapıyı (IaC) kullanın. | Mevcut DevOps işlemlerinizi kullanarak yeni depolama hesapları dağıtabilir ve yapılandırmalarını zorunlu kılmak için Azure İlkesi kullanabilirsiniz. |
| Depolama hesaplarınızın sistem durumunu ve performansını izlemek için Depolama içgörülerini kullanın. Depolama içgörüleri, tüm depolama hesaplarınız için hataların, performansın, kullanılabilirlik ve kapasitenin birleşik bir görünümünü sağlar. | Hesaplarınızın sistem durumunu ve çalışmasını izleyebilirsiniz. Paydaşların depolama hesaplarınızın durumunu izlemek için kullanabileceği panoları ve raporları kolayca oluşturun. |
| Kullanılabilirlik, gecikme süresi ve kullanım gibi ölçümleri analiz etmek ve uyarılar oluşturmak için İzleyici'yi kullanın. | İzleyici, dosya paylaşımlarınız için kullanılabilirlik, performans ve dayanıklılık görünümü sağlar. |
Performans Verimliliği
Performans Verimliliği, kapasiteyi yöneterek yükte artış olduğunda bile kullanıcı deneyimini korumakla ilgilidir. Strateji kaynakları ölçeklendirmeyi, olası performans sorunlarını tanımlamayı ve iyileştirmeyi ve en yüksek performans için iyileştirmeyi içerir.
Performans Verimliliği tasarım ilkeleri, beklenen kullanıma karşı bu kapasite hedeflerine ulaşmak için üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
Performans Verimliliği için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın. Dosya depolama yapılandırmanız için temel performans göstergelerini temel alan bir temel tanımlayın.
Ölçeklendirme planı: Depolama hesapları, Azure Dosyalar ve Azure Dosya Eşitleme için ölçeklenebilirlik ve performans hedeflerini anlayın.
Öngörülebilir performans elde etmek için uygulamanızı ve kullanım desenlerinizi anlayın: Gecikme süresi duyarlılığını, IOPS ve aktarım hızı gereksinimlerini, iş yükü süresini ve sıklığını ve iş yükü paralelleştirmesini belirleyin. Bir hizmetin üst performans sınırlarına ulaşmanıza yardımcı olması için çok iş parçacıklı uygulamalar için Azure Dosyalar kullanın. İsteklerinizin çoğu createfile, openfile, closefile, queryinfo veya querydirectory gibi meta veri odaklıysa, istekler okuma ve yazma işlemlerinden daha yüksek düşük gecikme süresi oluşturur. Bu sorunla karşılaşırsanız, dosya paylaşımını aynı depolama hesabı içinde birden çok dosya paylaşımına ayırmayı göz önünde bulundurun.
En uygun depolama hesabı türünü seçin: İş yükünüz büyük miktarlarda IOPS, son derece yüksek veri aktarım hızları veya çok düşük gecikme süresi gerektiriyorsa premium (FileStorage) depolama hesaplarını seçmeniz gerekir. Çoğu SMB dosya paylaşımı iş yükü için standart bir genel amaçlı v2 hesabı kullanabilirsiniz. İki depolama hesabı türü arasındaki birincil denge maliyet ve performanstır.
IOPS, çıkış ve giriş gibi sağlanan paylaşım boyutu ve tek dosyalı sınırlar, premium paylaşım performansını belirler. Daha fazla bilgi için bkz . Premium dosya paylaşımları için sağlamayı anlama. Premium dosya paylaşımları, premium dosya paylaşımının temel IOPS sınırını geçici olarak aşmanız gerekiyorsa sigorta poliçesi olarak ani krediler de sunar.
Gecikme süresini azaltmak için istemcileri bağlamayla aynı bölgelerde depolama hesapları oluşturun: Azure Dosyalar hizmetinden ne kadar uzaktaysanız, gecikme süresi o kadar artar ve performans ölçek sınırlarına ulaşmak o kadar zor olur. Bu özellikle şirket içi ortamlardan Azure Dosyalar eriştiğinde geçerlidir. Mümkünse, depolama hesabınızın ve istemcilerinizin aynı Azure bölgesinde birlikte bulunduğundan emin olun. Ağ gecikme süresini en aza indirerek veya şirket içi ağları özel bağlantı üzerinden Microsoft bulutuna genişletmek için ExpressRoute bağlantısı kullanarak şirket içi istemciler için iyileştirin.
Performans verilerini toplama: Gecikme süresi, kullanılabilirlik ve kullanım ölçümleri dahil olmak üzere iş yükü performansını izleyin. Zaman aşımları ve azaltma gibi sorunları tanılamak için günlükleri analiz edin. Bir dosya paylaşımı kısıtlanıyorsa, azaltılmak üzereyse veya yüksek gecikme süresiyle karşılaşılıyorsa sizi bilgilendirmek için uyarılar oluşturun.
Karma dağıtımlar için iyileştirme: Azure Dosya Eşitleme kullanıyorsanız, eşitleme performansı birçok faktöre bağlıdır: Windows Server'ınız ve temel disk yapılandırmanız, sunucu ile Azure depolaması arasındaki ağ bant genişliği, dosya boyutu, toplam veri kümesi boyutu ve veri kümesindeki etkinlik. Azure Dosya Eşitleme temel alan bir çözümün performansını ölçmek için, saniyede işlediğiniz dosya ve dizin gibi nesne sayısını belirleyin.
Öneriler
| Öneri | Avantaj |
|---|---|
| Premium SMB dosya paylaşımları için Çok Kanallı SMB'yi etkinleştirin. Çok Kanallı SMB, bir SMB 3.1.1 istemcisinin bir SMB Azure dosya paylaşımına birden çok ağ bağlantısı kurmasına olanak tanır. Çok Kanallı SMB yalnızca özellik hem istemci tarafında (istemciniz) hem de hizmet tarafında (Azure) etkinleştirildiğinde çalışır. Windows istemcilerinde, Çok Kanallı SMB varsayılan olarak etkindir, ancak depolama hesabınızda etkinleştirmeniz gerekir. |
Toplam sahip olma maliyetini azaltırken aktarım hızını ve IOPS'yi artırın. Yükü dağıtan dosyaların sayısıyla birlikte performans avantajları artar. |
| Linux istemcilerinde NFS Azure dosya paylaşımlarıyla nconnect istemci tarafı bağlama seçeneğini kullanın. Nconnect, istemci ile NFSv4.1 için Azure Dosyalar premium hizmeti arasında daha fazla TCP bağlantısı kullanmanıza olanak tanır. | Performansı büyük ölçekte artırın ve NFS dosya paylaşımları için toplam sahip olma maliyetini azaltın. |
| Dosya paylaşımınızın veya depolama hesabınızın kısıtlanmadığından emin olun; bu da yüksek gecikme süresine, düşük aktarım hızına veya düşük IOPS'ye neden olabilir. IOPS, giriş veya çıkış sınırlarına ulaşıldığında istekler kısıtlanıyor. Standart depolama hesapları için azaltma, hesap düzeyinde gerçekleşir. Premium dosya paylaşımları için azaltma genellikle paylaşım düzeyinde gerçekleşir. |
Mümkün olan en iyi istemci deneyimini sağlamak için azaltmadan kaçının. |
Azure ilkeleri
Azure, Azure Dosyalar ile ilgili kapsamlı bir yerleşik ilke kümesi sağlar. Önceki önerilerden bazıları Azure ilkeleri aracılığıyla denetlenebilir. Örneğin, şunları denetleyebilirsiniz:
- Yalnızca HTTPS gibi güvenli bağlantılardan gelen istekler kabul edilir.
- Paylaşılan anahtar yetkilendirmesi devre dışı bırakıldı.
- Hesaba ağ güvenlik duvarı kuralları uygulanır.
- Azure Dosyalar tanılama ayarları, kaynak günlüklerini Azure İzleyici Günlükleri çalışma alanına akışla aktaracak şekilde ayarlanır.
- Genel ağ erişimi devre dışı bırakıldı.
- Azure Dosya Eşitleme özel DNS bölgelerini kullanmak için özel uç noktalarla yapılandırılır.
Kapsamlı idare için, depolama ve işlem katmanının güvenliğini etkileyebilecek diğer ilkeler için Azure İlkesi yerleşik tanımlarını gözden geçirin.
Azure Danışmanı önerileri
Azure Advisor, Azure dağıtımlarınızı iyileştirecek en iyi uygulamaları izlemenize yardımcı olacak bir kişiye özel bulut danışmanıdır. Azure Dosyalar güvenilirliğini, güvenliğini, maliyet verimliliğini, performansını ve operasyonel mükemmelliğini artırmanıza yardımcı olabilecek bazı öneriler aşağıdadır.