Důležité informace o klíči služby Azure Data Lake Storage
Přečtěte si o důležitých aspektech úložiště pro vaše datová jezera Azure.
Správa životního cyklu
Azure Storage nabízí různé úrovně přístupu, které umožňují ukládat data objektů blob nákladově nejefektivnějším způsobem. Dostupné úrovně přístupu:
- Horká: Optimalizovaná pro ukládání dat, ke kterým se přistupuje často.
- Studená: Optimalizovaná pro ukládání dat, ke kterým se zřídka přistupuje. Data se ukládají nejméně po dobu 30 dnů.
- Studená úroveň: Optimalizováno pro ukládání dat, která se často přistupují nebo upravují. Data se ukládají nejméně po dobu 90 dnů. Úroveň Zřídkavý přístup má v porovnání se studenou úrovní nižší náklady na úložiště a vyšší náklady na přístup.
- Archiv: Optimalizováno pro ukládání zřídka používaných dat. Data se ukládají nejméně po dobu 180 dnů s flexibilními požadavky na latenci v řádu hodin.
Důležité
Mezi různými online úrovněmi přístupu nejsou žádné kompromisy mezi spolehlivostí, zabezpečením, efektivitou provozu nebo efektivitou výkonu, což ponechá výběr online vrstvy na finanční rozhodnutí na základě velikosti dat přístupu k úlohám, provozních interakcí a času před odstraněním objektu blob. Vyberte správnou úroveň na objekt blob na základě výpočtu předchozích faktorů. Další informace najdete v tématu Plánování a správa nákladů na Službu Blob Storage .
Při použití úrovní přístupu zvažte následující informace:
Na úrovni účtu je možné nastavit pouze horkou a studenou úroveň přístupu. Archivní úroveň přístupu není dostupná na úrovni účtu.
Horkou, studenou a archivní úroveň je možné nastavit na úrovni objektu blob během nahrávání nebo po nahrání.
Data na úrovních Studená a Studená mají mírně nižší dostupnost, ale nabízejí stejnou vysokou odolnost, latenci načítání a charakteristiky propustnosti jako data horké vrstvy. U dat na úrovních Studená nebo Studená může být mírně nižší dostupnost a vyšší náklady na přístup přijatelné pro nižší celkové náklady na úložiště v porovnání s horkou úrovní.
Archivní úložiště ukládá data offline a nabízí nejnižší náklady na úložiště. Přináší ale také nejvyšší náklady na dosazování dat a přístup.
Další informace najdete v tématu Úrovně přístupu pro data objektů blob.
Upozornění
U analýz v cloudovém měřítku doporučujeme implementovat správu životního cyklu pomocí vlastní mikroslužby a pečlivě zvážit dopad přesunu zjistitelných dat uživatelů do studeného úložiště.
Pro dobře pochopitelné úlohy byste měli přesunout jenom části datového jezera na studenou úroveň.
Připojení datových jezer
Každé z vašich datových jezer by mělo používat privátní koncové body vložené do virtuální sítě cílové zóny dat. Pokud chcete zajistit přístup napříč cílovými zónami, připojte cílové zóny dat prostřednictvím partnerského vztahu virtuálních sítí. Toto připojení poskytuje optimální řešení z hlediska nákladů i řízení přístupu.
Další informace najdete v tématu Privátní koncové body a cílová zóna správy dat do cílové zóny dat.
Důležité
Data z cílové zóny dat jsou přístupná z jiné cílové zóny dat přes partnerský vztah virtuální sítě mezi zónami. To se provádí pomocí privátních koncových bodů přidružených ke každému účtu Data Lake. Doporučujeme vypnout veškerý veřejný přístup k vašim jezerům a používat privátní koncové body. Provozní tým platformy by měl řídit síťové připojení napříč cílovými zónami dat.
Obnovitelné odstranění pro kontejnery
Obnovitelné odstranění kontejnerů chrání vaše data před náhodným nebo škodlivým odstraněním. Pokud povolíte obnovitelné odstranění kontejneru pro váš účet úložiště, odstraněné kontejnery a jejich obsah se zachovají ve službě Azure Storage po dlouhou dobu, kterou zvolíte. Během doby uchovávání dat můžete obnovit dříve odstraněné kontejnery. Obnovení kontejneru také obnoví všechny objekty blob, které byly v daném kontejneru při odstranění.
Povolte následující funkce ochrany dat, abyste dosáhli komplexní ochrany dat objektů blob:
- Obnovitelné odstranění kontejneru pro obnovení odstraněného kontejneru Informace o povolení obnovitelného odstranění kontejneru najdete v tématu Povolení a správa obnovitelného odstranění kontejnerů.
- Obnovitelné odstranění objektu blob pro obnovení odstraněného objektu blob nebo verze Informace o povolení obnovitelného odstranění objektů blob najdete v tématu Povolení a správa obnovitelného odstranění objektů blob.
Upozorňující
Odstranění účtu úložiště nejde vrátit zpět. Obnovitelné odstranění kontejneru nechrání před odstraněním účtu úložiště, pouze proti odstranění kontejnerů v rámci účtu. Pokud chcete chránit účet úložiště před odstraněním, nakonfigurujte zámek prostředku účtu úložiště. Další informace o uzamčení prostředků Azure Resource Manageru najdete v tématu Uzamčení prostředků, abyste zabránili neočekávaným změnám.
Sledování
V cílové zóně dat by se veškeré monitorování mělo odesílat do vašeho předplatného pro správu cílových zón Azure za účelem analýzy.
Další informace o datech monitorování, která Azure Storage používá, najdete v tématu Monitorování prostředků Azure pomocí služby Azure Monitor. Další informace o protokolech a metrikách, které Azure Storage vytvoří, najdete v tématu Monitorování služby Azure Blob Storage.
Položky protokolu se vytvoří pouze v případě, že se požadavky provádějí s koncovým bodem služby. Mezi protokolované typy ověřených požadavků patří:
- Úspěšné požadavky
- Neúspěšné požadavky, včetně vypršení časového limitu, omezování, chyb sítě, selhání autorizace a dalších chyb
- Požadavky, které používají sdílený přístupový podpis (SAS) nebo OAuth, včetně neúspěšných a úspěšných požadavků
- Požadavky na analýzu dat, jako jsou klasická data protokolů v kontejneru
$logs
a data metrik tříd v$metric
tabulkách
Požadavky provedené samotnou službou úložiště, jako je vytvoření nebo odstranění protokolu, se nezaprotokolují. Typy zaprotokolovaných anonymních požadavků jsou:
- Úspěšné požadavky
- Chyby serveru
- Chyby vypršení časového limitu u klientů i serveru
- Neúspěšné požadavky HTTP GET s kódem chyby 304 (
Not Modified
)
Všechny ostatní neúspěšné anonymní požadavky se nezaprotokolují.
Důležité
Nastavte výchozí zásady monitorování tak, aby auditovat úložiště a odesílaly protokoly do předplatného pro správu na podnikové úrovni.
Doporučené zabezpečení zón Data Lake
Pro každou zónu Data Lake se doporučují následující způsoby zabezpečení:
- Nezpracované využití umožňuje přístup k datům pouze pomocí hlavních názvů zabezpečení (SPN) – nejlépe pomocí spravovaných identit.
- Rozšířené použití umožňuje přístup k datům pouze pomocí hlavních názvů zabezpečení (SPN) – nejlépe pomocí spravovaných identit.
- Kurátorované využití umožňuje přístup k hlavním názvům zabezpečení (SPN) i hlavním názvům uživatelů (UPN).
Další informace najdete v tématu Model řízení přístupu ve službě Azure Data Lake Storage.