Azure Well-Architected Framework-Perspektive für Azure Files
Azure Files ist eine Microsoft-Dateispeicherlösung für die Cloud. Azure Files stellt Dateifreigaben (Server Message Block, SMB) und Netzwerkdateifreigaben (Network File System, NFS) bereit, die Sie für Clients in der Cloud, lokal oder in beidem bereitstellen können. Sie können auch Azure-Dateisynchronisierung verwenden, um SMB-Dateifreigaben auf einem lokalen Windows-Server zwischenzuspeichern und selten verwendete Dateien in der Cloud zu speichern.
In diesem Artikel wird davon ausgegangen, dass Sie als Architekt die Speicheroptionen überprüft und Azure Files als Speicherdienst ausgewählt haben, auf dem Ihre Workloads ausgeführt werden sollen. Die Anleitung in diesem Artikel enthält Architekturempfehlungen, die den Prinzipien der Säulen des Azure Well-Architected Framework zugeordnet sind.
Wichtig
So verwenden Sie dieses Handbuch
Jeder Abschnitt verfügt über eine Entwurfsprüfliste , die architektonische Themenbereiche zusammen mit Designstrategien darstellt, die auf den Technologiebereich lokalisiert sind.
Außerdem sind Empfehlungen zu den Technologiefunktionen enthalten, die bei der Implementierung dieser Strategien helfen können. Die Empfehlungen stellen keine vollständige Liste aller Konfigurationen dar, die für Azure Files und deren Abhängigkeiten verfügbar sind. Stattdessen werden die wichtigsten Empfehlungen aufgelistet, die den Entwurfsperspektiven zugeordnet sind. Verwenden Sie die Empfehlungen, um Ihre Machbarkeitsstudie zu erstellen oder Ihre vorhandenen Umgebungen zu optimieren.
Zuverlässigkeit
Der Zweck der Zuverlässigkeitssäule besteht darin, fortlaufende Funktionen bereitzustellen, indem genügend Resilienz und die Fähigkeit zur schnellen Wiederherstellung von Fehlern erstellt werden.
Die Zuverlässigkeitsdesignprinzipien stellen eine allgemeine Entwurfsstrategie bereit, die für einzelne Komponenten, Arbeitslasten, Systemflüsse und das gesamte System angewendet wird.
Prüfliste für den Entwurf
Starten Sie Ihre Designstrategie basierend auf der Prüfliste für die Designüberprüfung für Zuverlässigkeit.
Verwenden Sie die Fehlermodusanalyse: Minimieren Sie Fehlerpunkte, indem Sie interne Abhängigkeiten berücksichtigen, z. B. die Verfügbarkeit virtueller Netzwerke, Azure Key Vault oder Azure Content Delivery Network oder Azure Front Door-Endpunkte. Fehler können auftreten, wenn Sie Anmeldeinformationen für den Zugriff auf Azure Files benötigen, und die Anmeldeinformationen fehlen im Key Vault. Oder Wenn Ihre Workloads einen Endpunkt verwenden, der auf einem fehlenden Netzwerk für die Inhaltsübermittlung basiert, liegt möglicherweise ein Fehler vor. In diesen Fällen müssen Sie ihre Workloads möglicherweise so konfigurieren, dass eine Verbindung mit einem alternativen Endpunkt hergestellt wird. Allgemeine Informationen zur Fehlermodusanalyse finden Sie unter Empfehlungen für die Durchführung der Fehlermodusanalyse.
Definieren von Zuverlässigkeits- und Wiederherstellungszielen: Überprüfen Sie die Vereinbarungen auf Azure-Dienstebene (SLAs). Leiten Sie das Ziel auf Service-Level (SLO) für das Speicherkonto ab. Die von Ihnen ausgewählte Redundanzkonfiguration kann sich beispielsweise auf die SLO auswirken. Berücksichtigen Sie die Auswirkungen eines regionalen Ausfalls, das Potenzial für Datenverlust und die Zeit, die erforderlich ist, um den Zugriff nach einem Ausfall wiederherzustellen. Berücksichtigen Sie auch die Verfügbarkeit interner Abhängigkeiten, die Sie als Teil der Fehlermodusanalyse identifiziert haben.
Konfigurieren sie Datenredundanz: Wählen Sie für maximale Haltbarkeit eine Konfiguration aus, die Daten über Verfügbarkeitszonen oder globale Regionen kopiert. Wählen Sie für die maximale Verfügbarkeit eine Konfiguration aus, mit der Clients Daten aus der sekundären Region während eines Ausfalls der primären Region lesen können.
Designanwendungen: Entwerfen Sie Ihre Anwendungen so, dass sie nahtlos verschoben werden, damit sie Daten aus einer sekundären Region lesen, wenn die primäre Region nicht verfügbar ist. Diese Entwurfsüberlegung gilt nur für georedundante Speicherkonfigurationen (GEO-Redundant Storage, GRS) und geozonenredundanten Speicherkonfigurationen.This design consideration only applies to geo-redundant storage (GRS) and geo-zone-redundant storage (GZRS) configurations. Entwerfen Sie Ihre Anwendungen so, dass Ausfälle ordnungsgemäß verarbeitet werden, wodurch Ausfallzeiten für Kunden reduziert werden.
Erkunden Sie Features, mit denen Sie Ihre Wiederherstellungsziele erreichen können: Stellen Sie Dateien wiederhergestellt, sodass Sie beschädigte, bearbeitete oder gelöschte Dateien wiederherstellen können.
Erstellen Eines Wiederherstellungsplans: Erwägen Sie Datenschutzfeatures, Sicherungs- und Wiederherstellungsvorgänge oder Failoverprozeduren. Bereiten Sie sich auf potenzielle Datenverluste und Dateninkonsistenzen sowie die Zeit und Kosten eines Ausfalls vor. Weitere Informationen finden Sie unter Empfehlungen für das Entwerfen einer Notfallwiederherstellungsstrategie.
Überwachen potenzieller Verfügbarkeitsprobleme: Abonnieren Sie das Azure Service Health-Dashboard , um potenzielle Verfügbarkeitsprobleme zu überwachen. Verwenden Sie Speichermetriken und Diagnoseprotokolle in Azure Monitor, um Warnungen zu untersuchen.
Empfehlungen
| Empfehlung | Vorteil |
|---|---|
| Konfigurieren Sie Ihr Speicherkonto für Redundanz. Konfigurieren Sie Für maximale Verfügbarkeit und Haltbarkeit Ihr Konto mit zonenredundanten Speicher (ZRS), GRS oder GZRS. Eingeschränkte Azure-Regionen unterstützen ZRS für Standard- und Premium-Dateifreigaben. Nur Standard-SMB-Konten unterstützen GRS und GZRS. Premium-SMB-Aktien und NFS-Aktien unterstützen GRS und GZRS nicht. Azure Files unterstützt nicht georedundanten Speicher mit Lesezugriff (RA-GRS) oder geozonenredundanten Speicher mit Lesezugriff (RA-GZRS). Wenn Sie ein Speicherkonto für die Verwendung von RA-GRS oder RA-GZRS konfigurieren, werden die Dateifreigaben konfiguriert und als GRS oder GZRS in Rechnung gestellt. |
Redundanz schützt Ihre Daten vor unerwarteten Fehlern. Die ZRS- und GZRS-Konfigurationsoptionen replizieren in verschiedenen Verfügbarkeitszonen und ermöglichen Es Anwendungen, daten während eines Ausfalls weiterzulesen. Weitere Informationen finden Sie unter Haltbarkeit und Verfügbarkeit nach Ausfallszenario und Haltbarkeits - und Verfügbarkeitsparametern. |
| Bevor Sie ein Failover oder Failback initiieren, überprüfen Sie den Wert der letzten Synchronisierungszeiteigenschaft, um das Potenzial für Datenverluste auszuwerten. Diese Empfehlung gilt nur für GRS- und GZRS-Konfigurationen. | Diese Eigenschaft hilft Ihnen zu schätzen, wie viele Daten verloren gehen können, wenn Sie ein Kontofailover initiieren. Alle Daten und Metadaten, die vor der letzten Synchronisierungszeit geschrieben wurden, sind in der sekundären Region verfügbar. Möglicherweise gehen jedoch Daten und Metadaten verloren, die nach der letzten Synchronisierung geschrieben wurden, da sie nicht in den sekundären Bereich geschrieben wurde. |
| Aktivieren Sie als Teil Ihrer Sicherungs- und Wiederherstellungsstrategie das vorläufige Löschen und verwenden Sie Momentaufnahmen für die Point-in-Time-Wiederherstellung. Sie können Azure Backup verwenden, um Ihre SMB-Dateifreigaben zu sichern. Sie können auch Azure-Dateisynchronisierung verwenden, um lokale SMB-Dateifreigaben in einer Azure-Dateifreigabe zu sichern. Mit Azure Backup können Sie auch eine tresorierte Sicherung (Vorschau) von Azure Files durchführen, um Ihre Daten vor Ransomware-Angriffen oder Quelldatenverlusten aufgrund eines böswilligen Akteurs oder eines nicht autorisierten Administrators zu schützen. Mithilfe der tresorierten Sicherung kopiert und speichert Azure Backup Daten im Recovery Services-Tresor. Dadurch wird eine Offsite-Kopie der Daten erstellt, die Sie bis zu 99 Jahre lang aufbewahren können. Azure Backup erstellt und verwaltet die Wiederherstellungspunkte gemäß dem Zeitplan und der Aufbewahrungsdauer, die in der Sicherungsrichtlinie festgelegt sind. Weitere Informationen |
Mit dem vorläufigen Löschen werden Azure-Dateifreigaben auf Dateifreigabeebene vor versehentlichem Löschen geschützt. Die Point-in-Time-Wiederherstellung schützt vor versehentlichem Löschen oder Beschädigungen, da Sie Dateifreigaben in einem früheren Zustand wiederherstellen können. Weitere Informationen finden Sie unter Übersicht zum Datenschutz. |
Sicherheit
Der Zweck der Säule „Security“ besteht darin, Garantien für die Arbeitsauslastung für Vertraulichkeit, Integrität und Verfügbarkeit bereitzustellen.
Die Prinzipien des Sicherheitsdesigns stellen eine allgemeine Entwurfsstrategie für die Erreichung dieser Ziele bereit, indem Sie Ansätze auf den technischen Entwurf Ihrer Dateispeicherkonfiguration anwenden.
Sicherheitsanforderungen und Empfehlungen variieren je nachdem, ob Ihre Workload das SMB- oder NFS-Protokoll für den Zugriff auf Ihre Dateifreigaben verwendet. Die folgenden Abschnitte verfügen also über separate Designprüflisten und Empfehlungen für SMB- und NFS-Dateifreigaben.
Als bewährte Methode sollten Sie SMB- und NFS-Dateifreigaben in separaten Speicherkonten beibehalten, da sie unterschiedliche Sicherheitsanforderungen haben. Verwenden Sie diesen Ansatz, um Ihre Arbeitsauslastung mit hoher Sicherheit und hoher Flexibilität bereitzustellen.
Entwurfsprüfliste für SMB-Dateifreigaben
Starten Sie Ihre Designstrategie basierend auf der Prüfliste für die Designüberprüfung für Sicherheit. Identifizieren Sie Sicherheitsrisiken und Kontrollen, um den Sicherheitsstatus zu verbessern. Erweitern Sie die Strategie, um bei Bedarf weitere Ansätze einzuschließen.
Überprüfen Sie die Sicherheitsgrundwerte für Azure Storage: Überprüfen Sie zunächst die Sicherheitsgrundwerte für Den Speicher.
Erwägen Sie die Verwendung von Netzwerksteuerelementen, um den Eingangs- und Ausgangsdatenverkehr einzuschränken: Möglicherweise können Sie Ihr Speicherkonto unter bestimmten Bedingungen dem öffentlichen Internet zur Verfügung stellen, z. B. wenn Sie die identitätsbasierte Authentifizierung verwenden, um Den Zugriff auf Dateifreigaben zu gewähren. Es wird jedoch empfohlen, Netzwerksteuerelemente zu verwenden, um benutzern und Anwendungen den minimal erforderlichen Zugriff zu gewähren. Weitere Informationen finden Sie unter How to approach network security for your storage account.
Verringern Sie die Angriffsfläche: Verwenden Sie verschlüsselung während der Übertragung, und verhindern Sie den Zugriff über nicht sichere (HTTP)-Verbindungen, um die Angriffsfläche zu reduzieren. Clients müssen Daten mithilfe der neuesten Version des TLS-Protokolls (Transport Layer Security) senden und empfangen.
Minimieren Sie die Verwendung von Speicherkontoschlüsseln: Die identitätsbasierte Authentifizierung bietet im Vergleich zu einem Speicherkontoschlüssel höhere Sicherheit. Sie müssen jedoch einen Speicherkontoschlüssel verwenden, um die vollständige administrative Kontrolle über eine Dateifreigabe zu erhalten, einschließlich der Möglichkeit, den Besitz einer Datei zu übernehmen. Gewähren Sie Sicherheitsprinzipale nur die erforderlichen Berechtigungen, die sie zum Ausführen ihrer Aufgaben benötigen.
Schützen vertraulicher Informationen: Schützen Sie vertrauliche Informationen, z. B. Speicherkontoschlüssel und Kennwörter. Es wird nicht empfohlen, diese Autorisierungsformen zu verwenden. Wenn Sie dies tun, sollten Sie jedoch sicherstellen, dass Sie diese sicher drehen, ablaufen und speichern.
Erkennen von Bedrohungen: Aktivieren Sie Microsoft Defender für Speicher , um potenziell schädliche Versuche zu erkennen oder Ihre Azure-Dateifreigaben über SMB- oder FileREST-Protokolle zu nutzen. Abonnementadministratoren erhalten E-Mail-Benachrichtigungen mit Details zu verdächtigen Aktivitäten und Empfehlungen zur Untersuchung und Behebung von Bedrohungen. Defender for Storage unterstützt keine Antivirenfunktionen für Azure-Dateifreigaben. Wenn Sie Defender für Speicher verwenden, entstehen transaktionsintensive Dateifreigaben erhebliche Kosten, daher sollten Sie sich für bestimmte Speicherkonten von Defender for Storage abmelden.
Empfehlungen für SMB-Dateifreigaben
| Empfehlung | Vorteil |
|---|---|
| Wenden Sie eine Azure Resource Manager-Sperre auf das Speicherkonto an. | Sperren Sie das Konto, um versehentliches oder schädliches Löschen des Speicherkontos zu verhindern, was zu Datenverlust führen kann. |
| Öffnen Sie den TCP-Port 445 ausgehend, oder richten Sie ein VPN-Gateway oder eine Azure ExpressRoute-Verbindung für Clients außerhalb von Azure ein, um auf die Dateifreigabe zuzugreifen. | SMB 3.x ist ein internetsicheres Protokoll, Sie haben jedoch möglicherweise nicht die Möglichkeit, Organisations- oder ISP-Richtlinien zu ändern. Sie können ein VPN-Gateway oder eine ExpressRoute-Verbindung als alternative Option verwenden. |
| Wenn Sie Port 445 öffnen, deaktivieren Sie SMBv1 auf Windows- und Linux-Clients. Azure Files unterstützt SMB 1 nicht, Sie sollten sie jedoch weiterhin auf Ihren Clients deaktivieren. | SMB 1 ist ein veraltetes, ineffizientes und unsicheres Protokoll. Deaktivieren Sie sie auf Clients, um Ihren Sicherheitsstatus zu verbessern. |
| Erwägen Sie das Deaktivieren des öffentlichen Netzwerkzugriffs auf Ihr Speicherkonto. Aktivieren Sie den Zugriff auf öffentliche Netzwerke nur, wenn SMB-Clients und -Dienste, die sich außerhalb von Azure befinden, Zugriff auf Ihr Speicherkonto benötigen. Wenn Sie den Öffentlichen Netzwerkzugriff deaktivieren, erstellen Sie einen privaten Endpunkt für Ihr Speicherkonto. Es gelten die Standarddatenverarbeitungsraten für private Endpunkte. Ein privater Endpunkt blockiert keine Verbindungen mit dem öffentlichen Endpunkt. Sie sollten den öffentlichen Netzwerkzugriff weiterhin wie zuvor beschrieben deaktivieren. Wenn Sie keine statische IP-Adresse für Ihre Dateifreigabe benötigen und die Kosten privater Endpunkte vermeiden möchten, können Sie stattdessen den Zugriff auf öffentliche Endpunkte auf bestimmte virtuelle Netzwerke und IP-Adressen einschränken. |
Netzwerkdatenverkehr wird über das Microsoft-Backbone-Netzwerk statt über das öffentliche Internet übertragen, wodurch die Risikogefährdung durch das öffentliche Internet beseitigt wird. |
| Aktivieren Sie Firewallregeln, die den Zugriff auf bestimmte virtuelle Netzwerke beschränken. Beginnen Sie mit null Zugriff, und stellen Sie dann methodisch und inkrementell den geringsten Zugriff bereit, der für Clients und Dienste erforderlich ist. | Minimieren Sie das Risiko der Erstellung von Öffnungen für Angreifer. |
| Verwenden Sie nach Möglichkeit die identitätsbasierte Authentifizierung mit der AES-256 Kerberos-Ticketverschlüsselung, um den Zugriff auf SMB Azure-Dateifreigaben zu autorisieren. | Verwenden Sie die identitätsbasierte Authentifizierung, um die Möglichkeit eines Angreifers zu verringern, indem Sie einen Speicherkontoschlüssel verwenden, um auf Dateifreigaben zuzugreifen. |
| Wenn Sie Speicherkontoschlüssel verwenden, speichern Sie sie im Key Vault, und stellen Sie sicher, dass sie regelmäßig neu generiert werden. Sie können den Zugriff des Speicherkontoschlüssels auf die Dateifreigabe vollständig verweigern, indem Sie NTLMv2 aus den SMB-Sicherheitseinstellungen der Freigabe entfernen. Im Allgemeinen sollten Sie NTLMv2 jedoch nicht aus den SMB-Sicherheitseinstellungen der Freigabe entfernen, da Administratoren den Kontoschlüssel für einige Aufgaben weiterhin verwenden müssen. |
Verwenden Sie Key Vault, um Schlüssel zur Laufzeit abzurufen, anstatt sie mit Ihrer Anwendung zu speichern. Key Vault macht es auch einfach, Ihre Schlüssel ohne Unterbrechung ihrer Anwendungen zu drehen. Drehen Sie die Kontoschlüssel regelmäßig, um das Risiko zu verringern, dass Ihre Daten böswilligen Angriffen ausgesetzt werden. |
| In den meisten Fällen sollten Sie die erforderliche Option für sichere Übertragung auf allen Speicherkonten aktivieren, um die Verschlüsselung bei der Übertragung für SMB-Dateifreigaben zu aktivieren. Aktivieren Sie diese Option nicht, wenn Sie sehr alten Clients den Zugriff auf die Freigabe erlauben müssen. Wenn Sie die sichere Übertragung deaktivieren, stellen Sie sicher, dass Sie Netzwerksteuerelemente verwenden, um den Datenverkehr einzuschränken. |
Diese Einstellung stellt sicher, dass alle Anforderungen, die für das Speicherkonto vorgenommen werden, über sichere Verbindungen (HTTPS) erfolgen. Bei Anforderungen über HTTP treten Fehler auf. |
| Konfigurieren Sie Ihr Speicherkonto so, dass TLS 1.2 die Mindestversion für Clients zum Senden und Empfangen von Daten ist. | TLS 1.2 ist sicherer und schneller als TLS 1.0 und 1.1, die moderne Kryptografiealgorithmen und Suites mit Verschlüsselungsverfahren nicht unterstützen. |
| Verwenden Sie nur die neueste unterstützte SMB-Protokollversion (derzeit 3.1.1.1.), und verwenden Sie nur AES-256-GCM für die SMB-Kanalverschlüsselung. Azure Files macht Einstellungen verfügbar, mit denen Sie das SMB-Protokoll umschalten und je nach den Anforderungen Ihrer Organisation sicherer oder sicherer machen können. Standardmäßig sind alle SMB-Versionen zulässig. SMB 2.1 ist jedoch unzulässig, wenn Sie "Sichere Übertragung erforderlich" aktivieren, da SMB 2.1 die Verschlüsselung von Daten während der Übertragung nicht unterstützt. Wenn Sie diese Einstellungen auf ein hohes Maß an Sicherheit beschränken, können einige Clients möglicherweise keine Verbindung mit der Dateifreigabe herstellen. |
SMB 3.1.1, veröffentlicht mit Windows 10, enthält wichtige SMB- und Leistungsupdates. AES-256-GCM bietet eine sicherere Kanalverschlüsselung. |
Entwurfsprüfliste für NFS-Dateifreigaben
Überprüfen Sie die Sicherheitsgrundwerte für "Speicher": Überprüfen Sie zunächst die Sicherheitsgrundwerte für "Speicher".
Grundlegendes zu den Sicherheitsanforderungen Ihrer Organisation: NFS Azure-Dateifreigaben unterstützen nur Linux-Clients, die das NFSv4.1-Protokoll verwenden, mit Unterstützung für die meisten Features aus der 4.1-Protokollspezifikation. Einige Sicherheitsfeatures wie Kerberos-Authentifizierung, Zugriffssteuerungslisten (ACCESS Control Lists, ACLs) und Verschlüsselung während der Übertragung werden nicht unterstützt.
Verwenden Sie Sicherheit und Steuerelemente auf Netzwerkebene, um den Eingangs- und Übergabedatenverkehr einzuschränken: Die identitätsbasierte Authentifizierung ist für NFS Azure-Dateifreigaben nicht verfügbar. Daher müssen Sie sicherheit und Kontrollen auf Netzwerkebene verwenden, um benutzern und Anwendungen den minimalen erforderlichen Zugriff zu gewähren. Weitere Informationen finden Sie unter How to approach network security for your storage account.
Empfehlungen für NFS-Dateifreigaben
| Empfehlung | Vorteil |
|---|---|
| Wenden Sie eine Ressourcen-Manager-Sperre auf das Speicherkonto an. | Sperren Sie das Konto, um das versehentliche oder böswillige Löschen des Speicherkontos zu verhindern, was zu Datenverlust führen kann. |
| Sie müssen Port 2049 auf den Clients öffnen, auf denen Sie Ihre NFS-Freigabe bereitstellen möchten. | Öffnen Sie Port 2049, damit Clients mit der NFS Azure-Dateifreigabe kommunizieren können. |
| Auf NFS Azure-Dateifreigaben kann nur über eingeschränkte Netzwerke zugegriffen werden. Sie müssen also einen privaten Endpunkt für Ihr Speicherkonto erstellen oder den Zugriff auf öffentliche Endpunkte auf ausgewählte virtuelle Netzwerke und IP-Adressen einschränken. Es wird empfohlen, einen privaten Endpunkt zu erstellen. Sie müssen die Sicherheit auf Netzwerkebene für NFS-Freigaben konfigurieren, da Azure Files die Verschlüsselung während der Übertragung mit dem NFS-Protokoll nicht unterstützt. Sie müssen die Einstellung "Sichere Übertragung erforderlich" für das Speicherkonto deaktivieren, um NFS Azure-Dateifreigaben zu verwenden. Standarddatenverarbeitungsraten gelten für private Endpunkte. Wenn Sie keine statische IP-Adresse für Ihre Dateifreigabe benötigen und die Kosten privater Endpunkte vermeiden möchten, können Sie stattdessen den Zugriff auf öffentliche Endpunkte einschränken. |
Netzwerkdatenverkehr wird über das Microsoft-Backbone-Netzwerk statt über das öffentliche Internet übertragen, wodurch die Risikogefährdung durch das öffentliche Internet beseitigt wird. |
| Erwägen Sie, den Zugriff auf den Speicherkontoschlüssel auf Speicherkontoebene zu aufheben. Sie benötigen diesen Zugriff nicht, um NFS-Dateifreigaben zu mounten. Beachten Sie jedoch, dass die vollständige administrative Kontrolle über eine Dateifreigabe, einschließlich der Fähigkeit, den Besitz einer Datei zu übernehmen, einen Speicherkontoschlüssel erfordert. | Verbieten Sie die Verwendung von Speicherkontoschlüsseln, um Ihr Speicherkonto sicherer zu machen. |
Kostenoptimierung
Die Kostenoptimierung konzentriert sich auf das Erkennen von Ausgabenmustern, das Priorisieren von Investitionen in kritische Bereiche und die Optimierung in anderen Bereichen, um das Budget der Organisation zu erfüllen, während die Geschäftsanforderungen erfüllt werden.
Die Designprinzipien für die Kostenoptimierung bieten eine allgemeine Entwurfsstrategie, um diese Ziele zu erreichen und bei Bedarf im technischen Design im Zusammenhang mit der Dateispeicherung und seiner Umgebung Kompromisse zu erzielen.
Prüfliste für den Entwurf
Starten Sie Ihre Designstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für Kostenoptimierung für Investitionen. Optimieren Sie den Entwurf so, dass die Arbeitsauslastung mit dem Budget übereinstimmt, das für die Workload zugewiesen ist. Ihr Design sollte die richtigen Azure-Funktionen verwenden, Investitionen überwachen und Möglichkeiten zur Optimierung im Laufe der Zeit finden.
Entscheiden Sie, ob Ihre Workload die Leistung von Premium-Dateifreigaben (Azure Premium SSD) erfordert oder ob der Azure Standard HDD-Speicher ausreichend ist: Ermitteln Sie Ihren Speicherkontotyp und das Abrechnungsmodell basierend auf dem benötigten Speichertyp. Wenn Sie große Mengen an Eingabe-/Ausgabevorgängen pro Sekunde (IOPS), extrem schnelle Datenübertragungsgeschwindigkeiten oder sehr geringe Latenz benötigen, sollten Sie Premium-Azure-Dateifreigaben auswählen. NFS Azure-Dateifreigaben sind nur auf der Premium-Stufe verfügbar. NFS- und SMB-Dateifreigaben sind der gleiche Preis auf der Premium-Stufe.
Erstellen Sie ein Speicherkonto für Ihre Dateifreigabe, und wählen Sie eine Redundanzstufe aus: Wählen Sie entweder ein Standardkonto (GPv2) oder ein Premium-Konto (FileStorage) aus. Die von Ihnen ausgewählte Redundanzstufe wirkt sich auf die Kosten aus. Je mehr Redundanz, desto höher die Kosten. Lokal redundanter Speicher (LRS) ist die kostengünstigste. GRS ist nur für standardmäßige SMB-Dateifreigaben verfügbar. Standarddateifreigaben zeigen nur Transaktionsinformationen auf Speicherkontoebene an. Daher wird empfohlen, nur eine Dateifreigabe in jedem Speicherkonto bereitzustellen, um die vollständige Sichtbarkeit der Abrechnung sicherzustellen.
Verstehen Sie, wie Ihre Rechnung berechnet wird: Standard-Azure-Dateifreigaben bieten ein pay-as-you-go-Modell. Premium-Aktien verwenden ein bereitgestelltes Modell , in dem Sie eine bestimmte Menge an Kapazität, IOPS und Durchsatz im Voraus angeben und bezahlen. Im Pay-as-you-go-Modell verfolgen Meter die Datenmenge, die im Konto gespeichert ist, oder die Kapazität sowie die Anzahl und Art der Transaktionen basierend auf Ihrer Nutzung dieser Daten. Das Pay-as-You-Go-Modell kann kosteneffizient sein, da Sie nur für ihre Nutzung bezahlen. Mit dem Pay-as-You-Go-Modell müssen Sie den Speicher nicht basierend auf Leistungsanforderungen oder Nachfrageschwankungen überschreiben oder aufheben.
Möglicherweise ist es jedoch schwierig, den Speicher als Teil eines Budgetierungsprozesses zu planen, da der Verbrauch der Endbenutzer kostenaufwendige. Mit dem bereitgestellten Modell wirken sich Transaktionen nicht auf die Abrechnung aus, sodass die Kosten leicht vorhergesagt werden können. Sie zahlen jedoch für die bereitgestellte Speicherkapazität, unabhängig davon, ob Sie sie verwenden oder nicht. Eine detaillierte Aufschlüsselung der Berechnung der Kosten finden Sie unter "Grundlegendes zur Abrechnung von Azure Files".
Schätzen Sie die Kosten der Kapazität und des Betriebs: Sie können den Azure-Preisrechner verwenden, um die Kosten zu modellieren, die mit der Datenspeicherung, dem Ausgang und dem Ausgang verbunden sind. Vergleichen Sie die Kosten für verschiedene Regionen, Kontotypen und Redundanzkonfigurationen. Weitere Informationen finden Sie unter Azure Files-Preise.
Wählen Sie die kostengünstigste Zugriffsstufe aus: Standard-SMB Azure-Dateifreigaben bieten drei Zugriffsebenen: Transaktion optimiert, hot und cool. Alle drei Ebenen werden auf derselben Standardspeicherhardware gespeichert. Der Hauptunterschied für diese drei Stufen ist ihre Daten zu ruhenden Speicherpreisen, die in kühleren Ebenen niedriger sind, und die Transaktionspreise, die in kühleren Stufen höher sind. Weitere Informationen finden Sie unter Unterschiede in Standardebenen.
Entscheiden Sie, welche mehrwertigen Dienste Sie benötigen: Azure Files unterstützt Integrationen mit Mehrwertdiensten wie Backup, Azure-Dateisynchronisierung und Defender for Storage. Diese Lösungen verfügen über eigene Lizenzierungs- und Produktkosten, werden jedoch häufig als Teil der Gesamtbetriebskosten für die Dateispeicherung betrachtet. Berücksichtigen Sie andere Kostenaspekte, wenn Sie Azure-Dateisynchronisierung verwenden.
Erstellen Sie Guardrails: Erstellen Sie Budgets basierend auf Abonnements und Ressourcengruppen. Verwenden Sie Governancerichtlinien, um Ressourcentypen, Konfigurationen und Speicherorte einzuschränken. Verwenden Sie außerdem die rollenbasierte Zugriffssteuerung (RBAC), um Aktionen zu blockieren, die zu überstehenden Aktionen führen können.
Überwachen sie die Kosten: Stellen Sie sicher, dass Die Kosten in Budgets bleiben, kosten mit Prognosen vergleichen und sehen, wo ausstehende Kosten entstehen. Sie können den Kostenanalysebereich im Azure-Portal verwenden, um Die Kosten zu überwachen. Sie können Kostendaten auch in ein Speicherkonto exportieren und diese Daten mithilfe von Excel oder Power BI analysieren.
Überwachen Sie die Verwendung: Überwachen Sie kontinuierlich Verwendungsmuster, um nicht verwendete oder nicht verwendete Speicherkonten und Dateifreigaben zu erkennen. Überprüfen Sie auf unerwartete Kapazitätssteigerungen, was möglicherweise darauf hindeutet, dass Sie zahlreiche Protokolldateien oder vorläufig gelöschte Dateien sammeln. Entwickeln Sie eine Strategie zum Löschen von Dateien oder zum Verschieben von Dateien auf kostengünstigere Zugriffsebenen.
Empfehlungen
| Empfehlung | Vorteil |
|---|---|
| Wenn Sie zu standardmäßigen Azure-Dateifreigaben migrieren, empfehlen wir, während der ersten Migration in der transaktionsoptimierten Ebene zu beginnen. Die Transaktionsnutzung während der Migration ist in der Regel kein Hinweis auf die normale Transaktionsnutzung. Diese Überlegung gilt nicht für Premium-Dateifreigaben, da das bereitgestellte Abrechnungsmodell keine Buchungen berechnet. | Die Migration zu Azure Files ist eine temporäre, transaktionsintensive Arbeitsauslastung. Optimieren Sie den Preis für Workloads mit hoher Transaktion, um die Migrationskosten zu reduzieren. |
| Nachdem Sie Ihre Workload migriert haben, wählen Sie bei Verwendung von Standarddateifreigaben sorgfältig die kostengünstigste Zugriffsebene für Ihre Dateifreigabe aus: hot, cool oder transaction optimized. Nachdem Sie einige Tage oder Wochen mit regelmäßiger Nutzung arbeiten, können Sie Ihre Transaktionsanzahl in den Preisrechner einfügen, um herauszufinden, welche Stufe am besten zu Ihrer Workload passt. Die meisten Kunden sollten cool wählen, auch wenn sie die Freigabe aktiv nutzen. Sie sollten jedoch jede Freigabe untersuchen und das Saldo der Speicherkapazität mit Transaktionen vergleichen, um Ihre Ebene zu ermitteln. Wenn Transaktionskosten einen erheblichen Prozentsatz Ihrer Rechnung ausmachen, werden diese Kosten häufig durch die Nutzung der kühlen Zugriffsebene eingespart und die Gesamtkosten minimiert. Es wird empfohlen, standarddateifreigaben nur dann zwischen Zugriffsebenen zu verschieben, wenn dies erforderlich ist, um änderungen in Ihrem Workloadmuster zu optimieren. Jede Verschiebung verursacht Transaktionen. Weitere Informationen finden Sie unter Wechseln zwischen Standardebenen. |
Wählen Sie die entsprechende Zugriffsebene für Standarddateifreigaben aus, um Ihre Kosten erheblich zu reduzieren. |
| Wenn Sie Premium-Freigaben verwenden, stellen Sie sicher, dass Sie mehr als genügend Kapazität und Leistung für Ihre Workload bereitstellen, aber nicht so viel, dass sie unnötige Kosten verursachen. Es wird empfohlen, die Bereitstellung um zwei bis dreimal zu überschreiben. Sie können Premium-Dateifreigaben je nach Ihren Leistungsmerkmalen für Speicher und Eingabe/Ausgabe (IO) dynamisch nach oben oder unten skalieren. | Überschreiben Sie Premium-Dateifreigaben um einen angemessenen Betrag, um die Leistung aufrechtzuerhalten und zukünftige Wachstums- und Leistungsanforderungen zu berücksichtigen. |
| Verwenden Sie Azure Files Reservations, auch als reservierte Instanzen bezeichnet, um die Speichernutzung vorab zu nutzen und einen Rabatt zu erhalten. Verwenden Sie Reservierungen für Produktionsworkloads oder Entwicklungs-/Testworkloads mit konsistenten Footprints. Weitere Informationen finden Sie unter Optimieren der Kosten mit Speicherreservierungen. Reservierungen umfassen keine Transaktions-, Bandbreiten-, Datenübertragungs- und Metadatenspeichergebühren. |
Reservierungen von drei Jahren können einen Rabatt von bis zu 36 % auf die Gesamtkosten des Dateispeichers bieten. Reservierungen wirken sich nicht auf die Leistung aus. |
| Überwachen der Momentaufnahmenutzung. Momentaufnahmen verursachen Gebühren, aber sie werden basierend auf der differenziellen Speichernutzung der einzelnen Momentaufnahmen in Rechnung gestellt. Sie zahlen nur für die Differenz in den einzelnen Momentaufnahmen. Weitere Informationen finden Sie unter Momentaufnahmen. Azure-Dateisynchronisierung nimmt Momentaufnahmen auf Freigabe- und Dateiebene als Teil der regulären Nutzung an, wodurch ihre Gesamtrechnung für Azure Files erhöht werden kann. |
Differenzielle Momentaufnahmen stellen sicher, dass Sie nicht mehrmals in Rechnung gestellt werden, um dieselben Daten zu speichern. Sie sollten die Momentaufnahmenutzung jedoch weiterhin überwachen, um Ihre Azure Files-Rechnung zu verringern. |
| Legen Sie Aufbewahrungszeiträume für das Feature für das vorläufige Löschen fest, insbesondere, wenn Sie es zum ersten Mal verwenden. Erwägen Sie, mit einem kurzen Aufbewahrungszeitraum zu beginnen, um besser zu verstehen, wie sich das Feature auf Ihre Rechnung auswirkt. Die empfohlene Mindestaufbewahrungsdauer beträgt sieben Tage. Wenn Sie Standard- und Premium-Dateifreigaben vorläufig löschen, werden sie als verwendete Kapazität und nicht als bereitgestellte Kapazität in Rechnung gestellt. Und Premium-Dateifreigaben werden zur Momentaufnahmerate im Zustand "Vorläufig löschen" abgerechnet. Standarddateifreigaben werden im Zustand "Vorläufiges Löschen" regelmäßig abgerechnet. |
Legen Sie einen Aufbewahrungszeitraum fest, damit vorläufig gelöschte Dateien sich nicht stapeln und die Kapazitätskosten erhöhen. Nach dem konfigurierten Aufbewahrungszeitraum entstehen dauerhaft gelöschte Daten keine Kosten. |
Optimaler Betrieb
Operational Excellence konzentriert sich in erster Linie auf Verfahren für Entwicklungspraktiken, Observability und Release Management.
Die Designprinzipien der Operational Excellence bieten eine allgemeine Designstrategie, um diese Ziele für die betrieblichen Anforderungen der Arbeitsauslastung zu erreichen.
Prüfliste für den Entwurf
Starten Sie Ihre Designstrategie basierend auf der Prüfliste für die Designüberprüfung für Operational Excellence zum Definieren von Prozessen für Die Observability, Tests und Bereitstellung im Zusammenhang mit Ihrer Dateispeicherkonfiguration.
Erstellen Sie Wartungs- und Notfallwiederherstellungspläne: Berücksichtigen Sie Datenschutzfeatures, Sicherungs- und Wiederherstellungsvorgänge und Failoverprozeduren. Bereiten Sie sich auf potenzielle Datenverluste und Dateninkonsistenzen sowie die Zeit und Kosten eines Ausfalls vor.
Überwachen Sie den Status Ihres Speicherkontos: Erstellen Sie Dashboards für Speichereinblicke , um Die Verfügbarkeit, Leistung und Resilienzmetriken zu überwachen. Richten Sie Warnungen ein, um Probleme in Ihrem System zu identifizieren und zu beheben, bevor Ihre Kunden sie bemerken. Verwenden Sie Diagnoseeinstellungen, um Ressourcenprotokolle an einen Azure Monitor Logs-Arbeitsbereich weiterzuleiten. Anschließend können Sie Protokolle abfragen, um Warnungen genauer zu untersuchen.
Überprüfen Sie die Dateifreigabeaktivität in regelmäßigen Abständen: Die Freigabeaktivität kann sich im Laufe der Zeit ändern. Verschieben Sie Standarddateifreigaben auf kühlere Zugriffsstufen, oder Sie können die Kapazität für Premium-Freigaben bereitstellen oder aufheben. Wenn Sie Standarddateifreigaben auf eine andere Zugriffsebene verschieben, entstehen Transaktionsgebühren. Verschieben Sie Standarddateifreigaben nur, wenn sie erforderlich sind, um Ihre monatliche Rechnung zu reduzieren.
Empfehlungen
| Empfehlung | Vorteil |
|---|---|
| Verwenden Sie die Infrastruktur als Code (IaC), um die Details Ihrer Speicherkonten in Azure Resource Manager-Vorlagen (ARM-Vorlagen), Bicep oder Terraform zu definieren. | Sie können Ihre vorhandenen DevOps-Prozesse verwenden, um neue Speicherkonten bereitzustellen, und Azure-Richtlinie verwenden, um ihre Konfiguration zu erzwingen. |
| Verwenden Sie Speichereinblicke, um die Integrität und Leistung Ihrer Speicherkonten nachzuverfolgen. Speichererkenntnisse bieten eine einheitliche Übersicht über Fehler, Leistung, Verfügbarkeit und Kapazität für alle Speicherkonten. | Sie können die Integrität und den Betrieb der einzelnen Konten nachverfolgen. Erstellen Sie ganz einfach Dashboards und Berichte, mit denen Projektbeteiligte den Status Ihrer Speicherkonten nachverfolgen können. |
| Verwenden Sie "Monitor", um Metriken wie Verfügbarkeit, Latenz und Nutzung zu analysieren und Warnungen zu erstellen. | Monitor bietet eine Übersicht über Verfügbarkeit, Leistung und Resilienz für Ihre Dateifreigaben. |
Effiziente Leistung
Die Leistungseffizienz geht es darum , die Benutzererfahrung auch dann aufrechtzuerhalten, wenn die Auslastung durch die Verwaltung der Kapazität erhöht wird. Die Strategie umfasst die Skalierung von Ressourcen, das Identifizieren und Optimieren potenzieller Engpässe und die Optimierung der Spitzenleistung.
Die Designprinzipien für die Leistungseffizienz bieten eine allgemeine Entwurfsstrategie, um diese Kapazitätsziele gegen die erwartete Nutzung zu erreichen.
Prüfliste für den Entwurf
Starten Sie Ihre Designstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für die Leistungseffizienz. Definieren Sie einen Basisplan, der auf Schlüsselleistungsindikatoren für Ihre Dateispeicherkonfiguration basiert.
Planen Sie die Skalierung: Verstehen der Skalierbarkeits- und Leistungsziele für Speicherkonten, Azure Files und Azure-Dateisynchronisierung.
Verstehen Sie Ihre Anwendungs- und Verwendungsmuster, um eine vorhersehbare Leistung zu erzielen: Ermitteln der Latenzempfindlichkeit, IOPS und Durchsatzanforderungen, Workloaddauer und Häufigkeit sowie Workload-Parallelisierung. Verwenden Sie Azure Files für Multithread-Anwendungen, um die oberen Leistungsgrenzen eines Diensts zu erreichen. Wenn die meisten Ihrer Anforderungen metadatenorientiert sind, z. B. createfile, openfile, closefile, queryinfo oder querydirectory, erstellen die Anforderungen eine schlechte Latenz, die höher als die Lese- und Schreibvorgänge ist. Wenn Sie dieses Problem haben, sollten Sie die Dateifreigabe in mehrere Dateifreigaben innerhalb desselben Speicherkontos trennen.
Wählen Sie den optimalen Speicherkontotyp aus: Wenn Ihre Workload große Mengen von IOPS, extrem schnelle Datenübertragungsgeschwindigkeiten oder sehr geringe Latenz erfordert, sollten Sie Premium-Speicherkonten (FileStorage) auswählen. Sie können ein standardmäßiges allgemeines v2-Konto für die meisten SMB-Dateifreigabeworkloads verwenden. Der primäre Kompromiss zwischen den beiden Speicherkontotypen ist Kosten im Vergleich zur Leistung.
Die bereitgestellte Freigabegröße, z. B. IOPS, Ausgang und Eingangs- und Ein-Datei-Grenzwerte, bestimmen die Premium-Freigabeleistung. Weitere Informationen finden Sie unter Grundlegendes zur Bereitstellung für Premium-Dateifreigaben. Premium-Dateifreigaben bieten auch Platzguthaben als Versicherungsrichtlinie an, wenn Sie vorübergehend das geplante IOPS-Limit einer Premiumdateifreigabe überschreiten müssen.
Erstellen Sie Speicherkonten in denselben Regionen wie das Verbinden von Clients, um die Latenz zu reduzieren: Je weiter Sie vom Azure Files-Dienst entfernt sind, desto größer die Latenz und desto schwieriger ist es, Leistungsskalierungsgrenzwerte zu erreichen. Diese Überlegung trifft besonders zu, wenn Sie über lokale Umgebungen auf Azure Files zugreifen. Stellen Sie nach Möglichkeit sicher, dass Sich Ihr Speicherkonto und Ihre Clients in derselben Azure-Region befinden. Optimieren Sie lokale Clients, indem Sie die Netzwerklatenz minimieren oder eine ExpressRoute-Verbindung verwenden, um lokale Netzwerke über eine private Verbindung in die Microsoft-Cloud zu erweitern.
Erfassen von Leistungsdaten: Überwachen der Workloadleistung, einschließlich Latenz, Verfügbarkeit und Nutzungsmetriken . Analysieren Sie Protokolle , um Probleme wie Timeouts und Drosselung zu diagnostizieren. Erstellen Sie Warnungen , um Sie zu benachrichtigen, wenn eine Dateifreigabe gedrosselt wird, etwa gedrosselt wird oder eine hohe Latenz auftritt.
Optimierung für Hybridbereitstellungen: Wenn Sie Azure-Dateisynchronisierung verwenden, hängt die Synchronisierungsleistung von vielen Faktoren ab: Ihrem Windows Server und der zugrunde liegenden Datenträgerkonfiguration, der Netzwerkbandbreite zwischen dem Server und dem Azure-Speicher, der Dateigröße, der Gesamtgröße des Datasets und der Aktivität im Dataset. Um die Leistung einer Lösung zu messen, die auf Azure-Dateisynchronisierung basiert, bestimmen Sie die Anzahl der Objekte, z. B. Dateien und Verzeichnisse, die Sie pro Sekunde verarbeiten.
Empfehlungen
| Empfehlung | Vorteil |
|---|---|
| Aktivieren Sie SMB Multichannel für Premium-SMB-Dateifreigaben. SMB Multichannel ermöglicht einem SMB 3.1.1-Client, mehrere Netzwerkverbindungen mit einer SMB Azure-Dateifreigabe einzurichten. SMB Multichannel funktioniert nur, wenn das Feature sowohl clientseitig (Client) als auch dienstseitig (Azure) aktiviert ist. Auf Windows-Clients ist SMB Multichannel standardmäßig aktiviert, sie muss jedoch auf Ihrem Speicherkonto aktiviert werden. |
Erhöhen Sie den Durchsatz und IOPS, während Sie die Gesamtbetriebskosten reduzieren. Die Leistungsvorteile erhöhen sich mit der Anzahl der Dateien, die geladen werden. |
| Verwenden Sie die Option für die clientseitige Bereitstellung mit NFS Azure-Dateifreigaben auf Linux-Clients. Mit Nconnect können Sie weitere TCP-Verbindungen zwischen dem Client und dem Azure Files Premium-Dienst für NFSv4.1 verwenden. | Erhöhen Sie die Leistung im großen Maßstab, und reduzieren Sie die Gesamtbetriebskosten für NFS-Dateifreigaben. |
| Stellen Sie sicher, dass Ihre Dateifreigabe oder Ihr Speicherkonto nicht gedrosselt wird, was zu hoher Latenz, geringem Durchsatz oder niedriger IOPS führen kann. Anforderungen werden gedrosselt, wenn die IOPS-, Eingangs- oder Ausgangsgrenzwerte erreicht werden. Bei Standardspeicherkonten erfolgt die Drosselung auf Kontoebene. Bei Premium-Dateifreigaben erfolgt die Drosselung in der Regel auf Freigabeebene. |
Vermeiden Sie Drosselung, um die bestmögliche Clientumgebung bereitzustellen. |
Azure-Richtlinien
Azure bietet einen umfassenden Satz integrierter Richtlinien im Zusammenhang mit Azure Files. Einige der vorstehenden Empfehlungen können über Azure-Richtlinien überwacht werden. Sie können beispielsweise überprüfen, ob:
- Nur Anforderungen von sicheren Verbindungen, z. B. HTTPS, werden akzeptiert.
- Die Autorisierung für gemeinsam genutzte Schlüssel ist deaktiviert.
- Netzwerkfirewallregeln werden auf das Konto angewendet.
- Diagnoseeinstellungen für Azure Files werden so festgelegt, dass Ressourcenprotokolle in einen Azure Monitor Logs-Arbeitsbereich gestreamt werden.
- Öffentlicher Netzwerkzugriff ist deaktiviert.
- Azure-Dateisynchronisierung ist mit privaten Endpunkten für die Verwendung privater DNS-Zonen konfiguriert.
Überprüfen Sie für umfassende Governance die integrierten Azure-Richtliniendefinitionen für Speicher und andere Richtlinien, die sich auf die Sicherheit der Computeebene auswirken können.
Azure Advisor-Empfehlungen
Bei Azure Advisor handelt es sich um einen personalisierten Cloudberater, der Sie mit bewährten Methoden zum Optimieren von Azure-Bereitstellungen unterstützt. Hier finden Sie einige Empfehlungen, die Ihnen helfen können, die Zuverlässigkeit, Sicherheit, Kosteneffizienz, Leistung und operative Exzellenz von Azure Files zu verbessern.
Nächster Schritt
Weitere Informationen finden Sie in der Dokumentation zu Azure Files.