Perspective d’Azure Well-Architected Framework sur Azure Files
Azure Files est une solution de stockage de fichiers Microsoft pour le cloud. Azure Files fournit des partages de fichiers SMB (Server Message Block) et NFS (Network File System) que vous pouvez monter sur des clients dans le cloud, localement ou dans les deux. Vous pouvez également utiliser Azure File Sync pour mettre en cache des partages de fichiers SMB sur un serveur Windows local et des fichiers rarement utilisés dans le cloud.
Cet article suppose qu’en tant qu’architecte, vous avez examiné les options de stockage et choisi Azure Files comme service de stockage sur lequel exécuter vos charges de travail. Les conseils de cet article fournissent des recommandations architecturales mappées aux principes des piliers azure Well-Architected Framework.
Important
Guide pratique pour utiliser ce guide
Chaque section possède une liste de contrôle de conception qui présente des domaines d’intérêt architecturaux, ainsi que des stratégies de conception localisées dans l’étendue de la technologie.
Il y a également des recommandations sur les fonctionnalités technologiques qui peuvent aider à implémenter ces stratégies. Les recommandations ne représentent pas une liste exhaustive de toutes les configurations disponibles pour Azure Files et ses dépendances. Au lieu de cela, ils répertorient les recommandations clés mappées aux perspectives de conception. Utilisez les recommandations pour créer votre preuve de concept ou optimiser vos environnements existants.
Fiabilité
L’objectif du pilier fiabilité est de fournir des fonctionnalités continues en générant suffisamment de résilience et en permettant de récupérer rapidement des défaillances.
Les principes de conception de fiabilité fournissent une stratégie de conception de haut niveau appliquée aux composants, charges de travail, flux système et système dans son ensemble.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour la fiabilité.
Utiliser l’analyse du mode d’échec : réduisez les points de défaillance en tenant compte des dépendances internes telles que la disponibilité des réseaux virtuels, Azure Key Vault ou azure réseau de distribution de contenu ou des points de terminaison Azure Front Door. Des échecs peuvent se produire si vous avez besoin d’informations d’identification pour accéder à Azure Files et que les informations d’identification sont manquantes dans Key Vault. Vous pouvez également avoir un échec si vos charges de travail utilisent un point de terminaison basé sur un réseau de distribution de contenu manquant. Dans ces cas, vous devrez peut-être configurer vos charges de travail pour vous connecter à un autre point de terminaison. Pour obtenir des informations générales sur l’analyse du mode d’échec, consultez Recommandations pour effectuer une analyse du mode d’échec.
Définissez les cibles de fiabilité et de récupération : passez en revue les contrats de niveau de service Azure (SLA). Dérivez l’objectif de niveau de service (SLO) pour le compte de stockage. Par exemple, la configuration de redondance que vous avez choisie peut affecter le SLO. Tenez compte de l’effet d’une panne régionale, du risque de perte de données et du temps nécessaire pour restaurer l’accès après une panne. Considérez également la disponibilité des dépendances internes que vous avez identifiées dans le cadre de votre analyse du mode d’échec.
Configurer la redondance des données : pour une durabilité maximale, choisissez une configuration qui copie les données entre les zones de disponibilité ou les régions globales. Pour une disponibilité maximale, choisissez une configuration qui permet aux clients de lire des données à partir de la région secondaire pendant une panne de la région primaire.
Applications de conception : concevez vos applications de manière transparente afin qu’elles lisent les données d’une région secondaire si la région primaire n’est pas disponible. Cette considération de conception s’applique uniquement aux configurations de stockage géoredondant (GRS) et de stockage géoredondant interzone (GZRS). Concevez vos applications pour gérer correctement les pannes, ce qui réduit les temps d’arrêt pour les clients.
Explorez les fonctionnalités pour vous aider à atteindre vos cibles de récupération : rendre les fichiers pouvant être restaurés afin de pouvoir récupérer les fichiers endommagés, modifiés ou supprimés.
Créez un plan de récupération : envisagez les fonctionnalités de protection des données, les opérations de sauvegarde et de restauration ou les procédures de basculement. Préparez la perte de données potentielle et les incohérences de données, ainsi que le temps et le coût du basculement. Pour plus d’informations, consultez Recommandations pour la conception d’une stratégie de récupération d’urgence.
Surveiller les problèmes de disponibilité potentiels : abonnez-vous au tableau de bord Azure Service Health pour surveiller les problèmes de disponibilité potentiels. Utilisez les métriques de stockage et les journaux de diagnostic dans Azure Monitor pour examiner les alertes.
Recommandations
Recommandation | Avantage |
---|---|
Configurez votre compte de stockage pour la redondance. Pour une disponibilité et une durabilité maximales, configurez votre compte avec un stockage redondant interzone (ZRS), GRS ou GZRS. Les régions Azure limitées prennent en charge ZRS pour les partages de fichiers standard et Premium . Seuls les comptes SMB standard prennent en charge GRS et GZRS. Les partages SMB Premium et les partages NFS ne prennent pas en charge GRS et GZRS. Azure Files ne prend pas en charge le stockage géoredondant avec accès en lecture (RA-GRS) ni le stockage géoredondant interzone avec accès en lecture (RA-GZRS). Si vous configurez un compte de stockage pour utiliser RA-GRS ou RA-GZRS, les partages de fichiers sont configurés et facturés en tant que GRS ou GZRS. |
La redondance protège vos données contre les défaillances inattendues. Les options de configuration ZRS et GZRS sont répliquées dans différentes zones de disponibilité et permettent aux applications de continuer à lire les données lors d’une panne. Pour plus d’informations, consultez Le scénario de durabilité et la disponibilité par scénario de panne et paramètres de durabilité et de disponibilité. |
Avant de lancer un basculement ou une restauration automatique, vérifiez la valeur de la dernière propriété d’heure de synchronisation pour évaluer le risque de perte de données. Cette recommandation s’applique uniquement aux configurations GRS et GZRS. | Cette propriété vous aide à estimer la quantité de données que vous risquez de perdre si vous lancez un basculement de compte. Toutes les données et métadonnées écrites avant la dernière heure de synchronisation sont disponibles sur la région secondaire, mais vous risquez de perdre des données et des métadonnées écrites après la dernière heure de synchronisation, car elles ne sont pas écrites dans la région secondaire. |
Dans le cadre de votre stratégie de sauvegarde et de récupération, activez la suppression réversible et utilisez des captures instantanées pour la restauration dans le temps. Vous pouvez utiliser Sauvegarde Azure pour sauvegarder vos partages de fichiers SMB. Vous pouvez également utiliser Azure File Sync pour sauvegarder des partages de fichiers SMB locaux sur un partage de fichiers Azure. Sauvegarde Azure vous permet également d’effectuer une sauvegarde en coffre (préversion) d’Azure Files pour protéger vos données contre les attaques par ransomware ou la perte de données sources en raison d’un acteur malveillant ou d’un administrateur non autorisé. En utilisant la sauvegarde coffretée, Sauvegarde Azure copie et stocke les données dans le coffre Recovery Services. Cela crée une copie hors site des données que vous pouvez conserver pendant une période pouvant atteindre 99 ans. Sauvegarde Azure crée et gère les points de récupération conformément à la planification et à la rétention définies dans la stratégie de sauvegarde. Plus d’informations |
La suppression réversible fonctionne au niveau d’un partage de fichiers pour protéger les partages de fichiers Azure contre les suppressions accidentelles. La restauration dans le temps protège contre la suppression accidentelle ou la corruption, car vous pouvez restaurer des partages de fichiers à un état antérieur. Pour plus d’informations, consultez Vue d’ensemble de la protection des données. |
Sécurité
L’objectif du pilier de sécurité est de fournir des garanties de confidentialité, d’intégrité et de disponibilité à la charge de travail.
Les principes de conception de sécurité fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs en appliquant des approches à la conception technique de votre configuration de stockage de fichiers.
Les exigences de sécurité et les recommandations varient selon que votre charge de travail utilise le protocole SMB ou NFS pour accéder à vos partages de fichiers. Les sections suivantes contiennent donc des listes de contrôle de conception et des recommandations distinctes pour les partages de fichiers SMB et NFS.
Comme meilleure pratique, vous devez conserver les partages de fichiers SMB et NFS dans des comptes de stockage distincts, car ils ont des exigences de sécurité différentes. Utilisez cette approche pour fournir à votre charge de travail une sécurité forte et une grande flexibilité.
Liste de contrôle de conception pour les partages de fichiers SMB
Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour sécurité. Identifiez les vulnérabilités et les contrôles pour améliorer la posture de sécurité. Étendez la stratégie pour inclure davantage d’approches en fonction des besoins.
Passez en revue la base de référence de sécurité pour Stockage Azure : pour commencer, passez en revue la base de référence de sécurité pour le stockage.
Envisagez d’utiliser des contrôles réseau pour restreindre le trafic d’entrée et de sortie : vous pouvez être à l’aise d’exposer votre compte de stockage à l’Internet public dans certaines conditions, comme si vous utilisez l’authentification basée sur l’identité pour accorder l’accès aux partages de fichiers. Toutefois, nous vous recommandons d’utiliser des contrôles réseau pour accorder le niveau minimal d’accès requis aux utilisateurs et aux applications. Pour plus d’informations, consultez Comment aborder la sécurité réseau pour votre compte de stockage.
Réduire la surface d’attaque : utilisez le chiffrement en transit et empêchez l’accès via des connexions HTTP (non sécurisées) pour réduire la surface d’attaque. Exiger que les clients envoient et reçoivent des données à l’aide de la dernière version du protocole TLS (Transport Layer Security).
Réduisez l’utilisation des clés de compte de stockage : l’authentification basée sur l’identité offre une sécurité supérieure par rapport à l’utilisation d’une clé de compte de stockage. Toutefois, vous devez utiliser une clé de compte de stockage pour obtenir un contrôle administratif total d’un partage de fichiers, y compris la possibilité de prendre possession d’un fichier. Accordez uniquement aux principaux de sécurité les autorisations nécessaires dont ils ont besoin pour effectuer leurs tâches.
Protéger les informations sensibles : protégez les informations sensibles, telles que les clés et les mots de passe du compte de stockage. Nous vous déconseillons d’utiliser ces formes d’autorisation, mais si vous le faites, vous devez vous assurer de faire pivoter, d’expirer et de les stocker en toute sécurité.
Détecter les menaces : activez Microsoft Defender pour le stockage pour détecter les tentatives potentiellement dangereuses d’accès ou d’exploitation de vos partages de fichiers Azure sur les protocoles SMB ou FileREST. Les administrateurs d’abonnement reçoivent des alertes par e-mail avec des détails sur les activités suspectes et les recommandations sur la façon d’examiner et de corriger les menaces. Defender pour le stockage ne prend pas en charge les fonctionnalités antivirus pour les partages de fichiers Azure. Si vous utilisez Defender pour le stockage, les partages de fichiers lourds sur les transactions entraînent des coûts significatifs. Envisagez donc de refuser Defender pour le stockage pour des comptes de stockage spécifiques.
Recommandations pour les partages de fichiers SMB
Recommandation | Avantage |
---|---|
Appliquez un verrou Azure Resource Manager sur le compte de stockage. | Verrouillez le compte pour empêcher la suppression accidentelle ou malveillante du compte de stockage, ce qui peut entraîner une perte de données. |
Ouvrez le port TCP 445 sortant ou configurez une passerelle VPN ou une connexion Azure ExpressRoute pour les clients en dehors d’Azure pour accéder au partage de fichiers. | SMB 3.x est un protocole internet sécurisé, mais vous n’avez peut-être pas la possibilité de modifier les stratégies organisationnelles ou ISP. Vous pouvez utiliser une passerelle VPN ou une connexion ExpressRoute comme autre option. |
Si vous ouvrez le port 445, veillez à désactiver SMBv1 sur les clients Windows et Linux . Azure Files ne prend pas en charge SMB 1, mais vous devez toujours le désactiver sur vos clients. | SMB 1 est un protocole obsolète, inefficace et qui pose des problèmes de sécurité. Désactivez-le sur les clients pour améliorer votre posture de sécurité. |
Envisagez de désactiver l’accès au réseau public à votre compte de stockage. Activez l’accès au réseau public uniquement si les clients et services SMB externes à Azure nécessitent l’accès à votre compte de stockage. Si vous désactivez l’accès au réseau public, créez un point de terminaison privé pour votre compte de stockage. Les taux de traitement de données standard pour les terminaux privés s'appliquent. Un point de terminaison privé ne bloque pas les connexions au point de terminaison public. Vous devez toujours désactiver l’accès réseau public comme décrit précédemment. Si vous n’avez pas besoin d’une adresse IP statique pour votre partage de fichiers et que vous souhaitez éviter le coût des points de terminaison privés, vous pouvez limiter l’accès au point de terminaison public à des réseaux virtuels et adresses IP spécifiques. |
Le trafic réseau transite sur le réseau principal Microsoft au lieu de l’Internet public, ce qui élimine l’exposition aux risques de l’Internet public. |
Activez les règles de pare-feu qui limitent l’accès à des réseaux virtuels spécifiques. Commencez par zéro accès, puis de manière méthodique et incrémentielle, fournissez la quantité minimale d’accès requise pour les clients et les services. | Réduisez le risque de création d’ouvertures pour les attaquants. |
Si possible, utilisez l’authentification basée sur l’identité avec le chiffrement de ticket Kerberos AES-256 pour autoriser l’accès aux partages de fichiers Azure SMB. | Utilisez l’authentification basée sur l’identité pour réduire la possibilité qu’un attaquant utilise une clé de compte de stockage pour accéder aux partages de fichiers. |
Si vous utilisez des clés de compte de stockage, stockez-les dans Key Vault et veillez à les régénérer régulièrement. Vous pouvez interdire complètement l’accès à la clé de compte de stockage au partage de fichiers en supprimant NTLMv2 des paramètres de sécurité SMB du partage. Toutefois, vous ne devez généralement pas supprimer NTLMv2 des paramètres de sécurité SMB du partage, car les administrateurs doivent toujours utiliser la clé de compte pour certaines tâches. |
Utilisez Key Vault pour récupérer des clés au moment de l’exécution au lieu de les enregistrer avec votre application. Key Vault facilite également la rotation de vos clés sans interruption de vos applications. Faites pivoter régulièrement les clés de compte pour réduire le risque d’exposer vos données à des attaques malveillantes. |
Dans la plupart des cas, vous devez activer l’option de transfert sécurisé nécessaire sur tous vos comptes de stockage pour activer le chiffrement en transit pour les partages de fichiers SMB. N’activez pas cette option si vous devez autoriser de très anciens clients à accéder au partage. Si vous désactivez le transfert sécurisé, veillez à utiliser des contrôles réseau pour restreindre le trafic. |
Ce paramètre garantit que toutes les requêtes effectuées sur le compte de stockage ont lieu via des connexions sécurisées (HTTPS). Toutes les demandes effectuées sur HTTP échouent. |
Configurez votre compte de stockage afin que TLS 1.2 soit la version minimale pour que les clients envoient et reçoivent des données. | TLS 1.2 est plus sécurisé et plus rapide que TLS 1.0 et 1.1, qui ne prennent pas en charge les algorithmes de chiffrement modernes et les suites de chiffrement. |
Utilisez uniquement la version de protocole SMB prise en charge la plus récente (actuellement 3.1.1.) et utilisez uniquement AES-256-GCM pour le chiffrement de canal SMB. Azure Files expose les paramètres que vous pouvez utiliser pour basculer le protocole SMB et le rendre plus compatible ou plus sécurisé, en fonction des exigences de votre organisation. Par défaut, toutes les versions SMB sont autorisées. Toutefois, SMB 2.1 est interdit si vous activez Exiger un transfert sécurisé, car SMB 2.1 ne prend pas en charge le chiffrement des données en transit. Si vous limitez ces paramètres à un niveau élevé de sécurité, certains clients peuvent ne pas être en mesure de se connecter au partage de fichiers. |
SMB 3.1.1, publié avec Windows 10, contient des mises à jour importantes de sécurité et de performances. AES-256-GCM offre un chiffrement de canal plus sécurisé. |
Liste de contrôle de conception pour les partages de fichiers NFS
Passez en revue la base de référence de sécurité pour le stockage : pour commencer, passez en revue la base de référence de sécurité pour le stockage.
Comprendre les exigences de sécurité de votre organisation : les partages de fichiers NFS Azure prennent uniquement en charge les clients Linux qui utilisent le protocole NFSv4.1, avec prise en charge de la plupart des fonctionnalités de la spécification du protocole 4.1. Certaines fonctionnalités de sécurité, telles que l’authentification Kerberos, les listes de contrôle d’accès (ACL) et le chiffrement en transit, ne sont pas prises en charge.
Utilisez la sécurité et les contrôles au niveau du réseau pour restreindre le trafic d’entrée et de sortie : l’authentification basée sur l’identité n’est pas disponible pour les partages de fichiers Azure NFS. Vous devez donc utiliser la sécurité et les contrôles au niveau du réseau pour accorder le niveau minimal requis d’accès aux utilisateurs et aux applications. Pour plus d’informations, consultez Comment aborder la sécurité réseau pour votre compte de stockage.
Recommandations pour les partages de fichiers NFS
Recommandation | Avantage |
---|---|
Appliquez un verrou Resource Manager sur le compte de stockage. | Verrouillez le compte pour empêcher la suppression accidentelle ou malveillante du compte de stockage, ce qui peut entraîner une perte de données. |
Vous devez ouvrir le port 2049 sur les clients auxquels vous souhaitez monter votre partage NFS. | Ouvrez le port 2049 pour permettre aux clients de communiquer avec le partage de fichiers Azure NFS. |
Les partages de fichiers Azure NFS sont accessibles uniquement via des réseaux restreints. Vous devez donc créer un point de terminaison privé pour votre compte de stockage ou restreindre l’accès au point de terminaison public aux réseaux virtuels et adresses IP sélectionnés. Nous vous recommandons de créer un point de terminaison privé. Vous devez configurer la sécurité au niveau du réseau pour les partages NFS, car Azure Files ne prend pas en charge le chiffrement en transit avec le protocole NFS. Vous devez désactiver le paramètre Exiger un transfert sécurisé sur le compte de stockage pour utiliser des partages de fichiers Azure NFS. Les taux de traitement des données standard s’appliquent aux points de terminaison privés. Si vous n’avez pas besoin d’une adresse IP statique pour votre partage de fichiers et que vous souhaitez éviter le coût des points de terminaison privés, vous pouvez restreindre l’accès au point de terminaison public à la place. |
Le trafic réseau transite sur le réseau principal Microsoft au lieu de l’Internet public, ce qui élimine l’exposition aux risques de l’Internet public. |
Envisagez de refuser l’accès à la clé de compte de stockage au niveau du compte de stockage. Vous n’avez pas besoin de cet accès pour monter des partages de fichiers NFS. Mais gardez à l’esprit que le contrôle administratif total d’un partage de fichiers, y compris la possibilité de prendre possession d’un fichier, nécessite l’utilisation d’une clé de compte de stockage. | Interdire l’utilisation des clés de compte de stockage pour rendre votre compte de stockage plus sécurisé. |
Optimisation des coûts
L’optimisation des coûts se concentre sur la détection des modèles de dépense, la hiérarchisation des investissements dans les domaines critiques et l’optimisation dans d’autres pour répondre au budget de l’organisation tout en répondant aux besoins de l’entreprise.
Les principes de conception de l’optimisation des coûts fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs et faire des compromis si nécessaire dans la conception technique liée au stockage de fichiers et à son environnement.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour l’optimisation des coûts pour les investissements. Ajustez la conception afin que la charge de travail soit alignée sur le budget alloué pour la charge de travail. Votre conception doit utiliser les fonctionnalités Azure appropriées, surveiller les investissements et trouver des opportunités d’optimisation au fil du temps.
Déterminez si votre charge de travail nécessite les performances des partages de fichiers Premium (SSD Azure Premium) ou si le stockage HDD Standard Azure est suffisant : déterminez le type de compte de stockage et le modèle de facturation en fonction du type de stockage dont vous avez besoin. Si vous avez besoin de grandes quantités d’opérations d’entrée/sortie par seconde (IOPS), de vitesses de transfert de données extrêmement rapides ou de latence très faible, vous devez choisir des partages de fichiers Azure Premium. Les partages de fichiers NFS Azure ne sont disponibles que sur le niveau Premium. Les partages de fichiers NFS et SMB sont identiques au niveau Premium.
Créez un compte de stockage pour votre partage de fichiers et choisissez un niveau de redondance : choisissez un compte standard (GPv2) ou Premium (FileStorage). Le niveau de redondance que vous choisissez affecte le coût. Plus la redondance est élevée, plus le coût est élevé. Le stockage localement redondant (LRS) est le plus abordable. GRS est disponible uniquement pour les partages de fichiers SMB standard. Les partages de fichiers standard affichent uniquement les informations de transaction au niveau du compte de stockage. Nous vous recommandons donc de déployer un seul partage de fichiers dans chaque compte de stockage pour garantir une visibilité complète de la facturation.
Comprendre comment votre facture est calculée : les partages de fichiers Azure Standard fournissent un modèle de paiement à l’utilisation. Les partages Premium utilisent un modèle provisionné dans lequel vous spécifiez et payez une certaine quantité de capacité, d’E/S par seconde et de débit à l’avance. Dans le modèle de paiement à l’utilisation, les compteurs suivent la quantité de données stockées dans le compte, ou la capacité, ainsi que le nombre et le type de transactions en fonction de votre utilisation de ces données. Le modèle de paiement à l’utilisation peut être rentable, car vous payez uniquement pour ce que vous utilisez. Avec le modèle de paiement à l’utilisation, vous n’avez pas besoin de surprovisionner ou de déprovisionner le stockage en fonction des exigences de performances ou des fluctuations de la demande.
Toutefois, il peut être difficile de planifier le stockage dans le cadre d’un processus de budget, car la consommation des utilisateurs finaux entraîne des coûts. Avec le modèle provisionné, les transactions n’affectent pas la facturation. Les coûts sont donc faciles à prédire. Toutefois, vous payez pour la capacité de stockage approvisionnée, que vous l’utilisiez ou non. Pour obtenir une répartition détaillée de la façon dont les coûts sont calculés, consultez Comprendre la facturation d’Azure Files.
Estimer le coût de la capacité et des opérations : vous pouvez utiliser la calculatrice de prix Azure pour modéliser les coûts associés au stockage de données, à l’entrée et à la sortie. Comparez le coût associé à différentes régions, types de comptes et configurations de redondance. Pour plus d’informations, consultez la tarification d’Azure Files.
Choisissez le niveau d’accès le plus économique : les partages de fichiers Azure SMB Standard offrent trois niveaux d’accès : optimisé pour les transactions, chauds et froids. Les trois niveaux sont stockés sur le même matériel de stockage standard. La principale différence pour ces trois niveaux est leur données au repos des prix de stockage, qui sont plus bas dans les niveaux plus froids, et les prix des transactions, qui sont plus élevés dans les niveaux plus froids. Pour plus d’informations, consultez Différences dans les niveaux standard.
Déterminez les services à valeur ajoutée dont vous avez besoin : Azure Files prend en charge les intégrations avec des services à valeur ajoutée tels que La sauvegarde, Azure File Sync et Defender pour le stockage. Ces solutions ont leurs propres coûts de licence et de produit, mais sont souvent considérées comme faisant partie du coût total de possession pour le stockage de fichiers. Envisagez d’autres aspects des coûts si vous utilisez Azure File Sync.
Créer des garde-fous : créez des budgets en fonction des abonnements et des groupes de ressources. Utilisez des stratégies de gouvernance pour restreindre les types de ressources, les configurations et les emplacements. En outre, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour bloquer les actions qui peuvent entraîner des dépassements de dépenses.
Surveiller les coûts : assurez-vous que les coûts restent dans les budgets, comparez les coûts par rapport aux prévisions et voyez où des dépenses excessives se produisent. Vous pouvez utiliser le volet Analyse des coûts dans le Portail Azure pour surveiller les coûts. Vous pouvez également exporter des données de coût vers un compte de stockage et utiliser Excel ou Power BI pour analyser ces données.
Surveiller l’utilisation : surveillez en continu les modèles d’utilisation pour détecter les comptes de stockage inutilisés ou sous-utilisés et les partages de fichiers. Recherchez une augmentation inattendue de la capacité, ce qui peut indiquer que vous collectez de nombreux fichiers journaux ou fichiers supprimés de manière réversible. Développez une stratégie pour supprimer des fichiers ou déplacer des fichiers vers des niveaux d’accès plus rentables.
Recommandations
Recommandation | Avantage |
---|---|
Lorsque vous migrez vers des partages de fichiers Azure standard, nous vous recommandons de commencer dans le niveau optimisé pour la transaction pendant la migration initiale. L’utilisation des transactions pendant la migration n’indique généralement pas l’utilisation normale des transactions. Cette considération ne s’applique pas aux partages de fichiers Premium, car le modèle de facturation provisionné ne facture pas les transactions. | La migration vers Azure Files est une charge de travail temporaire et lourde sur les transactions. Optimisez le prix des charges de travail à transaction élevée pour réduire les coûts de migration. |
Après avoir migré votre charge de travail, si vous utilisez des partages de fichiers standard, choisissez soigneusement le niveau d’accès le plus économique pour votre partage de fichiers : chaud, froid ou transaction optimisé. Une fois que vous avez fonctionné pendant quelques jours ou semaines avec une utilisation régulière, vous pouvez insérer votre nombre de transactions dans la calculatrice de prix pour déterminer le niveau le mieux adapté à votre charge de travail. La plupart des clients doivent choisir froid même s’ils utilisent activement le partage. Toutefois, vous devez examiner chaque partage et comparer l’équilibre de la capacité de stockage aux transactions pour déterminer votre niveau. Si les coûts des transactions représentent un pourcentage significatif de votre facture, les économies réalisées à l’aide du niveau d’accès froid compensent souvent ce coût et réduisent le coût global total. Nous vous recommandons de déplacer des partages de fichiers standard entre les niveaux d’accès uniquement si nécessaire pour optimiser les modifications apportées à votre modèle de charge de travail. Chaque déplacement entraîne des transactions. Pour plus d’informations, consultez Basculer entre les niveaux standard. |
Sélectionnez le niveau d’accès approprié pour les partages de fichiers standard afin de réduire considérablement vos coûts. |
Si vous utilisez des partages Premium, veillez à provisionner plus que suffisamment de capacité et de performances pour votre charge de travail, mais pas tant que cela entraîne des coûts inutiles. Nous vous recommandons de surprovisionner de deux à trois fois. Vous pouvez mettre à l’échelle dynamiquement les partages de fichiers Premium en fonction des caractéristiques de performances de stockage et d’entrée/sortie (E/S). | Surprovisionner des partages de fichiers Premium d’un montant raisonnable pour aider à maintenir les performances et à tenir compte des besoins futurs en matière de croissance et de performances. |
Utilisez des réservations Azure Files, également appelées instances réservées, pour précommit à l’utilisation du stockage et bénéficier d’une remise. Utilisez des réservations pour les charges de travail de production ou les charges de travail de développement/test avec des empreintes cohérentes. Pour plus d’informations, consultez Optimiser les coûts avec les réservations de stockage. Les réservations n’incluent pas les frais de transaction, de bande passante, de transfert de données et de stockage des métadonnées. |
Les réservations de trois ans peuvent fournir une remise jusqu’à 36 % sur le coût total du stockage de fichiers. Les réservations n’affectent pas les performances. |
Surveillez l’utilisation des captures instantanées. Les captures instantanées entraînent des frais, mais ils sont facturés en fonction de l’utilisation différentielle du stockage de chaque instantané. Vous payez uniquement pour la différence dans chaque instantané. Pour plus d’informations, consultez Instantanés. Azure File Sync prend des instantanés au niveau du partage et au niveau du fichier dans le cadre de l’utilisation régulière, ce qui peut augmenter votre facture Azure Files totale. |
Les captures instantanées différentielles garantissent que vous n’êtes pas facturé plusieurs fois pour stocker les mêmes données. Toutefois, vous devez toujours surveiller l’utilisation des captures instantanées pour réduire votre facture Azure Files. |
Définissez les périodes de rétention pour la fonctionnalité de suppression réversible, en particulier lorsque vous commencez à l’utiliser pour la première fois. Envisagez de commencer par une courte période de rétention pour mieux comprendre comment la fonctionnalité affecte votre facture. La période de conservation minimale recommandée est de sept jours. Lorsque vous supprimez de manière réversible des partages de fichiers standard et Premium, ils sont facturés comme capacité utilisée plutôt que de capacité approvisionnée. Et les partages de fichiers Premium sont facturés au taux d’instantanés alors qu’ils sont à l’état de suppression réversible. Les partages de fichiers standard sont facturés à la fréquence régulière alors qu’ils sont à l’état de suppression réversible. |
Définissez une période de rétention afin que les fichiers supprimés de manière réversible ne soient pas empilés et augmentent le coût de la capacité. Après la période de rétention configurée, les données supprimées définitivement n’entraînent pas de coût. |
Excellence opérationnelle
L’excellence opérationnelle se concentre principalement sur les procédures de développement, l’observabilité et la gestion des mises en production.
Les principes de conception d’excellence opérationnelle fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs pour les exigences opérationnelles de la charge de travail.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la liste de contrôle de révision de conception pour l’excellence opérationnelle pour définir des processus d’observabilité, de test et de déploiement liés à votre configuration de stockage de fichiers.
Créez des plans de maintenance et de récupération d’urgence : envisagez les fonctionnalités de protection des données, les opérations de sauvegarde et de restauration et les procédures de basculement. Préparez la perte de données potentielle et les incohérences de données, ainsi que le temps et le coût du basculement.
Surveillez l’intégrité de votre compte de stockage : créez des tableaux de bord Storage Insights pour surveiller la disponibilité, les performances et les métriques de résilience. Configurez des alertes pour identifier et résoudre les problèmes dans votre système avant que vos clients ne les remarquent. Utilisez les paramètres de diagnostic pour router les journaux de ressources vers un espace de travail Journaux Azure Monitor. Vous pouvez ensuite interroger les journaux d’activité pour examiner plus en détail les alertes.
Passez régulièrement en revue l’activité de partage de fichiers : l’activité de partage peut changer au fil du temps. Déplacez des partages de fichiers standard vers des niveaux d’accès plus froids, ou vous pouvez approvisionner ou déprovisionner la capacité pour les partages Premium. Lorsque vous déplacez des partages de fichiers standard vers un autre niveau d’accès, vous avez des frais de transaction. Déplacez des partages de fichiers standard uniquement si nécessaire pour réduire votre facture mensuelle.
Recommandations
Recommandation | Avantage |
---|---|
Utilisez l’infrastructure en tant que code (IaC) pour définir les détails de vos comptes de stockage dans les modèles Azure Resource Manager (modèles ARM), Bicep ou Terraform. | Vous pouvez utiliser vos processus DevOps existants pour déployer de nouveaux comptes de stockage et utiliser Azure Policy pour appliquer leur configuration. |
Utilisez les insights de stockage pour suivre l’intégrité et les performances de vos comptes de stockage. Les insights de stockage fournissent une vue unifiée des défaillances, des performances, de la disponibilité et de la capacité de tous vos comptes de stockage. | Vous pouvez suivre l’intégrité et l’opération de chacun de vos comptes. Créez facilement des tableaux de bord et des rapports que les parties prenantes peuvent utiliser pour suivre l’intégrité de vos comptes de stockage. |
Utilisez Monitor pour analyser les métriques, telles que la disponibilité, la latence et l’utilisation, et pour créer des alertes. | Le moniteur fournit une vue de la disponibilité, des performances et de la résilience de vos partages de fichiers. |
Efficacité des performances
L’efficacité des performances consiste à maintenir l’expérience utilisateur même en cas d’augmentation de la charge en gérant la capacité. La stratégie inclut la mise à l’échelle des ressources, l’identification et l’optimisation des goulots d’étranglement potentiels et l’optimisation des performances maximales.
Les principes de conception d’efficacité des performances fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs de capacité par rapport à l’utilisation attendue.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour l’efficacité des performances. Définissez une base de référence basée sur des indicateurs de performances clés pour votre configuration de stockage de fichiers.
Planifier la mise à l’échelle : comprendre les objectifs de scalabilité et de performances pour les comptes de stockage, Azure Files et Azure File Sync.
Comprendre vos modèles d’application et d’utilisation pour obtenir des performances prévisibles : déterminez la sensibilité à la latence, les E/S par seconde et les exigences de débit, la durée et la fréquence de la charge de travail et la parallélisation de charge de travail. Utilisez Azure Files pour les applications multithreads pour vous aider à atteindre les limites de performances supérieures d’un service. Si la plupart de vos requêtes sont centrées sur les métadonnées, telles que createfile, openfile, closefile, queryinfo ou querydirectory, les requêtes créent une latence médiocre supérieure aux opérations de lecture et d’écriture. Si vous rencontrez ce problème, envisagez de séparer le partage de fichiers en plusieurs partages de fichiers dans le même compte de stockage.
Choisissez le type de compte de stockage optimal : si votre charge de travail nécessite de grandes quantités d’IOPS, des vitesses de transfert de données extrêmement rapides ou une latence très faible, vous devez choisir des comptes de stockage Premium (FileStorage). Vous pouvez utiliser un compte v2 universel standard pour la plupart des charges de travail de partage de fichiers SMB. Le compromis principal entre les deux types de compte de stockage est le coût par rapport aux performances.
La taille de partage provisionnée, telle que les E/S par seconde, la sortie et l’entrée, et les limites de partage unique déterminent les performances du partage Premium. Pour plus d’informations, consultez Présentation de l’approvisionnement pour les partages de fichiers Premium. Les partages de fichiers Premium offrent également des crédits de rafale en tant que police d’assurance si vous devez dépasser temporairement la limite d’IOPS de base d’un partage de fichiers Premium.
Créez des comptes de stockage dans les mêmes régions que la connexion de clients pour réduire la latence : plus vous êtes à partir du service Azure Files, plus la latence est élevée et plus la latence est plus difficile à atteindre. Cette considération est particulièrement vraie lorsque vous accédez à Azure Files à partir d’environnements locaux. Si possible, vérifiez que votre compte de stockage et vos clients sont colocalisés dans la même région Azure. Optimisez les clients locaux en réduisant la latence du réseau ou en utilisant une connexion ExpressRoute pour étendre des réseaux locaux dans le cloud Microsoft via une connexion privée.
Collecter des données de performances : surveillez les performances de la charge de travail, notamment la latence, la disponibilité et les métriques d’utilisation . Analysez les journaux pour diagnostiquer les problèmes tels que les délais d’expiration et la limitation. Créez des alertes pour vous avertir si un partage de fichiers est limité, sur le point d’être limité ou en cas de latence élevée.
Optimiser pour les déploiements hybrides : si vous utilisez Azure File Sync, les performances de synchronisation dépendent de nombreux facteurs : votre serveur Windows et la configuration de disque sous-jacente, la bande passante réseau entre le serveur et le stockage Azure, la taille du fichier, la taille totale du jeu de données et l’activité sur le jeu de données. Pour mesurer les performances d’une solution basée sur Azure File Sync, déterminez le nombre d’objets, tels que les fichiers et les répertoires, que vous traitez par seconde.
Recommandations
Recommandation | Avantage |
---|---|
Activez SMB Multichannel pour les partages de fichiers SMB Premium. SMB Multichannel permet à un client SMB 3.1.1 d’établir plusieurs connexions réseau à un partage de fichiers Azure SMB. SMB Multichannel fonctionne uniquement lorsque la fonctionnalité est activée côté client (votre client) et côté service (Azure). Sur les clients Windows, SMB Multichannel est activé par défaut, mais vous devez l’activer sur votre compte de stockage. |
Augmentez le débit et les E/S par seconde tout en réduisant le coût total de possession. Les avantages en matière de performances augmentent avec le nombre de fichiers qui distribuent la charge. |
Utilisez l’option de montage côté client nconnect avec des partages de fichiers NFS Azure sur les clients Linux. Nconnect vous permet d’utiliser davantage de connexions TCP entre le client et le service Azure Files Premium pour NFSv4.1. | Augmentez les performances à grande échelle et réduisez le coût total de possession pour les partages de fichiers NFS. |
Assurez-vous que votre partage de fichiers ou votre compte de stockage n’est pas limité, ce qui peut entraîner une latence élevée, un débit faible ou un faible E/S par seconde. Les requêtes sont limitées lorsque les limites d’E/S par seconde, d’entrée ou de sortie sont atteintes. Pour les comptes de stockage standard, la limitation se produit au niveau du compte. Pour les partages de fichiers Premium, la limitation se produit généralement au niveau du partage. |
Évitez la limitation pour offrir la meilleure expérience client possible. |
Stratégies Azure
Azure fournit un ensemble complet de stratégies intégrées liées à Azure Files. Certaines des recommandations précédentes peuvent être auditées par le biais de stratégies Azure. Par exemple, vous pouvez vérifier si :
- Seules les requêtes provenant de connexions sécurisées, telles que HTTPS, sont acceptées.
- L’autorisation de clé partagée est désactivée.
- Les règles de pare-feu réseau sont appliquées au compte.
- Les paramètres de diagnostic pour Azure Files sont définis pour diffuser en continu les journaux de ressources vers un espace de travail Journaux Azure Monitor.
- L’accès au réseau public est désactivé.
- Azure File Sync est configuré avec des points de terminaison privés pour utiliser des zones DNS privées.
Pour une gouvernance complète, passez en revue les définitions intégrées d’Azure Policy pour le stockage et d’autres stratégies susceptibles d’affecter la sécurité de la couche de calcul.
Recommandations Azure Advisor
Azure Advisor est un conseiller cloud personnalisé qui vous aide à suivre les bonnes pratiques pour optimiser vos déploiements Azure. Voici quelques recommandations qui peuvent vous aider à améliorer la fiabilité, la sécurité, l’efficacité des coûts, les performances et l’excellence opérationnelle d’Azure Files.
Étape suivante
Pour plus d’informations, consultez la documentation Azure Files.