Udostępnij za pośrednictwem


Perspektywa platformy Azure Well-Architected Framework w usłudze Azure Files

Azure Files to rozwiązanie magazynu plików firmy Microsoft dla chmury. Usługa Azure Files udostępnia udziały plików bloku komunikatów serwera (SMB) i sieciowego systemu plików (NFS), które można zainstalować na klientach w chmurze, lokalnie lub w obu tych usługach. Możesz również użyć usługi Azure File Sync do buforowania udziałów plików SMB na lokalnym serwerze z systemem Windows i warstwie rzadko używanych plików w chmurze.

W tym artykule przyjęto założenie, że jako architekt zapoznaliśmy się z opcjami magazynu i wybraliśmy usługę Azure Files jako usługę magazynu, na której będą uruchamiane obciążenia. Wskazówki zawarte w tym artykule zawierają zalecenia dotyczące architektury mapowane na zasady filarów platformy Azure Well-Architected Framework.

Ważne

Jak korzystać z tego przewodnika

Każda sekcja zawiera listę kontrolną projektu, która przedstawia zagadnienia dotyczące architektury wraz ze strategiami projektowania zlokalizowanymi w zakresie technologii.

Dostępne są również zalecenia dotyczące możliwości technologicznych, które mogą pomóc w zaimplementowaniu tych strategii. Zalecenia nie reprezentują wyczerpującej listy wszystkich konfiguracji dostępnych dla usługi Azure Files i jej zależności. Zamiast tego wyświetlają listę kluczowych zaleceń mapowanych na perspektywy projektu. Skorzystaj z zaleceń, aby utworzyć weryfikację koncepcji lub zoptymalizować istniejące środowiska.

Niezawodność

Celem filaru niezawodności jest zapewnienie ciągłej funkcjonalności dzięki tworzeniu wystarczającej odporności i możliwości szybkiego odzyskiwania po awariach.

Zasady projektowania niezawodności zapewniają ogólną strategię projektowania stosowaną dla poszczególnych składników, obciążeń, przepływów systemowych i całego systemu.

Lista kontrolna projektu

Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem niezawodności.

  • Użyj analizy trybu awarii: zminimalizuj punkty awarii, biorąc pod uwagę zależności wewnętrzne, takie jak dostępność sieci wirtualnych, usługi Azure Key Vault lub usługi Azure Content Delivery Network lub punktów końcowych usługi Azure Front Door. Błędy mogą wystąpić, jeśli potrzebujesz poświadczeń w celu uzyskania dostępu do usługi Azure Files, a poświadczenia nie zostaną utracone w usłudze Key Vault. Może też wystąpić błąd, jeśli obciążenia korzystają z punktu końcowego opartego na brakującej sieci dostarczania zawartości. W takich przypadkach może być konieczne skonfigurowanie obciążeń w celu nawiązania połączenia z alternatywnym punktem końcowym. Aby uzyskać ogólne informacje na temat analizy trybu awarii, zobacz Zalecenia dotyczące przeprowadzania analizy trybu awarii.

  • Definiowanie celów dotyczących niezawodności i odzyskiwania: Przejrzyj umowy dotyczące poziomu usług platformy Azure (SLA). Uzyskiwanie celu poziomu usługi (SLO) dla konta magazynu. Na przykład wybrana konfiguracja nadmiarowości może mieć wpływ na cel slo. Rozważ efekt awarii regionalnej, potencjalną utratę danych i czas wymagany do przywrócenia dostępu po awarii. Należy również wziąć pod uwagę dostępność zależności wewnętrznych, które zostały zidentyfikowane w ramach analizy trybu awarii.

  • Konfigurowanie nadmiarowości danych: aby uzyskać maksymalną trwałość, wybierz konfigurację, która kopiuje dane między strefami dostępności lub regionami globalnymi. Aby uzyskać maksymalną dostępność, wybierz konfigurację, która umożliwia klientom odczytywanie danych z regionu pomocniczego podczas awarii regionu podstawowego.

  • Aplikacje projektowe: projektuj aplikacje , aby bezproblemowo przesuwały się tak, aby odczytywały dane z regionu pomocniczego, jeśli region podstawowy jest niedostępny. Ta kwestia projektowania dotyczy tylko konfiguracji magazynu geograficznie nadmiarowego (GRS) i magazynu strefowo nadmiarowego (GZRS). Zaprojektuj aplikacje tak, aby prawidłowo obsługiwały awarie, co zmniejsza przestoje klientów.

  • Poznaj funkcje ułatwiające spełnienie celów odzyskiwania: umożliwia przywracanie plików w celu odzyskania uszkodzonych, edytowanych lub usuniętych plików.

  • Utwórz plan odzyskiwania: rozważ funkcje ochrony danych, operacje tworzenia kopii zapasowych i przywracania lub procedury trybu failover. Przygotuj się do potencjalnej utraty danych i niespójności danych oraz czasu i kosztów przechodzenia w tryb failover. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące projektowania strategii odzyskiwania po awarii.

  • Monitorowanie potencjalnych problemów z dostępnością: Subskrybuj pulpit nawigacyjny usługi Azure Service Health, aby monitorować potencjalne problemy z dostępnością. Użyj metryk magazynu i dzienników diagnostycznych w usłudze Azure Monitor, aby zbadać alerty.

Zalecenia

Zalecenie Korzyści
Skonfiguruj konto magazynu pod kątem nadmiarowości.

Aby uzyskać maksymalną dostępność i trwałość, skonfiguruj konto przy użyciu magazynu strefowo nadmiarowego (ZRS), GRS lub GZRS.

Ograniczone regiony platformy Azure obsługują magazyn ZRS dla standardowych i premium udziałów plików. Tylko standardowe konta SMB obsługują magazyn GRS i GZRS. Udziały SMB w warstwie Premium i udziały NFS nie obsługują magazynów GRS i GZRS.

Usługa Azure Files nie obsługuje magazynu geograficznie nadmiarowego dostępnego do odczytu (RA-GRS) ani magazynu geograficznie nadmiarowego dostępnego do odczytu (RA-GZRS). Jeśli skonfigurujesz konto magazynu do korzystania z magazynu RA-GRS lub RA-GZRS, udziały plików są konfigurowane i rozliczane jako GRS lub GZRS.
Nadmiarowość chroni dane przed nieoczekiwanymi awariami. Opcje konfiguracji magazynów ZRS i GZRS są replikowane w różnych strefach dostępności i umożliwiają aplikacjom dalsze odczytywanie danych podczas awarii. Aby uzyskać więcej informacji, zobacz Trwałość i dostępność według scenariusza awarii oraz Parametry trwałości i dostępności.
Przed zainicjowaniem trybu failover lub powrotu po awarii sprawdź wartość właściwości czasu ostatniej synchronizacji, aby ocenić potencjalną utratę danych. To zalecenie dotyczy tylko konfiguracji GRS i GZRS. Ta właściwość ułatwia oszacowanie ilości danych, które mogą zostać utracone w przypadku zainicjowania trybu failover konta.

Wszystkie dane i metadane zapisane przed ostatnim czasem synchronizacji są dostępne w regionie pomocniczym, ale możesz utracić dane i metadane zapisane po ostatnim czasie synchronizacji, ponieważ nie są zapisywane w regionie pomocniczym.
W ramach strategii tworzenia kopii zapasowych i odzyskiwania włącz usuwanie nietrwałe i używaj migawek na potrzeby przywracania do punktu w czasie.

Możesz użyć usługi Azure Backup, aby utworzyć kopię zapasową udziałów plików SMB. Możesz również użyć usługi Azure File Sync, aby utworzyć kopię zapasową lokalnych udziałów plików SMB w udziale plików platformy Azure.

Usługa Azure Backup umożliwia również wykonywanie kopii zapasowej magazynu (wersja zapoznawcza) usługi Azure Files w celu ochrony danych przed atakami wymuszającym okup lub utratą danych źródłowych ze względu na złośliwego aktora lub nieautoryzowanego administratora. Korzystając z magazynu kopii zapasowej, usługa Azure Backup kopiuje i przechowuje dane w magazynie usługi Recovery Services. Spowoduje to utworzenie kopii danych poza siedzibą, które można przechowywać przez maksymalnie 99 lat. Usługa Azure Backup tworzy punkty odzyskiwania i zarządza nimi zgodnie z harmonogramem i przechowywaniem zdefiniowanym w zasadach tworzenia kopii zapasowych. Dowiedz się więcej.
Usuwanie nietrwałe działa na poziomie udziału plików w celu ochrony udziałów plików platformy Azure przed przypadkowym usunięciem.

Przywracanie do punktu w czasie chroni przed przypadkowym usunięciem lub uszkodzeniem, ponieważ można przywrócić udziały plików do wcześniejszego stanu. Aby uzyskać więcej informacji, zobacz Omówienie ochrony danych.

Zabezpieczenia

Celem filaru Zabezpieczenia jest zapewnienie poufności, integralności i gwarancji dostępności dla obciążenia.

Zasady projektowania zabezpieczeń zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów, stosując podejścia do technicznego projektu konfiguracji magazynu plików.

Wymagania i zalecenia dotyczące zabezpieczeń różnią się w zależności od tego, czy obciążenie używa protokołu SMB lub NFS do uzyskiwania dostępu do udziałów plików. W poniższych sekcjach przedstawiono oddzielne listy kontrolne i zalecenia dotyczące udziałów plików SMB i NFS.

Najlepszym rozwiązaniem jest zachowanie udziałów plików SMB i NFS na oddzielnych kontach magazynu, ponieważ mają one różne wymagania dotyczące zabezpieczeń. Użyj tego podejścia, aby zapewnić duże bezpieczeństwo i wysoką elastyczność obciążenia.

Lista kontrolna projektu dla udziałów plików SMB

Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem zabezpieczeń. Identyfikowanie luk w zabezpieczeniach i mechanizmów kontroli w celu poprawy stanu zabezpieczeń. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.

  • Zapoznaj się z punktem odniesienia zabezpieczeń usługi Azure Storage: aby rozpocząć pracę, zapoznaj się z punktem odniesienia zabezpieczeń dla usługi Storage.

  • Rozważ użycie kontrolek sieci w celu ograniczenia ruchu przychodzącego i wychodzącego: możesz wygodnie uwidaczniać konto magazynu w publicznym Internecie w określonych warunkach, na przykład w przypadku korzystania z uwierzytelniania opartego na tożsamościach w celu udzielenia dostępu do udziałów plików. Zalecamy jednak używanie mechanizmów kontroli sieci w celu udzielenia minimalnego wymaganego poziomu dostępu do użytkowników i aplikacji. Aby uzyskać więcej informacji, zobacz How to approach network security for your storage account (Jak podejść do zabezpieczeń sieci dla konta magazynu).

  • Zmniejsz obszar ataków: używaj szyfrowania podczas przesyłania i zapobiegaj dostępowi za pośrednictwem połączeń niezabezpieczonych (HTTP), aby zmniejszyć obszar ataków. Wymagaj od klientów wysyłania i odbierania danych przy użyciu najnowszej wersji protokołu Transport Layer Security (TLS).

  • Zminimalizuj użycie kluczy konta magazynu: uwierzytelnianie oparte na tożsamości zapewnia lepsze zabezpieczenia w porównaniu z użyciem klucza konta magazynu. Należy jednak użyć klucza konta magazynu, aby uzyskać pełną kontrolę administracyjną nad udziałem plików, w tym możliwość przejęcia na własność pliku. Przyznaj podmiotom zabezpieczeń tylko niezbędne uprawnienia, których potrzebują do wykonania swoich zadań.

  • Ochrona poufnych informacji: ochrona poufnych informacji, takich jak klucze konta magazynu i hasła. Nie zalecamy używania tych formularzy autoryzacji, ale jeśli to zrobisz, pamiętaj, aby obracać, wygasać i przechowywać je bezpiecznie.

  • Wykrywanie zagrożeń: włącz usługę Microsoft Defender for Storage , aby wykryć potencjalnie szkodliwe próby uzyskania dostępu do udziałów plików platformy Azure lub wykorzystania ich za pośrednictwem protokołów SMB lub FileREST. Administratorzy subskrypcji otrzymują alerty e-mail ze szczegółowymi informacjami o podejrzanych działaniach i zaleceniach dotyczących sposobu badania i korygowania zagrożeń. Usługa Defender for Storage nie obsługuje funkcji ochrony antywirusowej dla udziałów plików platformy Azure. Jeśli używasz usługi Defender for Storage, udziały plików z dużą liczbą transakcji generują znaczne koszty, dlatego rozważ rezygnację z usługi Defender for Storage dla określonych kont magazynu.

Zalecenia dotyczące udziałów plików SMB

Zalecenie Korzyści
Zastosuj blokadę usługi Azure Resource Manager na koncie magazynu. Zablokuj konto, aby zapobiec przypadkowemu lub złośliwemu usunięciu konta magazynu, co może spowodować utratę danych.
Otwórz port TCP 445 wychodzący lub skonfiguruj bramę sieci VPN lub połączenie usługi Azure ExpressRoute dla klientów spoza platformy Azure w celu uzyskania dostępu do udziału plików. Protokół SMB 3.x jest protokołem bezpiecznym dla Internetu, ale może nie mieć możliwości zmiany zasad organizacji lub usługodawców internetowych. Możesz użyć bramy sieci VPN lub połączenia usługi ExpressRoute jako alternatywnej opcji.
Jeśli otworzysz port 445, pamiętaj, aby wyłączyć protokół SMBv1 na klientach z systemami Windows i Linux . Usługa Azure Files nie obsługuje protokołu SMB 1, ale nadal należy ją wyłączyć na klientach. Protokół SMB 1 jest nieaktualny, nieefektywny i niezabezpieczony protokół. Wyłącz go na klientach, aby poprawić stan zabezpieczeń.
Rozważ wyłączenie dostępu do sieci publicznej do konta magazynu. Włącz dostęp do sieci publicznej tylko wtedy, gdy klienci I usługi SMB spoza platformy Azure wymagają dostępu do konta magazynu.

Jeśli wyłączysz dostęp do sieci publicznej, utwórz prywatny punkt końcowy dla konta magazynu. Obowiązują standardowe stawki przetwarzania danych dla prywatnych punktów końcowych. Prywatny punkt końcowy nie blokuje połączeń z publicznym punktem końcowym. Nadal należy wyłączyć dostęp do sieci publicznej zgodnie z wcześniejszym opisem.

Jeśli nie potrzebujesz statycznego adresu IP dla udziału plików i chcesz uniknąć kosztów prywatnych punktów końcowych, możesz ograniczyć dostęp publicznego punktu końcowego do określonych sieci wirtualnych i adresów IP.
Ruch sieciowy jest przesyłany przez sieć szkieletową firmy Microsoft zamiast publicznego Internetu, co eliminuje narażenie na ryzyko z publicznego Internetu.
Włącz reguły zapory ograniczające dostęp do określonych sieci wirtualnych. Zacznij od zera dostępu, a następnie metodycznie i przyrostowo zapewnij najmniejszą ilość dostępu wymaganą dla klientów i usług. Zminimalizuj ryzyko tworzenia otworów dla osób atakujących.
Jeśli to możliwe, użyj uwierzytelniania opartego na tożsamościach z szyfrowaniem biletów Kerberos AES-256, aby autoryzować dostęp do udziałów plików platformy Azure SMB. Użyj uwierzytelniania opartego na tożsamościach, aby zmniejszyć prawdopodobieństwo, że osoba atakująca użyje klucza konta magazynu w celu uzyskania dostępu do udziałów plików.
Jeśli używasz kluczy konta magazynu, zapisz je w usłudze Key Vault i upewnij się, że są okresowo ponownie generowane.

Możesz całkowicie uniemożliwić dostęp klucza konta magazynu do udziału plików, usuwając serwer NTLMv2 z ustawień zabezpieczeń protokołu SMB udziału. Jednak zazwyczaj nie należy usuwać NTLMv2 z ustawień zabezpieczeń protokołu SMB udziału, ponieważ administratorzy nadal muszą używać klucza konta do niektórych zadań.
Użyj usługi Key Vault, aby pobrać klucze w czasie wykonywania zamiast zapisywać je w aplikacji. Usługa Key Vault ułatwia również obracanie kluczy bez zakłóceń w aplikacjach. Okresowo obracaj klucze konta, aby zmniejszyć ryzyko ujawnienia danych złośliwym atakom.
W większości przypadków należy włączyć opcję Wymagany bezpieczny transfer na wszystkich kontach magazynu, aby włączyć szyfrowanie podczas przesyłania udziałów plików SMB.

Nie włączaj tej opcji, jeśli musisz zezwolić bardzo starym klientom na dostęp do udziału. Jeśli wyłączysz bezpieczny transfer, pamiętaj, aby ograniczyć ruch przy użyciu kontrolek sieci.
To ustawienie zapewnia, że wszystkie żądania wykonywane względem konta magazynu mają miejsce za pośrednictwem bezpiecznych połączeń (HTTPS). Wszystkie żądania wysyłane za pośrednictwem protokołu HTTP kończą się niepowodzeniem.
Skonfiguruj konto magazynu, aby protokół TLS 1.2 był minimalną wersją dla klientów do wysyłania i odbierania danych. Protokół TLS 1.2 jest bezpieczniejszy i szybszy niż protokoły TLS 1.0 i 1.1, które nie obsługują nowoczesnych algorytmów kryptograficznych i zestawów szyfrowania.
Używaj tylko najnowszej obsługiwanej wersji protokołu SMB (obecnie 3.1.1.) i używaj tylko usługi AES-256-GCM na potrzeby szyfrowania kanału SMB.

Usługa Azure Files uwidacznia ustawienia, których można użyć do przełączania protokołu SMB i zapewnienia jego zgodności lub bezpieczniejszego, w zależności od wymagań organizacji. Domyślnie wszystkie wersje protokołu SMB są dozwolone. Jednak protokół SMB 2.1 jest niedozwolony, jeśli włączysz opcję Wymagaj bezpiecznego transferu , ponieważ protokół SMB 2.1 nie obsługuje szyfrowania danych przesyłanych.

Jeśli te ustawienia zostaną ograniczone do wysokiego poziomu zabezpieczeń, niektórzy klienci mogą nie być w stanie nawiązać połączenia z udziałem plików.
Protokół SMB 3.1.1, wydany z systemem Windows 10, zawiera ważne aktualizacje zabezpieczeń i wydajności. Usługa AES-256-GCM oferuje bezpieczniejsze szyfrowanie kanału.

Lista kontrolna projektowania udziałów plików NFS

  • Zapoznaj się z punktem odniesienia zabezpieczeń dla usługi Storage: aby rozpocząć pracę, zapoznaj się z punktem odniesienia zabezpieczeń usługi Storage.

  • Poznaj wymagania dotyczące zabezpieczeń organizacji: udziały plików platformy Azure NFS obsługują tylko klientów z systemem Linux korzystających z protokołu NFSv4.1 z obsługą większości funkcji ze specyfikacji protokołu 4.1. Niektóre funkcje zabezpieczeń, takie jak uwierzytelnianie Kerberos, listy kontroli dostępu (ACL) i szyfrowanie podczas przesyłania, nie są obsługiwane.

  • Użyj zabezpieczeń i mechanizmów kontroli na poziomie sieci, aby ograniczyć ruch przychodzący i wychodzący: uwierzytelnianie oparte na tożsamości nie jest dostępne dla udziałów plików platformy Azure systemu plików NFS, dlatego należy użyć zabezpieczeń i mechanizmów kontroli na poziomie sieci, aby udzielić minimalnego wymaganego poziomu dostępu do użytkowników i aplikacji. Aby uzyskać więcej informacji, zobacz How to approach network security for your storage account (Jak podejść do zabezpieczeń sieci dla konta magazynu).

Zalecenia dotyczące udziałów plików NFS

Zalecenie Korzyści
Zastosuj blokadę usługi Resource Manager na koncie magazynu. Zablokuj konto, aby zapobiec przypadkowemu lub złośliwemu usunięciu konta magazynu, co może spowodować utratę danych.
Musisz otworzyć port 2049 na klientach, do których chcesz zainstalować udział NFS. Otwórz port 2049, aby umożliwić klientom komunikację z udziałem plików platformy Azure NFS.
Udziały plików platformy Azure NFS są dostępne tylko za pośrednictwem sieci z ograniczeniami. Dlatego należy utworzyć prywatny punkt końcowy dla konta magazynu lub ograniczyć dostęp publicznego punktu końcowego do wybranych sieci wirtualnych i adresów IP. Zalecamy utworzenie prywatnego punktu końcowego.

Należy skonfigurować zabezpieczenia na poziomie sieci dla udziałów NFS, ponieważ usługa Azure Files nie obsługuje szyfrowania podczas przesyłania przy użyciu protokołu NFS. Należy wyłączyć ustawienie Wymagaj bezpiecznego transferu na koncie magazynu, aby używać udziałów plików platformy Azure NFS.

Standardowe stawki przetwarzania danych mają zastosowanie do prywatnych punktów końcowych. Jeśli nie potrzebujesz statycznego adresu IP dla udziału plików i chcesz uniknąć kosztów prywatnych punktów końcowych, możesz zamiast tego ograniczyć dostęp do publicznego punktu końcowego.
Ruch sieciowy jest przesyłany przez sieć szkieletową firmy Microsoft zamiast publicznego Internetu, co eliminuje narażenie na ryzyko z publicznego Internetu.
Rozważ uniemożliwienie dostępu do klucza konta magazynu na poziomie konta magazynu. Nie potrzebujesz tego dostępu do instalowania udziałów plików NFS. Należy jednak pamiętać, że pełna kontrola administracyjna udziału plików, w tym możliwość przejęcia własności pliku, wymaga użycia klucza konta magazynu. Nie zezwalaj na korzystanie z kluczy konta magazynu w celu zwiększenia bezpieczeństwa konta magazynu.

Optymalizacja kosztów

Optymalizacja kosztów koncentruje się na wykrywaniu wzorców wydatków, określaniu priorytetów inwestycji w krytycznych obszarach i optymalizacji w innych , aby spełnić budżet organizacji przy jednoczesnym spełnieniu wymagań biznesowych.

Zasady projektowania optymalizacji kosztów zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów i podejmowania kompromisów zgodnie z potrzebami w projekcie technicznym związanym z magazynem plików i jego środowiskiem.

Lista kontrolna projektu

Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu dotyczącej optymalizacji kosztów dla inwestycji. Dostosuj projekt tak, aby obciążenie było dostosowane do budżetu przydzielonego dla obciążenia. Projekt powinien korzystać z odpowiednich możliwości platformy Azure, monitorować inwestycje i znajdować możliwości optymalizacji w czasie.

  • Zdecyduj, czy obciążenie wymaga wydajności udziałów plików w warstwie Premium (SSD w warstwie Premium) lub czy magazyn HDD w warstwie Standardowa platformy Azure jest wystarczający: określ typ konta magazynu i model rozliczeń na podstawie typu potrzebnego magazynu. Jeśli potrzebujesz dużych ilości operacji wejścia/wyjścia na sekundę (IOPS), bardzo szybkich szybkości transferu danych lub bardzo małych opóźnień, wybierz udziały plików platformy Azure w warstwie Premium. Udziały plików platformy Azure NFS są dostępne tylko w warstwie Premium. Udziały plików NFS i SMB są takie same w warstwie Premium.

  • Utwórz konto magazynu dla udziału plików i wybierz poziom nadmiarowości: wybierz konto standardowe (GPv2) lub Premium (FileStorage). Wybrany poziom nadmiarowości wpływa na koszt. Im większa nadmiarowość, tym wyższy koszt. Magazyn lokalnie nadmiarowy (LRS) jest najbardziej przystępny cenowo. Magazyn GRS jest dostępny tylko dla standardowych udziałów plików SMB. Standardowe udziały plików pokazują tylko informacje o transakcji na poziomie konta magazynu, dlatego zalecamy wdrożenie tylko jednego udziału plików na każdym koncie magazynu w celu zapewnienia pełnej widoczności rozliczeń.

  • Informacje na temat sposobu obliczania rachunku: standardowe udziały plików platformy Azure zapewniają model płatności zgodnie z rzeczywistym użyciem. Udziały w warstwie Premium korzystają z modelu aprowizowania , w którym określasz i płacisz za określoną ilość pojemności, liczby operacji we/wy na sekundę i przepływności z góry. W modelu płatności zgodnie z rzeczywistym użyciem mierniki śledzą ilość danych przechowywanych na koncie lub pojemność oraz liczbę i typ transakcji na podstawie użycia tych danych. Model płatności zgodnie z rzeczywistym użyciem może być opłacalny, ponieważ płacisz tylko za to, czego używasz. Model płatności zgodnie z rzeczywistym użyciem nie wymaga nadmiernej aprowizacji ani anulowania aprowizacji magazynu na podstawie wymagań dotyczących wydajności ani wahań zapotrzebowania.

    Jednak planowanie magazynu w ramach procesu budżetowania może być trudne, ponieważ zużycie przez użytkowników końcowych powoduje koszty. W przypadku modelu aprowizowania transakcje nie wpływają na rozliczenia, więc koszty są łatwe do przewidzenia. Płacisz jednak za aprowizowaną pojemność magazynu niezależnie od tego, czy jest używana. Aby uzyskać szczegółowy podział sposobu obliczania kosztów, zobacz Omówienie rozliczeń usługi Azure Files.

  • Szacowanie kosztów pojemności i operacji: możesz użyć kalkulatora cen platformy Azure do modelowania kosztów związanych z magazynem danych, ruchem przychodzącym i wychodzącym. Porównaj koszt skojarzony z różnymi regionami, typami kont i konfiguracjami nadmiarowości. Aby uzyskać więcej informacji, zobacz Cennik usługi Azure Files.

  • Wybierz najbardziej ekonomiczną warstwę dostępu: Standardowe udziały plików SMB platformy Azure oferują trzy warstwy dostępu: zoptymalizowane pod kątem transakcji, gorąca i chłodna. Wszystkie trzy warstwy są przechowywane na tym samym standardowym sprzęcie magazynu. Główną różnicą dla tych trzech warstw jest ich dane w cenach magazynów magazynowanych, które są niższe w chłodniejszych warstwach, a ceny transakcji, które są wyższe w chłodniejszych warstwach. Aby uzyskać więcej informacji, zobacz Różnice w warstwach Standardowa.

  • Zdecyduj, które usługi dodane przez wartość są potrzebne: usługa Azure Files obsługuje integracje z usługami dodanymi wartościami, takimi jak Backup, Azure File Sync i Defender for Storage. Te rozwiązania mają własne koszty licencjonowania i produktu, ale są często uważane za część całkowitego kosztu posiadania magazynu plików. Rozważ inne aspekty kosztów, jeśli używasz usługi Azure File Sync.

  • Tworzenie barier zabezpieczających: tworzenie budżetów na podstawie subskrypcji i grup zasobów. Zasady ładu umożliwiają ograniczanie typów zasobów, konfiguracji i lokalizacji. Ponadto należy użyć kontroli dostępu opartej na rolach (RBAC), aby zablokować akcje, które mogą prowadzić do nadmiernego wykorzystania.

  • Monitorowanie kosztów: upewnij się, że koszty pozostają w budżetach, porównaj koszty z prognozami i zobacz, gdzie występują nadmierne wydatki. Aby monitorować koszty, możesz użyć okienka analizy kosztów w witrynie Azure Portal. Możesz również wyeksportować dane kosztów do konta magazynu i użyć programu Excel lub usługi Power BI do analizowania tych danych.

  • Monitorowanie użycia: ciągłe monitorowanie wzorców użycia w celu wykrywania nieużywanych lub niedostatecznie używanych kont magazynu i udziałów plików. Sprawdź nieoczekiwane wzrosty pojemności, co może wskazywać, że zbierasz wiele plików dziennika lub plików usuniętych nietrwale. Opracuj strategię usuwania plików lub przenoszenia plików do bardziej ekonomicznych warstw dostępu.

Zalecenia

Zalecenie Korzyści
Podczas migracji do standardowych udziałów plików platformy Azure zalecamy rozpoczęcie pracy w warstwie zoptymalizowanej pod kątem transakcji podczas początkowej migracji. Użycie transakcji podczas migracji zwykle nie wskazuje na normalne użycie transakcji. Ta kwestia nie dotyczy udziałów plików w warstwie Premium, ponieważ aprowizowany model rozliczeń nie pobiera opłat za transakcje. Migracja do usługi Azure Files jest tymczasowym obciążeniem z dużą liczbą transakcji. Zoptymalizuj cenę obciążeń o wysokiej transakcji, aby zmniejszyć koszty migracji.
Po przeprowadzeniu migracji obciążenia, jeśli używasz standardowych udziałów plików, starannie wybierz najbardziej ekonomiczną warstwę dostępu dla udziału plików: gorącą, chłodną lub zoptymalizowaną pod kątem transakcji.

Po kilku dniach lub tygodniach regularnego użycia możesz wstawić liczniki transakcji w kalkulatorze cen, aby ustalić, która warstwa najlepiej odpowiada obciążeniu.

Większość klientów powinna wybrać warstwę chłodną , nawet jeśli aktywnie korzystają z udziału. Należy jednak zbadać każdy udział i porównać saldo pojemności magazynu z transakcjami w celu określenia warstwy. Jeśli koszty transakcji stanowią znaczną część rachunku, oszczędności wynikające z korzystania z warstwy dostępu chłodnego często równoważą ten koszt i minimalizują całkowity całkowity koszt.

Zalecamy przenoszenie standardowych udziałów plików między warstwami dostępu tylko wtedy, gdy jest to konieczne, aby zoptymalizować zmiany w wzorcu obciążenia. Każdy ruch powoduje naliczenie transakcji. Aby uzyskać więcej informacji, zobacz Przełączanie między warstwami standardowymi.
Wybierz odpowiednią warstwę dostępu dla standardowych udziałów plików, aby znacznie zmniejszyć koszty.
Jeśli używasz udziałów w warstwie Premium, upewnij się, że aprowizujesz więcej niż wystarczającą pojemność i wydajność dla obciążenia, ale nie tyle, aby ponosić niepotrzebne koszty. Zalecamy nadmierną aprowizowanie o dwa do trzech razy. Udziały plików w warstwie Premium można dynamicznie skalować w górę lub w dół w zależności od właściwości wydajności magazynu i wejścia/wyjścia (we/wy). Zaprowizuj udziały plików w warstwie Premium o rozsądną kwotę, aby pomóc zachować wydajność i uwzględnić przyszłe wymagania dotyczące wzrostu i wydajności.
Użyj rezerwacji usługi Azure Files, nazywanych również wystąpieniami zarezerwowanymi, aby wstępnie zainicjować użycie magazynu i uzyskać rabat. Używaj rezerwacji dla obciążeń produkcyjnych lub obciążeń tworzenia i testowania z spójnymi śladami. Aby uzyskać więcej informacji, zobacz Optymalizowanie kosztów za pomocą rezerwacji magazynu.

Rezerwacje nie obejmują transakcji, przepustowości, transferu danych i opłat za magazyn metadanych.
Trzyletnie rezerwacje mogą zapewnić rabat do 36% całkowitego kosztu magazynu plików. Rezerwacje nie wpływają na wydajność.
Monitorowanie użycia migawek. Opłaty za migawki są naliczane, ale są naliczane na podstawie różnicowego użycia magazynu każdej migawki. Płacisz tylko za różnicę w każdej migawce. Aby uzyskać więcej informacji, zobacz Migawki.

Usługa Azure File Sync pobiera migawki na poziomie udziału i na poziomie plików w ramach zwykłego użycia, co może zwiększyć łączny rachunek za usługę Azure Files.
Migawki różnicowe zapewniają, że nie są naliczane wielokrotnie opłaty za przechowywanie tych samych danych. Jednak nadal należy monitorować użycie migawek, aby zmniejszyć rachunek za usługę Azure Files.
Ustaw okresy przechowywania dla funkcji usuwania nietrwałego, zwłaszcza gdy po raz pierwszy zaczniesz z niej korzystać. Rozważ rozpoczęcie od krótkiego okresu przechowywania, aby lepiej zrozumieć, jak funkcja wpływa na rachunek. Minimalny zalecany okres przechowywania wynosi siedem dni.

W przypadku usuwania nietrwałego standardowych i premium udziałów plików są one rozliczane jako używana pojemność, a nie aprowizowana pojemność. Udziały plików w warstwie Premium są rozliczane przy użyciu współczynnika migawek w stanie usuwania nietrwałego. Standardowe udziały plików są rozliczane według zwykłej stawki w stanie usuwania nietrwałego.
Ustaw okres przechowywania, aby pliki usunięte nietrwale nie gromadziły się i zwiększały koszt pojemności. Po skonfigurowanym okresie przechowywania trwale usunięte dane nie generują kosztów.

Sprawność operacyjna

Doskonałość operacyjna koncentruje się przede wszystkim na procedurach dotyczących praktyk programistycznych, możliwości obserwacji i zarządzania wydaniami.

Zasady projektowania doskonałości operacyjnej stanowią strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów dla wymagań operacyjnych obciążenia.

Lista kontrolna projektu

Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem doskonałości operacyjnej w celu zdefiniowania procesów do obserwowania, testowania i wdrażania związanego z konfiguracją magazynu plików.

  • Tworzenie planów konserwacji i odzyskiwania awaryjnego: rozważ funkcje ochrony danych, operacje tworzenia kopii zapasowych i przywracania oraz procedury trybu failover. Przygotuj się do potencjalnej utraty danych i niespójności danych oraz czasu i kosztów przechodzenia w tryb failover.

  • Monitorowanie kondycji konta magazynu: tworzenie pulpitów nawigacyjnych szczegółowych informacji usługi Storage w celu monitorowania metryk dostępności, wydajności i odporności. Skonfiguruj alerty, aby identyfikować i rozwiązywać problemy w systemie przed ich zauważeniem przez klientów. Użyj ustawień diagnostycznych, aby kierować dzienniki zasobów do obszaru roboczego dzienników usługi Azure Monitor. Następnie możesz wykonywać zapytania dotyczące dzienników w celu dokładniejszego zbadania alertów.

  • Okresowo przeglądaj działanie udziału plików: działanie udostępniania może się zmieniać w czasie. Przenieś standardowe udziały plików do chłodniejszych warstw dostępu lub możesz aprowizować lub cofnąć aprowizację udziałów w warstwie Premium. W przypadku przenoszenia standardowych udziałów plików do innej warstwy dostępu naliczana jest opłata za transakcję. Przenieś standardowe udziały plików tylko wtedy, gdy jest to konieczne, aby zmniejszyć miesięczny rachunek.

Zalecenia

Zalecenie Korzyści
Użyj infrastruktury jako kodu (IaC), aby zdefiniować szczegóły kont magazynu w szablonach usługi Azure Resource Manager (szablony usługi ARM), Bicep lub Terraform. Możesz użyć istniejących procesów DevOps do wdrożenia nowych kont magazynu i użyć usługi Azure Policy , aby wymusić ich konfigurację.
Użyj szczegółowych informacji usługi Storage, aby śledzić kondycję i wydajność kont magazynu. Szczegółowe informacje o usłudze Storage zapewniają ujednolicony widok awarii, wydajności, dostępności i pojemności dla wszystkich kont magazynu. Możesz śledzić kondycję i działanie poszczególnych kont. Łatwe tworzenie pulpitów nawigacyjnych i raportów, których uczestnicy projektu mogą używać do śledzenia kondycji kont magazynu.
Użyj monitora, aby analizować metryki, takie jak dostępność, opóźnienie i użycie oraz tworzyć alerty. Monitor zapewnia widok dostępności, wydajności i odporności udziałów plików.

Efektywność wydajności

Wydajność polega na utrzymywaniu środowiska użytkownika nawet wtedy, gdy występuje wzrost obciążenia dzięki zarządzaniu pojemnością. Strategia obejmuje skalowanie zasobów, identyfikowanie i optymalizowanie potencjalnych wąskich gardeł oraz optymalizowanie pod kątem szczytowej wydajności.

Zasady projektowania wydajności zapewniają ogólną strategię projektowania w celu osiągnięcia tych celów pojemności w stosunku do oczekiwanego użycia.

Lista kontrolna projektu

Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem wydajności. Zdefiniuj punkt odniesienia oparty na kluczowych wskaźnikach wydajności konfiguracji magazynu plików.

  • Planowanie skalowania: omówienie celów dotyczących skalowalności i wydajności dla kont magazynu, usługi Azure Files i usługi Azure File Sync.

  • Poznaj wzorce aplikacji i użycia, aby osiągnąć przewidywalną wydajność: określanie wymagań dotyczących poufności opóźnień, liczby operacji we/wy na sekundę i przepływności, czasu trwania i częstotliwości obciążeń oraz równoległości obciążeń. Użyj usługi Azure Files dla aplikacji wielowątowych, aby ułatwić osiągnięcie wyższych limitów wydajności usługi. Jeśli większość żądań jest skoncentrowana na metadanych, takich jak createfile, openfile, closefile, queryinfo lub querydirectory, żądania tworzą słabe opóźnienia wyższe niż operacje odczytu i zapisu. Jeśli masz ten problem, rozważ rozdzielenie udziału plików na wiele udziałów plików w ramach tego samego konta magazynu.

  • Wybierz optymalny typ konta magazynu: jeśli obciążenie wymaga dużych ilości operacji we/wy na sekundę, bardzo szybkich szybkości transferu danych lub bardzo małych opóźnień, wybierz konta magazynu w warstwie Premium (FileStorage). W przypadku większości obciążeń udziału plików SMB można użyć standardowego konta ogólnego przeznaczenia w wersji 2. Podstawowym kompromisem między dwoma typami kont magazynu jest koszt i wydajność.

    Rozmiar aprowizowanego udziału, taki jak operacje we/wy na sekundę, ruch wychodzący i przychodzący oraz limity pojedynczego pliku określają wydajność udziału w warstwie Premium. Aby uzyskać więcej informacji, zobacz Opis aprowizacji udziałów plików w warstwie Premium. Udziały plików Premium oferują również środki na wzrost liczby operacji jako polisę ubezpieczeniową, jeśli musisz tymczasowo przekroczyć limit liczby operacji we/wy na sekundę w udziale plików Premium.

  • Utwórz konta magazynu w tych samych regionach co łączenie klientów, aby zmniejszyć opóźnienie: im dalej korzystasz z usługi Azure Files, tym większe opóźnienie i tym trudniejsze do osiągnięcia limitów skalowania wydajności. Jest to szczególnie istotne w przypadku uzyskiwania dostępu do usługi Azure Files ze środowisk lokalnych. Jeśli to możliwe, upewnij się, że twoje konto magazynu i klienci znajdują się w tym samym regionie świadczenia usługi Azure. Optymalizowanie pod kątem klientów lokalnych przez zminimalizowanie opóźnienia sieci lub użycie połączenia usługi ExpressRoute w celu rozszerzenia sieci lokalnych do chmury firmy Microsoft za pośrednictwem połączenia prywatnego.

  • Zbieranie danych wydajności: monitorowanie wydajności obciążenia, w tym opóźnienia, dostępności i metryk użycia . Analizowanie dzienników w celu diagnozowania problemów, takich jak przekroczenia limitu czasu i ograniczanie przepustowości. Utwórz alerty, aby otrzymywać powiadomienia , jeśli udział plików jest ograniczany, ma być ograniczany lub występuje duże opóźnienie.

  • Optymalizacja pod kątem wdrożeń hybrydowych: jeśli używasz usługi Azure File Sync, wydajność synchronizacji zależy od wielu czynników: systemu Windows Server i podstawowej konfiguracji dysku, przepustowości sieci między serwerem a usługą Azure Storage, rozmiarem pliku, całkowitym rozmiarem zestawu danych i działaniem w zestawie danych. Aby zmierzyć wydajność rozwiązania opartego na usłudze Azure File Sync, określ liczbę obiektów, takich jak pliki i katalogi, które przetwarzasz na sekundę.

Zalecenia

Zalecenie Korzyści
Włącz funkcję SMB Multichannel dla udziałów plików SMB w warstwie Premium. Funkcja SMB Multichannel umożliwia klientowi SMB 3.1.1 nawiązywanie wielu połączeń sieciowych z udziałem plików platformy Azure SMB.

Funkcja SMB Multichannel działa tylko wtedy, gdy funkcja jest włączona zarówno po stronie klienta (klienta), jak i po stronie usługi (Azure). Na klientach z systemem Windows funkcja SMB Multichannel jest domyślnie włączona, ale musisz ją włączyć na koncie magazynu.
Zwiększ przepływność i liczbę operacji we/wy na sekundę przy jednoczesnym zmniejszeniu całkowitego kosztu posiadania. Korzyści z wydajności zwiększają się wraz z liczbą plików, które dystrybuują obciążenie.
Użyj opcji instalacji po stronie klienta nconnect z udziałami plików platformy Azure NFS na klientach z systemem Linux. Połączenie Nconnect umożliwia korzystanie z większej liczby połączeń TCP między klientem a usługą Azure Files Premium dla systemu plików NFSv4.1. Zwiększ wydajność na dużą skalę i zmniejsz całkowity koszt posiadania udziałów plików NFS.
Upewnij się, że udział plików lub konto magazynu nie jest ograniczane, co może spowodować duże opóźnienia, niską przepływność lub małą ilość operacji we/wy na sekundę. Żądania są ograniczane, gdy osiągnięto limity liczby operacji we/wy na sekundę, ruchu przychodzącego lub wychodzącego.

W przypadku kont magazynu w warstwie Standardowa ograniczanie jest wykonywane na poziomie konta. W przypadku udziałów plików w warstwie Premium ograniczanie przepustowości zwykle występuje na poziomie udziału.
Unikaj ograniczania przepustowości, aby zapewnić najlepsze możliwe środowisko klienta.

Zasady platformy Azure

Platforma Azure udostępnia obszerny zestaw wbudowanych zasad związanych z usługą Azure Files. Niektóre z powyższych zaleceń można przeprowadzić inspekcję za pomocą zasad platformy Azure. Możesz na przykład sprawdzić, czy:

  • Akceptowane są tylko żądania z bezpiecznych połączeń, takich jak HTTPS.
  • Autoryzacja klucza współużytkowanego jest wyłączona.
  • Reguły zapory sieciowej są stosowane do konta.
  • Ustawienia diagnostyczne usługi Azure Files są ustawiane w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego dzienników usługi Azure Monitor.
  • Dostęp do sieci publicznej jest wyłączony.
  • Usługa Azure File Sync jest skonfigurowana z prywatnymi punktami końcowymi do używania prywatnych stref DNS.

Aby uzyskać kompleksowy nadzór, zapoznaj się z wbudowanymi definicjami usługi Azure Policy dla magazynu i innymi zasadami, które mogą mieć wpływ na bezpieczeństwo warstwy obliczeniowej.

Zalecenia usługi Azure Advisor

Azure Advisor to spersonalizowany konsultant w zakresie chmury ułatwiający stosowanie najlepszych rozwiązań w celu zoptymalizowania wdrożeń platformy Azure. Poniżej przedstawiono kilka zaleceń, które mogą pomóc w zwiększeniu niezawodności, bezpieczeństwa, efektywności kosztów, wydajności i doskonałości operacyjnej usługi Azure Files.

Następny krok

Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Files.