Compartilhar via


Perspectiva do Azure Well-Architected Framework nos Arquivos do Azure

O Azure Files é uma solução de armazenamento de arquivos da Microsoft para a nuvem. Os Arquivos do Azure fornecem compartilhamentos de arquivos de bloco de mensagens de servidor (SMB) e NFS (sistema de arquivos de rede) que você pode montar para clientes na nuvem, no local ou em ambos. Você também pode usar a Sincronização de Arquivos do Azure para armazenar em cache compartilhamentos de arquivos SMB em um servidor Windows local e colocar arquivos usados com pouca frequência na nuvem.

Este artigo pressupõe que, como arquiteto, você analisou as opções de armazenamento e escolheu os Arquivos do Azure como o serviço de armazenamento no qual executar suas cargas de trabalho. A orientação neste artigo fornece recomendações de arquitetura mapeadas de acordo com os princípios dos pilares do Azure Well-Architected Framework.

Importante

Como usar este guia

Cada seção tem uma lista de verificação de projeto que apresenta áreas de preocupação arquitetônicas juntamente com estratégias de projeto localizadas para o escopo da tecnologia.

Também estão incluídas recomendações sobre os recursos tecnológicos que podem ajudar a implementar essas estratégias. As recomendações não representam uma lista exaustiva de todas as configurações disponíveis para Arquivos do Azure e suas dependências. Em vez disso, eles listam as principais recomendações mapeadas para as perspectivas de design. Use as recomendações para criar sua prova de conceito ou otimizar seus ambientes existentes.

Confiabilidade

O objetivo do pilar Confiabilidade é fornecer funcionalidade contínua, criando resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.

Os princípios de projeto de confiabilidade fornecem uma estratégia de design de alto nível aplicada a componentes individuais, cargas de trabalho, fluxos do sistema e ao sistema como um todo.

Lista de verificação de projeto

Inicie sua estratégia de design com base na lista de verificação de revisão de design para Confiabilidade.

  • Usar análise de modo de falha: minimize os pontos de falha considerando dependências internas, como a disponibilidade de redes virtuais, o Cofre de Chaves do Azure ou a Rede de Entrega de Conteúdo do Azure ou pontos de extremidade do Azure Front Door. Falhas podem ocorrer se você precisar de credenciais para acessar os Arquivos do Azure e as credenciais desaparecerem do Cofre de Chaves. Ou você pode ter uma falha se suas cargas de trabalho usarem um ponto de extremidade baseado em uma rede de entrega de conteúdo ausente. Nesses casos, talvez seja necessário configurar suas cargas de trabalho para se conectar a um ponto de extremidade alternativo. Para obter informações gerais sobre a análise do modo de falha, consulte Recomendações para executar a análise do modo de falha.

  • Definir metas de confiabilidade e recuperação: revise os SLAs (contratos de nível de serviço) do Azure. Derive o SLO (objetivo de nível de serviço) para a conta de armazenamento. Por exemplo, a configuração de redundância escolhida pode afetar o SLO. Considere o efeito de uma interrupção regional, o potencial de perda de dados e o tempo necessário para restaurar o acesso após uma interrupção. Considere também a disponibilidade de dependências internas que você identificou como parte da análise do modo de falha.

  • Configurar redundância de dados: para máxima durabilidade, escolha uma configuração que copie dados entre zonas de disponibilidade ou regiões globais. Para obter disponibilidade máxima, escolha uma configuração que permita aos clientes ler dados da região secundária durante uma interrupção da região primária.

  • Projetar aplicativos: projete seus aplicativos para mudar perfeitamente para que eles leiam dados de uma região secundária se a região primária não estiver disponível. Essa consideração de projeto só se aplica a configurações de armazenamento com redundância geográfica (GRS) e armazenamento com redundância geográfica (GZRS). Projete seus aplicativos para lidar adequadamente com interrupções, o que reduz o tempo de inatividade para os clientes.

  • Explore os recursos para ajudá-lo a atingir suas metas de recuperação: torne os arquivos restauráveis para que você possa recuperar arquivos corrompidos, editados ou excluídos.

  • Crie um plano de recuperação: considere recursos de proteção de dados, operações de backup e restauração ou procedimentos de failover. Prepare-se para possíveis perdas e inconsistências de dados e o tempo e o custo do failover. Para obter mais informações, consulte Recomendações para projetar uma estratégia de recuperação de desastres.

  • Monitorar possíveis problemas de disponibilidade: inscreva-se no painel Integridade do Serviço do Azure para monitorar possíveis problemas de disponibilidade. Use métricas de armazenamento e logs de diagnóstico no Azure Monitor para investigar alertas.

Recomendações

Recomendação Benefício
Configure sua conta de armazenamento para redundância.

Para obter máxima disponibilidade e durabilidade, configure sua conta com ZRS (zone-redundant storage, armazenamento com redundância de zona), GRS ou GZRS.

As regiões limitadas do Azure dão suporte ao ZRS para compartilhamentos de arquivos padrão e premium . Somente contas SMB padrão suportam GRS e GZRS. As ações SMB premium e as ações NFS não suportam GRS e GZRS.

Os Arquivos do Azure não tem suporte para o armazenamento com redundância geográfica com acesso de leitura (RA-GRS) ou ao armazenamento com redundância de zona geográfica com acesso de leitura (RA-GZRS). Se você configurar uma conta de armazenamento para usar RA-GRS ou RA-GZRS, os compartilhamentos de arquivos serão configurados e cobrados como GRS ou GZRS.
A redundância protege seus dados contra falhas inesperadas. As opções de configuração ZRS e GZRS replicam em várias zonas de disponibilidade e permitem que os aplicativos continuem lendo dados durante uma paralisação. Para obter mais informações, consulte Durabilidade e disponibilidade por cenário de interrupção e Parâmetros de durabilidade e disponibilidade.
Antes de iniciar um failover ou failback, verifique o valor da propriedade de hora da última sincronização para avaliar o potencial de perda de dados. Esta recomendação aplica-se apenas às configurações GRS e GZRS. Essa propriedade ajuda a estimar a quantidade de dados que você pode perder se iniciar um failover de conta.

Todos os dados e metadados gravados antes da última hora de sincronização estão disponíveis na região secundária, mas você pode perder dados e metadados gravados após a última hora de sincronização porque não são gravados na região secundária.
Como parte de sua estratégia de backup e recuperação, habilite a exclusão flexível e use snapshots para restauração point-in-time.

Você pode usar o Backup do Azure para fazer backup de seus compartilhamentos de arquivos SMB. Você também pode usar a Sincronização de Arquivos do Azure para fazer backup de compartilhamentos de arquivos SMB locais em um compartilhamento de arquivos do Azure.

O Backup do Azure também permite que você faça um backup em cofre (visualização) dos Arquivos do Azure para proteger seus dados contra ataques de ransomware ou perda de dados de origem devido a um ator mal-intencionado ou administrador desonesto. Usando o backup em cofre, o Backup do Azure copia e armazena dados no cofre dos Serviços de Recuperação. Isso cria uma cópia de dados fora do local que você pode reter por até 99 anos. O Backup do Azure cria e gerencia os pontos de recuperação de acordo com o agendamento e a retenção definidos na política de backup. Saiba mais.
A exclusão reversível funciona em um nível de compartilhamento de arquivos para proteger os compartilhamentos de arquivos do Azure contra exclusão acidental.

A restauração point-in-time protege contra exclusão acidental ou corrupção, pois você pode restaurar compartilhamentos de arquivos para um estado anterior. Para obter mais informações, confira Visão geral de proteção de dados.

Segurança

O objetivo do pilar Segurança é fornecer garantias de confidencialidade, integridade e disponibilidade para a carga de trabalho.

Os princípios de design de segurança fornecem uma estratégia de design de alto nível para atingir essas metas, aplicando abordagens ao design técnico da configuração de armazenamento de arquivos.

Os requisitos e recomendações de segurança variam dependendo se sua carga de trabalho usa o protocolo SMB ou NFS para acessar seus compartilhamentos de arquivos. Portanto, as seções a seguir têm listas de verificação de design separadas e recomendações para compartilhamentos de arquivos SMB e NFS.

Como prática recomendada, você deve manter os compartilhamentos de arquivos SMB e NFS em contas de armazenamento separadas, pois eles têm requisitos de segurança diferentes. Use essa abordagem para fornecer à sua carga de trabalho uma forte segurança e alta flexibilidade.

Lista de verificação de design para compartilhamentos de arquivos SMB

Inicie sua estratégia de design com base na lista de verificação de revisão de design para Segurança. Identificar vulnerabilidades e controles para melhorar a postura de segurança. Estender a estratégia para incluir mais abordagens, conforme necessário.

  • Revise a linha de base de segurança do Armazenamento do Azure: para começar, revise a linha de base de segurança do Armazenamento.

  • Considere o uso de controles de rede para restringir o tráfego de entrada e saída: você pode se sentir confortável em expor sua conta de armazenamento à Internet pública sob certas condições, como se usar a autenticação baseada em identidade para conceder acesso a compartilhamentos de arquivos. Mas recomendamos que você use controles de rede para conceder o nível mínimo necessário de acesso a usuários e aplicativos. Para obter mais informações, consulte Como abordar a segurança de rede para sua conta de armazenamento.

  • Reduzir a superfície de ataque: use criptografia em trânsito e impeça o acesso por conexões HTTP (não seguras) para reduzir a superfície de ataque. Exigir que os clientes enviem e recebam dados usando a versão mais recente do protocolo TLS (Transport Layer Security).

  • Minimize o uso de chaves de conta de armazenamento: a autenticação baseada em identidade fornece segurança superior em comparação com o uso de uma chave de conta de armazenamento. Mas você deve usar uma chave de conta de armazenamento para obter controle administrativo total de um compartilhamento de arquivos, incluindo a capacidade de assumir a propriedade de um arquivo. Conceda às entidades de segurança apenas as permissões necessárias necessárias para executar suas tarefas.

  • Proteja informações confidenciais: proteja informações confidenciais, como chaves de conta de armazenamento e senhas. Não recomendamos que você use essas formas de autorização, mas se o fizer, certifique-se de girá-las, expirar e armazená-las com segurança.

  • Detectar ameaças: habilite o Microsoft Defender for Storage para detectar tentativas potencialmente prejudiciais de acessar ou explorar seus compartilhamentos de arquivos do Azure por meio de protocolos SMB ou FileREST. Os administradores de assinatura recebem alertas por e-mail com detalhes de atividades suspeitas e recomendações sobre como investigar e corrigir ameaças. O Defender for Storage não oferece suporte a recursos antivírus para compartilhamentos de arquivos do Azure. Se você usa o Defender for Storage, os compartilhamentos de arquivos com transações pesadas incorrem em custos significativos, portanto, considere desativar o Defender for Storage para contas de armazenamento específicas.

Recomendações para compartilhamentos de arquivos SMB

Recomendação Benefício
Aplique um bloqueio do Gerenciador de Recursos do Azure na conta de armazenamento. Bloqueie a conta para evitar a exclusão acidental ou maliciosa da conta de armazenamento, o que pode causar perda de dados.
Abra a porta TCP 445 de saída ou configure um gateway VPN ou uma conexão do Azure ExpressRoute para clientes fora do Azure acessarem o compartilhamento de arquivos. O SMB 3.x é um protocolo seguro para a Internet, mas talvez você não tenha a capacidade de alterar as políticas organizacionais ou de ISP. Você pode usar um gateway VPN ou uma conexão de Rota Expressa como uma opção alternativa.
Se você abrir a porta 445, desative o SMBv1 em clientes Windows e Linux . Os Arquivos do Azure não oferecem suporte ao SMB 1, mas você ainda deve desabilitá-lo em seus clientes. Ele é um protocolo desatualizado, ineficiente e não seguro. Desative-o nos clientes para melhorar sua postura de segurança.
Considere desabilitar o acesso à rede pública à sua conta de armazenamento. Habilite o acesso à rede pública somente se os clientes e serviços SMB externos ao Azure exigirem acesso à sua conta de armazenamento.

Se você desabilitar o acesso à rede pública, crie um ponto de extremidade privado para sua conta de armazenamento. Aplicam-se as taxas de processamento de dados padrão para pontos de extremidade privados. Um ponto de extremidade privado não bloqueia conexões com o ponto de extremidade público. Você ainda deve desabilitar o acesso à rede pública conforme descrito anteriormente.

Se você não precisar de um endereço IP estático para o compartilhamento de arquivos e quiser evitar o custo de pontos de extremidade privados, poderá restringir o acesso de ponto de extremidade público a redes virtuais e endereços IP específicos.
O tráfego de rede viaja pela rede de backbone da Microsoft em vez da Internet pública, o que elimina a exposição ao risco da Internet pública.
Habilite regras de firewall que limitam o acesso a redes virtuais específicas. Comece com acesso zero e, em seguida, forneça metódica e incrementalmente a menor quantidade de acesso necessária para clientes e serviços. Minimize o risco de criar aberturas para atacantes.
Quando possível, use a autenticação baseada em identidade com a criptografia de tíquete Kerberos AES-256 para autorizar o acesso a compartilhamentos de arquivos do SMB Azure. Use a autenticação baseada em identidade para diminuir a possibilidade de um invasor usar uma chave de conta de armazenamento para acessar compartilhamentos de arquivos.
Se você usar chaves de conta de armazenamento, armazene-as no Cofre de Chaves e certifique-se de gerá-las novamente periodicamente.

Você pode impedir completamente o acesso da chave da conta de armazenamento ao compartilhamento de arquivos removendo o NTLMv2 das configurações de segurança SMB do compartilhamento. Mas você geralmente não deve remover o NTLMv2 das configurações de segurança SMB do compartilhamento porque os administradores ainda precisam usar a chave da conta para algumas tarefas.
Use o Cofre de Chaves para recuperar chaves em tempo de execução em vez de salvá-las com seu aplicativo. O Cofre de Chaves também facilita a rotação de suas chaves sem interrupção para seus aplicativos. Gire periodicamente as chaves da conta para reduzir o risco de expor seus dados a ataques mal-intencionados.
Na maioria dos casos, você deve habilitar a opção Transferência segura necessária em todas as suas contas de armazenamento para habilitar a criptografia em trânsito para compartilhamentos de arquivos SMB.

Não habilite essa opção se precisar permitir que clientes muito antigos acessem o compartilhamento. Se você desabilitar a transferência segura, certifique-se de usar controles de rede para restringir o tráfego.
Essa configuração garante que todas as solicitações feitas na conta de armazenamento ocorram por HTTPS (conexões seguras). Todas as solicitações feitas por HTTP falharão.
Configure sua conta de armazenamento para que o TLS 1.2 seja a versão mínima para os clientes enviarem e receberem dados. A versão 1.2 é mais segura e mais rápida que as versões 1.0 e 1.1 do TLS, que não dão suporte aos modernos algoritmos e conjuntos de criptografia.
Use apenas a versão mais recente do protocolo SMB com suporte (atualmente 3.1.1.) e use somente AES-256-GCM para criptografia de canal SMB.

Os Arquivos do Azure expõem configurações que você pode usar para alternar o protocolo SMB e torná-lo mais compatível ou mais seguro, dependendo dos requisitos da sua organização. Por padrão, todas as versões SMB são permitidas. No entanto, o SMB 2.1 não será permitido se você habilitar Exigir transferência segura porque o SMB 2.1 não oferece suporte à criptografia de dados em trânsito.

Se você restringir essas configurações a um alto nível de segurança, alguns clientes talvez não consigam se conectar ao compartilhamento de arquivos.
O SMB 3.1.1, lançado com o Windows 10, contém atualizações importantes de segurança e desempenho. AES-256-GCM oferece criptografia de canal mais segura.

Lista de verificação de design para compartilhamentos de arquivos NFS

  • Revise a linha de base de segurança para Armazenamento: Para começar, revise a linha de base de segurança para Armazenamento.

  • Entenda os requisitos de segurança da sua organização: os compartilhamentos de arquivos do Azure NFS oferecem suporte apenas a clientes Linux que usam o protocolo NFSv4.1, com suporte para a maioria dos recursos da especificação do protocolo 4.1. Alguns recursos de segurança, como autenticação Kerberos, listas de controle de acesso (ACLs) e criptografia em trânsito, não são suportados.

  • Use a segurança e os controles em nível de rede para restringir o tráfego de entrada e saída: a autenticação baseada em identidade não está disponível para compartilhamentos de arquivos do Azure NFS, portanto, você deve usar a segurança e os controles em nível de rede para conceder o nível mínimo necessário de acesso a usuários e aplicativos. Para obter mais informações, consulte Como abordar a segurança de rede para sua conta de armazenamento.

Recomendações para compartilhamentos de arquivos NFS

Recomendação Benefício
Aplique um bloqueio do Gerenciador de Recursos na conta de armazenamento. Bloqueie a conta para evitar a exclusão acidental ou maliciosa da conta de armazenamento, o que pode causar perda de dados.
Você deve abrir a porta 2049 nos clientes nos quais deseja montar seu compartilhamento NFS. Abra a porta 2049 para permitir que os clientes se comuniquem com o compartilhamento de arquivos do NFS Azure.
Os compartilhamentos de arquivos do Azure NFS só são acessíveis por meio de redes restritas. Portanto, você deve criar um ponto de extremidade privado para sua conta de armazenamento ou restringir o acesso ao ponto de extremidade público a redes virtuais e endereços IP selecionados. Recomendamos que você crie um ponto de extremidade privado.

Você deve configurar a segurança em nível de rede para compartilhamentos NFS porque os Arquivos do Azure não oferecem suporte à criptografia em trânsito com o protocolo NFS. Você precisa desabilitar a configuração Exigir transferência segura na conta de armazenamento para usar compartilhamentos de arquivos do NFS Azure.

As taxas padrão de processamento de dados se aplicam a endpoints privados. Se você não precisar de um endereço IP estático para o compartilhamento de arquivos e quiser evitar o custo de pontos de extremidade privados, poderá restringir o acesso ao ponto de extremidade público.
O tráfego de rede viaja pela rede de backbone da Microsoft em vez da Internet pública, o que elimina a exposição ao risco da Internet pública.
Considere não permitir o acesso à chave da conta de armazenamento no nível da conta de armazenamento. Você não precisa desse acesso para montar compartilhamentos de arquivos NFS. Mas lembre-se de que o controle administrativo total de um compartilhamento de arquivos, incluindo a capacidade de assumir a propriedade de um arquivo, requer o uso de uma chave de conta de armazenamento. Não permita o uso de chaves de conta de armazenamento para tornar sua conta de armazenamento mais segura.

Otimização de custos

A otimização de custos se concentra em detectar padrões de gastos, priorizar investimentos em áreas críticas e otimizar em outras para atender ao orçamento da organização e, ao mesmo tempo, atender aos requisitos de negócios.

Os princípios de projeto de Otimização de Custos fornecem uma estratégia de design de alto nível para atingir esses objetivos e fazer compensações conforme necessário no projeto técnico relacionado ao armazenamento de arquivos e seu ambiente.

Lista de verificação de projeto

Inicie sua estratégia de design com base na lista de verificação de revisão de design para Otimização de Custos para investimentos. Ajuste o design para que a carga de trabalho esteja alinhada com o orçamento alocado para a carga de trabalho. Seu design deve usar os recursos certos do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.

  • Decida se sua carga de trabalho requer o desempenho de compartilhamentos de arquivos premium (SSD Premium do Azure) ou se o armazenamento de HDD padrão do Azure é suficiente: determine o tipo de conta de armazenamento e o modelo de cobrança com base no tipo de armazenamento necessário. Se você precisar de grandes quantidades de operações de entrada/saída por segundo (IOPS), velocidades de transferência de dados extremamente rápidas ou latência muito baixa, escolha compartilhamentos de arquivos premium do Azure. Os compartilhamentos de arquivos do Azure NFS só estão disponíveis na camada premium. Os compartilhamentos de arquivos NFS e SMB têm o mesmo preço no nível premium.

  • Crie uma conta de armazenamento para seu compartilhamento de arquivos e escolha um nível de redundância: escolha uma conta padrão (GPv2) ou premium (FileStorage). O nível de redundância escolhido afeta o custo. Quanto mais redundância, maior o custo. O armazenamento localmente redundante (LRS) é o mais acessível. O GRS só está disponível para compartilhamentos de arquivos SMB padrão. Os compartilhamentos de arquivos padrão mostram apenas as informações de transação no nível da conta de armazenamento, portanto, recomendamos que você implante apenas um compartilhamento de arquivos em cada conta de armazenamento para garantir visibilidade total do faturamento.

  • Entenda como sua fatura é calculada: os compartilhamentos de arquivos padrão do Azure fornecem um modelo de pagamento conforme o uso. Os compartilhamentos Premium usam um modelo provisionado no qual você especifica e paga por uma determinada quantidade de capacidade, IOPS e taxa de transferência antecipadamente. No modelo de pagamento conforme o uso, os medidores rastreiam a quantidade de dados armazenados na conta, ou a capacidade, e o número e o tipo de transações com base no uso desses dados. O modelo pay-as-you-go pode ser econômico porque você paga apenas pelo que usa. Com o modelo de pagamento conforme o uso, você não precisa provisionar ou desprovisionar o armazenamento com base nos requisitos de desempenho ou nas flutuações de demanda.

    Mas você pode achar difícil planejar o armazenamento como parte de um processo de orçamento porque o consumo do usuário final gera custos. Com o modelo provisionado, as transações não afetam o faturamento, portanto, os custos são fáceis de prever. Mas você paga pela capacidade de armazenamento provisionada, quer a use ou não. Para obter um detalhamento detalhado de como os custos são calculados, consulte Compreender a cobrança dos Arquivos do Azure.

  • Estimar o custo da capacidade e das operações: você pode usar a calculadora de preços do Azure para modelar os custos associados ao armazenamento, entrada e saída de dados. Compare o custo associado a várias regiões, tipos de conta e configurações de redundância. Para obter mais informações, consulte Preços dos Arquivos do Azure.

  • Escolha a camada de acesso mais econômica: os compartilhamentos de arquivos SMB padrão do Azure oferecem três camadas de acesso: otimizado para transações, quente e frio. Todos os três níveis são armazenados no mesmo hardware de armazenamento padrão. A principal diferença para essas três camadas são seus dados em preços de armazenamento em repouso, que são mais baixos em camadas mais frias, e os preços de transação, que são mais altos em camadas mais frias. Para obter mais informações, consulte Diferenças em camadas padrão.

  • Decida de quais serviços de valor agregado você precisa: os Arquivos do Azure oferecem suporte a integrações com serviços de valor agregado, como Backup, Sincronização de Arquivos do Azure e Defender para Armazenamento. Essas soluções têm seus próprios custos de licenciamento e produto, mas geralmente são consideradas parte do custo total de propriedade para armazenamento de arquivos. Considere outros aspectos de custo se você usar o Azure File Sync.

  • Criar guardrails: crie orçamentos com base em assinaturas e grupos de recursos. Use políticas de governança para restringir tipos de recursos, configurações e locais. Além disso, use o RBAC (controle de acesso baseado em função) para bloquear ações que podem levar a gastos excessivos.

  • Monitore os custos: garanta que os custos permaneçam dentro dos orçamentos, compare os custos com as previsões e veja onde os gastos excessivos ocorrem. Você pode usar o painel de análise de custos no portal do Azure para monitorar custos. Você também pode exportar dados de custo para uma conta de armazenamento e usar o Excel ou o Power BI para analisar esses dados.

  • Monitorar o uso: monitore continuamente os padrões de uso para detectar contas de armazenamento e compartilhamentos de arquivos não utilizados ou subutilizados. Verifique se há aumentos inesperados na capacidade, o que pode indicar que você está coletando vários arquivos de log ou arquivos excluídos automaticamente. Desenvolva uma estratégia para excluir arquivos ou mover arquivos para níveis de acesso mais econômicos.

Recomendações

Recomendação Benefício
Ao migrar para compartilhamentos de arquivos padrão do Azure, recomendamos que você inicie na camada otimizada para transações durante a migração inicial. O uso de transações durante a migração normalmente não é indicativo do uso normal de transações. Essa consideração não se aplica a compartilhamentos de arquivos premium porque o modelo de faturamento provisionado não cobra pelas transações. A migração para os Arquivos do Azure é uma carga de trabalho temporária e pesada em transações. Otimize o preço de cargas de trabalho de alta transação para ajudar a reduzir os custos de migração.
Depois de migrar sua carga de trabalho, se você usar compartilhamentos de arquivos padrão, escolha cuidadosamente a camada de acesso mais econômica para seu compartilhamento de arquivos: quente, frio ou otimizado para transações.

Depois de operar por alguns dias ou semanas com uso regular, você pode inserir suas contagens de transações na calculadora de preços para descobrir qual camada melhor se adapta à sua carga de trabalho.

A maioria dos clientes deve escolher legal, mesmo que eles usem ativamente o compartilhamento. Mas você deve examinar cada compartilhamento e comparar o saldo da capacidade de armazenamento com as transações para determinar seu nível. Se os custos de transação representarem uma porcentagem significativa da sua fatura, a economia com o uso da camada de acesso legal geralmente compensa esse custo e minimiza o custo total geral.

Recomendamos que você mova compartilhamentos de arquivos padrão entre camadas de acesso somente quando necessário para otimizar as alterações no padrão de carga de trabalho. Cada movimento incorre em transações. Para obter mais informações, consulte Alternando entre camadas padrão.
Selecione a camada de acesso apropriada para compartilhamentos de arquivos padrão para reduzir consideravelmente seus custos.
Se você usar compartilhamentos premium, certifique-se de provisionar capacidade e desempenho mais do que suficientes para sua carga de trabalho, mas não tanto que você incorra em custos desnecessários. Recomendamos o provisionamento excessivo de duas a três vezes. Você pode escalar dinamicamente os compartilhamentos de arquivos premium para cima ou para baixo, dependendo de suas características de desempenho de armazenamento e entrada/saída (E/S). Compartilhamentos de arquivos premium de superprovisionamento em um valor razoável para ajudar a manter o desempenho e levar em conta os requisitos futuros de crescimento e desempenho.
Use as reservas de Arquivos do Azure, também chamadas de instâncias reservadas, para pré-confirmar o uso do armazenamento e obter um desconto. Use reservas para cargas de trabalho de produção ou cargas de trabalho de desenvolvimento/teste com pegadas consistentes. Para obter mais informações, consulte Otimizar custos com reservas de armazenamento.

As reservas não incluem taxas de transação, largura de banda, transferência de dados e armazenamento de metadados.
As reservas de três anos podem proporcionar um desconto de até 36% sobre o custo total de armazenamento de arquivos. As reservas não afetam o desempenho.
Monitore o uso do snapshot. Os snapshots incorrem em encargos, mas são cobrados com base no uso diferencial de armazenamento de cada snapshot. Você paga apenas pela diferença em cada snapshot. Para obter mais informações, veja cópias de sombra.

A Sincronização de Arquivos do Azure obtém instantâneos em nível de compartilhamento e de arquivo como parte do uso regular, o que pode aumentar sua fatura total de Arquivos do Azure.
Os snapshots diferenciais garantem que você não seja cobrado várias vezes por armazenar os mesmos dados. No entanto, você ainda deve monitorar o uso do instantâneo para ajudar a reduzir sua fatura de Arquivos do Azure.
Defina períodos de retenção para o recurso de exclusão flexível, especialmente quando você começar a usá-lo pela primeira vez. Considere começar com um curto período de retenção para entender melhor como o recurso afeta sua fatura. O período de retenção mínimo recomendado é de sete dias.

Quando você exclui compartilhamentos de arquivos padrão e premium, eles são cobrados como capacidade usada em vez de capacidade provisionada. E os compartilhamentos de arquivos premium são cobrados na taxa de snapshot enquanto estiverem no estado de exclusão suave. Os compartilhamentos de arquivos padrão são cobrados na taxa normal enquanto estiverem no estado de exclusão flexível.
Defina um período de retenção para que os arquivos excluídos não se acumulem e aumentem o custo da capacidade. Após o período de retenção configurado, os dados excluídos permanentemente não incorrem em custos.

Excelência operacional

A Excelência Operacional concentra-se principalmente em procedimentos para práticas de desenvolvimento, observabilidade e gerenciamento de versões.

Os princípios de design de Excelência Operacional fornecem uma estratégia de design de alto nível para atingir essas metas para os requisitos operacionais da carga de trabalho.

Lista de verificação de projeto

Inicie sua estratégia de design com base na lista de verificação de revisão de design para Excelência Operacional para definir processos de observabilidade, teste e implantação relacionados à configuração de armazenamento de arquivos.

  • Criar planos de manutenção e recuperação de emergência: considere recursos de proteção de dados, operações de backup e restauração e procedimentos de failover. Prepare-se para possíveis perdas e inconsistências de dados e o tempo e o custo do failover.

  • Monitore a integridade de sua conta de armazenamento: crie painéis de insights de armazenamento para monitorar métricas de disponibilidade, desempenho e resiliência. Configure alertas para identificar e resolver problemas em seu sistema antes que seus clientes os percebam. Use as configurações de diagnóstico para rotear logs de recursos para um espaço de trabalho Logs do Monitor do Azure. Em seguida, você pode consultar logs para investigar alertas mais profundamente.

  • Revise periodicamente a atividade de compartilhamento de arquivos: a atividade de compartilhamento pode mudar com o tempo. Mova compartilhamentos de arquivos padrão para camadas de acesso mais frias, ou você pode provisionar ou desprovisionar a capacidade para compartilhamentos premium. Ao mover compartilhamentos de arquivos padrão para uma camada de acesso diferente, você incorre em uma cobrança de transação. Mova compartilhamentos de arquivos padrão somente quando necessário para reduzir sua fatura mensal.

Recomendações

Recomendação Benefício
Use a infraestrutura como código (IaC) para definir os detalhes de suas contas de armazenamento em modelos do Gerenciador de Recursos do Azure (modelos ARM), Bicep ou Terraform. Você pode usar seus processos de DevOps existentes para implantar novas contas de armazenamento e usar a Política do Azure para impor sua configuração.
Use os insights de armazenamento para acompanhar a integridade e o desempenho de suas contas de armazenamento. Os insights de armazenamento fornecem uma visão unificada das falhas, do desempenho, da disponibilidade e da capacidade de todas as suas contas de armazenamento. Você pode acompanhar a integridade e o funcionamento de cada uma de suas contas. Crie facilmente painéis e relatórios que as partes interessadas podem usar para rastrear a integridade de suas contas de armazenamento.
Use o Monitor para analisar métricas, como disponibilidade, latência e uso, e para criar alertas. O Monitor fornece uma exibição de disponibilidade, desempenho e resiliência para seus compartilhamentos de arquivos.

Eficiência de desempenho

A eficiência de desempenho consiste em manter a experiência do usuário mesmo quando há um aumento na carga por meio do gerenciamento da capacidade. A estratégia inclui dimensionar recursos, identificar e otimizar possíveis gargalos e otimizar o desempenho máximo.

Os princípios de design de Eficiência de Desempenho fornecem uma estratégia de design de alto nível para atingir essas metas de capacidade em relação ao uso esperado.

Lista de verificação de projeto

Inicie sua estratégia de design com base na lista de verificação de revisão de design para Eficiência de desempenho. Defina uma linha de base baseada em indicadores-chave de desempenho para sua configuração de armazenamento de arquivos.

  • Planejar a escala: entenda as metas de escalabilidade e desempenho para contas de armazenamento, Arquivos do Azure e Sincronização de Arquivos do Azure.

  • Compreenda seus padrões de uso e aplicativos para obter um desempenho previsível: determine a sensibilidade à latência, os requisitos de IOPS e taxa de transferência, a duração e a frequência da carga de trabalho e a paralelização da carga de trabalho. Use os Arquivos do Azure para aplicativos multithread para ajudá-lo a atingir os limites superiores de desempenho de um serviço. Se a maioria das solicitações for centrada em metadados, como createfile, openfile, closefile, queryinfo ou querydirectory, as solicitações criarão latência fraca que é maior do que as operações de leitura e gravação. Se você tiver esse problema, considere separar o compartilhamento de arquivos em vários compartilhamentos de arquivos na mesma conta de armazenamento.

  • Escolha o tipo de conta de armazenamento ideal: se sua carga de trabalho exigir grandes quantidades de IOPS, velocidades de transferência de dados extremamente rápidas ou latência muito baixa, escolha contas de armazenamento premium (FileStorage). Você pode usar uma conta v2 de uso geral padrão para a maioria das cargas de trabalho de compartilhamento de arquivos SMB. A principal compensação entre os dois tipos de conta de armazenamento é custo versus desempenho.

    O tamanho do compartilhamento provisionado, como IOPS, saída e entrada, e os limites de arquivo único determinam o desempenho do compartilhamento premium. Para obter mais informações, consulte Noções básicas sobre provisionamento para compartilhamentos de arquivos premium. Os compartilhamentos de arquivos premium também oferecem créditos de intermitência como uma apólice de seguro se você precisar exceder temporariamente o limite de IOPS de linha de base de um compartilhamento de arquivo premium.

  • Crie contas de armazenamento nas mesmas regiões que conecta clientes para reduzir a latência: quanto mais longe você estiver do serviço Arquivos do Azure, maior será a latência e mais difícil será atingir os limites de escala de desempenho. Essa consideração é especialmente verdadeira quando você acessa os Arquivos do Azure de ambientes locais. Se possível, verifique se sua conta de armazenamento e seus clientes estão colocalizados na mesma região do Azure. Otimize para clientes locais minimizando a latência de rede ou usando uma conexão de Rota Expressa para estender redes locais para a nuvem da Microsoft por meio de uma conexão privada.

  • Coletar dados de desempenho: monitore o desempenho da carga de trabalho, incluindo latência, disponibilidade e métricas de uso . Analise logs para diagnosticar problemas como tempos limite e limitação. Crie alertas para notificá-lo se um compartilhamento de arquivos estiver sendo limitado, prestes a ser limitado ou com alta latência.

  • Otimizar para implantações híbridas: se você usar o Azure File Sync, o desempenho da sincronização dependerá de muitos fatores: seu Windows Server e a configuração de disco subjacente, largura de banda de rede entre o servidor e o armazenamento do Azure, tamanho do arquivo, tamanho total do conjunto de dados e a atividade no conjunto de dados. Para medir o desempenho de uma solução baseada na Sincronização de Arquivos do Azure, determine o número de objetos, como arquivos e diretórios, que você processa por segundo.

Recomendações

Recomendação Benefício
Habilite o SMB Multichannel para compartilhamentos de arquivos SMB premium. O SMB Multichannel permite que um cliente SMB 3.1.1 estabeleça várias conexões de rede com um compartilhamento de arquivos SMB do Azure.

O SMB Multichannel só funciona quando o recurso está habilitado no lado do cliente (seu cliente) e no lado do serviço (Azure). Em clientes Windows, o SMB Multichannel é habilitado por padrão, mas você precisa habilitá-lo em sua conta de armazenamento.
Aumente a taxa de transferência e IOPS enquanto reduz o custo total de propriedade. Os benefícios de desempenho aumentam com o número de arquivos que distribuem carga.
Use a opção de montagem do lado do cliente nconnect com compartilhamentos de arquivos do NFS Azure em clientes Linux. O Nconnect permite que você use mais conexões TCP entre o cliente e o serviço premium Arquivos do Azure para NFSv4.1. Aumente o desempenho em escala e reduza o custo total de propriedade para compartilhamentos de arquivos NFS.
Verifique se sua conta de compartilhamento de arquivos ou armazenamento não está sendo limitada, o que pode resultar em alta latência, baixa taxa de transferência ou baixa IOPS. As solicitações são limitadas quando os limites de IOPS, entrada ou saída são atingidos.

Para contas de armazenamento padrão, a limitação ocorre no nível da conta. Para compartilhamentos de arquivos premium, a limitação geralmente ocorre no nível do compartilhamento.
Evite a limitação para proporcionar a melhor experiência possível ao cliente.

Políticas do Azure

O Azure fornece um extenso conjunto de políticas internas relacionadas aos Arquivos do Azure. Algumas das recomendações anteriores podem ser auditadas por meio de políticas do Azure. Por exemplo, você pode verificar se:

  • Somente solicitações de conexões seguras, como HTTPS, são aceitas.
  • A autorização de chave compartilhada está desabilitada.
  • As regras de firewall de rede são aplicadas à conta.
  • As configurações de diagnóstico para Arquivos do Azure são definidas para transmitir logs de recursos para um espaço de trabalho de Logs do Monitor do Azure.
  • O acesso à rede pública está desabilitado.
  • A Sincronização de Arquivos do Azure é configurada com pontos de extremidade privados para usar zonas DNS privadas.

Para uma governança abrangente, revise as definições internas da Política do Azure para armazenamento e outras políticas que podem afetar a segurança da camada de computação.

Recomendações do Assistente do Azure

O Assistente do Azure é um consultor de nuvem personalizado que ajuda a seguir as práticas recomendadas para otimizar as implantações do Azure. Aqui estão algumas recomendações que podem ajudá-lo a melhorar a confiabilidade, a segurança, a relação custo-benefício, o desempenho e a excelência operacional dos Arquivos do Azure.

Próxima etapa

Para obter mais informações, consulte a documentação de Arquivos do Azure.