Esta solução executa cargas de trabalho de análise SAS no Azure. As orientações abrangem vários cenários de implantação. Por exemplo, várias versões do SAS estão disponíveis. Você pode executar o software SAS em máquinas virtuais (VMs) autogerenciadas. Você também pode implantar versões baseadas em contêiner usando o Serviço Kubernetes do Azure (AKS).
Arquitetura
O diagrama contém um retângulo grande com o rótulo Rede Virtual do Azure. Dentro dele, outro grande retângulo tem o rótulo Grupo de colocação de proximidade. Dois retângulos estão dentro dele. Eles são empilhados verticalmente e cada um tem o rótulo Grupo de segurança de rede. Cada retângulo de grupo de segurança contém vários ícones de computador organizados em linhas. No retângulo superior, os ícones do computador no lado esquerdo da linha superior têm o rótulo Camada intermediária. Os ícones à direita têm o rótulo Camada de metadados. A linha inferior de ícones tem o rótulo Camada de computação. No retângulo inferior, a linha superior de ícones do computador tem o rótulo MGS e MDS servidores. A linha inferior tem o rótulo OSTs e servidores OSS.
Transfira um ficheiro do Visio desta arquitetura.
Fluxo de Trabalho
As implantações do SAS Azure normalmente contêm três camadas:
Uma API ou camada de visualização. Dentro desta camada:
- A camada de metadados dá aos aplicativos cliente acesso a metadados sobre fontes de dados, recursos, servidores e usuários.
- Os aplicativos Web fornecem acesso a dados de inteligência na camada intermediária.
Uma plataforma de computação, onde os servidores SAS processam dados.
Um nível de armazenamento que o SAS usa para armazenamento permanente. As opções populares no Azure são:
- Brilho
- IBM Escala de Espectro
- NFS (Network File System)
Uma Rede Virtual do Azure isola o sistema na nuvem. No âmbito dessa rede:
- Um grupo de posicionamento de proximidade reduz a latência entre VMs.
- Os grupos de segurança de rede protegem os recursos SAS contra tráfego indesejado.
Pré-requisitos
Antes de implantar uma carga de trabalho SAS, verifique se os seguintes componentes estão instalados:
- Uma recomendação de dimensionamento de uma equipe de dimensionamento SAS
- Um arquivo de licença SAS
- Acesso a um grupo de recursos para implantar seus recursos
- Uma quota de subscrição de unidade de processamento central virtual (vCPU) que tem em conta o seu documento de dimensionamento e a escolha da VM
- Acesso a um servidor seguro LDAP (Lightweight Directory Access Protocol)
Detalhes do cenário
Além de discutir diferentes implementações, este guia também se alinha com os princípios do Microsoft Azure Well-Architected Framework para alcançar a excelência nas áreas de custo, DevOps, resiliência, escalabilidade e segurança. Mas, além de usar este guia, consulte uma equipe SAS para validação adicional do seu caso de uso específico.
Como parceiros, a Microsoft e o SAS estão trabalhando para desenvolver um roteiro para organizações que inovam na nuvem. Ambas as empresas estão comprometidas em garantir implantações de alta qualidade de produtos e soluções SAS no Azure.
Introdução ao SAS
O software de análise SAS fornece um conjunto de serviços e ferramentas para extrair insights de dados e tomar decisões inteligentes. As plataformas SAS suportam totalmente as suas soluções para áreas como gestão de dados, deteção de fraudes, análise de risco e visualização. O SAS oferece estas plataformas principais, que a Microsoft validou:
- Grelha SAS 9.4
- SAS Viya
As seguintes arquiteturas foram testadas:
- SAS Grid 9.4 no Linux
- Fundação SAS 9
- SAS Viya 3.5 com arquiteturas de multiprocessamento simétrico (SMP) e processamento paralelo maciço (MPP) no Linux
- SAS Viya 2020 e superior com uma arquitetura MPP no AKS
Este guia fornece informações gerais para executar o SAS no Azure, não informações específicas da plataforma. Essas diretrizes pressupõem que você hospede sua própria solução SAS no Azure em seu próprio locatário. O SAS não hospeda uma solução para você no Azure. Para obter mais informações sobre os serviços de hospedagem e gerenciamento do Azure que o SAS fornece, consulte SAS Managed Application Services.
Recomendações
Considere os pontos nas seções a seguir ao projetar sua implementação.
A documentação SAS fornece requisitos por núcleo, ou seja, por núcleo físico da CPU. Mas o Azure fornece listagens de vCPU. Nas VMs que recomendamos para uso com SAS, há duas vCPUs para cada núcleo físico. Como resultado, para calcular o valor de um requisito de vCPU, use metade do valor do requisito principal. Por exemplo, um requisito de núcleo físico de 150 MBps se traduz em 75 MBps por vCPU. Para obter mais informações sobre o desempenho de computação do Azure, consulte Unidade de computação do Azure (ACU).
Nota
Se você estiver ampliando e persistindo dados em uma implantação SAS de nó único (e não em um sistema de arquivos externalizado), a documentação do SAS recomenda largura de banda de pelo menos 150 MB/s. Para obter essa largura de banda, você precisa distribuir vários discos P30 Premium (ou maiores).
Sistemas operativos
O Linux funciona melhor para executar cargas de trabalho SAS. O SAS suporta versões de 64 bits dos seguintes sistemas operativos:
- Red Hat 7 ou posterior
- Servidor SUSE Linux Enterprise (SLES) 12.2
- Oracle Linux 6 ou posterior
Para obter mais informações sobre versões específicas do SAS, consulte a matriz de suporte do sistema operacional SAS. Em ambientes que usam várias máquinas, é melhor executar a mesma versão do Linux em todas as máquinas. O Azure não suporta implementações Linux de 32 bits.
Para otimizar a compatibilidade e a integração com o Azure, comece com uma imagem do sistema operacional do Azure Marketplace. Usar uma imagem personalizada sem configurações adicionais pode degradar o desempenho do SAS.
Problemas do kernel
Ao escolher um sistema operacional, esteja ciente de um problema de bloqueio suave que afeta toda a série Red Hat 7.x. Ocorre nestes kernels:
- Kernels Linux 3.x
- Versões anteriores à 4.4
Um problema com o gerenciamento de memória e E/S do Linux e Hyper-V causa o problema. Quando ocorre, os logs do sistema contêm entradas como esta que mencionam uma interrupção não mascarável (NMI):
Message from syslogd@ronieuwe-sas-e48-2 at Sep 13 08:26:08
kernel:NMI watchdog: BUG: soft lockup - CPU#12 stuck for 22s! [swapper/12:0]
Outro problema afeta versões mais antigas do Red Hat. Especificamente, isso pode acontecer em versões que atendam a estas condições:
- Ter kernels Linux que precedem 3.10.0-957.27.2
- Usar unidades NVMe (non-volatile memory express)
Quando o sistema enfrenta alta pressão de memória, o driver NVMe Linux genérico pode não alocar memória suficiente para uma operação de gravação. Como resultado, o sistema relata um bloqueio suave que decorre de um impasse real.
Atualize seu kernel para evitar ambos os problemas. Como alternativa, tente esta possível solução alternativa:
- Defina
/sys/block/nvme0n1/queue/max_sectors_kb
como128
em vez de usar o valor padrão,512
. - Altere essa configuração em cada dispositivo NVMe na VM e em cada inicialização da VM.
Execute estes comandos para ajustar essa configuração:
# cat /sys/block/nvme0n1/queue/max_sectors_kb
512
# echo 128 >/sys/block/nvme0n1/queue/max_sectors_kb
# cat /sys/block/nvme0n1/queue/max_sectors_kb
128
Recomendações de dimensionamento de VM
As implantações SAS geralmente usam as seguintes SKUs de VM:
Série Edsv5
As VMs da série Edsv5 são as máquinas SAS padrão para Viya e Grid. Eles oferecem estes recursos:
- Núcleos restritos. Com muitas máquinas nesta série, você pode restringir a contagem de VM vCPU.
- Uma boa relação CPU/memória.
- Um disco conectado localmente de alta taxa de transferência. A velocidade de E/S é importante para pastas como
SASWORK
o cache do Cloud Analytics Services (CAS),CAS_CACHE
que o SAS usa para arquivos temporários.
Se as VMs da série Edsv5 não estiverem disponíveis, é recomendável usar a geração anterior. As VMs da série Edsv4 foram testadas e têm um bom desempenho em cargas de trabalho SAS.
Série Ebsv5
Em alguns casos, o disco conectado localmente não tem espaço de armazenamento suficiente para SASWORK
ou CAS_CACHE
. Para obter um diretório de trabalho maior, use a série Ebsv5 de VMs com discos anexados premium. Essas VMs oferecem esses recursos:
- Mesmas especificações que as VMs Edsv5 e Esv5
- Alta taxa de transferência em relação ao disco conectado remotamente, até 4 GB/s, oferecendo o tamanho a
SASWORK
ouCAS_CACHE
conforme necessário nas necessidades de E/S do SAS.
Se as VMs da série Edsv5 oferecerem armazenamento suficiente, é melhor usá-las, pois são mais econômicas.
Série M
Muitas cargas de trabalho usam VMs da série M, incluindo:
- Implementações SAS Programming Runtime Environment (SPRE) que usam uma abordagem Viya para arquitetura de software.
- Determinadas cargas de trabalho do SAS Grid.
As VMs da série M oferecem estes recursos:
- Núcleos restritos
- Até 3,8 TiB de memória, adequado para cargas de trabalho que usam uma grande quantidade de memória
- Alta taxa de transferência para discos remotos, que funciona bem para a
SASWORK
pasta quando o disco disponível localmente é insuficiente
Série Ls
Certos ambientes pesados de E/S devem usar VMs das séries Lsv2 ou Lsv3 . Em particular, implementações que exigem velocidade de E/S rápida e de baixa latência e uma grande quantidade de memória se beneficiam desse tipo de máquina. Exemplos incluem sistemas que fazem uso intensivo da SASWORK
pasta ou CAS_CACHE
.
Nota
O SAS otimiza seus serviços para uso com a Intel Math Kernel Library (MKL).
- Com cargas de trabalho pesadas em matemática, evite VMs que não usam processadores Intel: Lsv2 e Lasv3.
- Ao selecionar uma CPU AMD, valide o desempenho do MKL nela.
Aviso
Sempre que possível, evite usar VMs Lsv2. Em vez disso, use as VMs Lsv3 com chipsets Intel.
Com o Azure, você pode dimensionar sistemas SAS Viya sob demanda para cumprir prazos:
- Aumentando a capacidade de computação do pool de nós.
- Usando o AKS Cluster Autoscaler para adicionar nós e dimensionar horizontalmente.
- Ampliando temporariamente a infraestrutura para acelerar uma carga de trabalho SAS.
Nota
Ao dimensionar componentes de computação, considere também aumentar a escala do armazenamento para evitar gargalos de E/S de armazenamento.
Com cargas de trabalho do Viya 3.5 e Grid, o Azure atualmente não oferece suporte ao dimensionamento horizontal ou vertical. O Viya 2022 suporta escalonamento horizontal.
Considerações sobre o posicionamento de rede e VM
As cargas de trabalho do SAS são muitas vezes tagarelas. Como resultado, eles podem transferir uma quantidade significativa de dados. Com todas as plataformas SAS, siga estas recomendações para reduzir os efeitos da conversa:
- Implante SAS e plataformas de armazenamento na mesma rede virtual. Esta abordagem também evita incorrer em custos de peering.
- Coloque as máquinas SAS em um grupo de posicionamento de proximidade para reduzir a latência entre nós.
- Sempre que possível, implante máquinas SAS e plataformas de armazenamento de dados baseadas em VM no mesmo grupo de posicionamento de proximidade.
- Implante dispositivos SAS e de armazenamento na mesma zona de disponibilidade para evitar latência entre zonas. Se não conseguir confirmar que os componentes da solução estão implantados na mesma zona, entre em contato com o suporte do Azure.
O SAS tem requisitos específicos de FQDN (nome de domínio totalmente qualificado) para VMs. Defina os FQDNs da máquina corretamente e verifique se os serviços do sistema de nomes de domínio (DNS) estão funcionando. Você pode definir os nomes com o DNS do Azure. Você também pode editar o hosts
arquivo na pasta de etc
configuração.
Nota
Ative a rede acelerada em todos os nós na implantação SAS. Quando você desativa esse recurso, o desempenho sofre significativamente.
Para ativar a rede acelerada em uma VM, siga estas etapas:
Execute este comando na CLI do Azure para desalocar a VM:
az vm deallocate --resource-group <resource_group_name> --name <VM_name>
Desligue a VM.
Execute este comando na CLI:
az network nic update -n <network_interface_name> -g <resource_group_name> --accelerated-networking true
Quando você migra dados ou interage com SAS no Azure, recomendamos que você use uma destas soluções para conectar recursos locais ao Azure:
Para cargas de trabalho SAS de produção no Azure, o ExpressRoute fornece uma conexão privada, dedicada e confiável que oferece estas vantagens em relação a uma VPN site a site:
- Maior velocidade
- Latência mais baixa
- Segurança reforçada
Esteja ciente das interfaces sensíveis à latência entre aplicativos SAS e não SAS. Considere mover fontes de dados e coletores próximos ao SAS.
Gestão de identidades
As plataformas SAS podem usar contas de usuário locais. Eles também podem usar um servidor LDAP seguro para validar usuários. Recomendamos executar um controlador de domínio no Azure. Em seguida, use o recurso de ingresso no domínio para gerenciar corretamente o acesso de segurança. Se você não configurou controladores de domínio, considere implantar os Serviços de Domínio Microsoft Entra. Ao usar o recurso de associação de domínio, certifique-se de que os nomes de máquina não excedam o limite de 15 caracteres.
Nota
Em alguns ambientes, há um requisito de conectividade local ou conjuntos de dados compartilhados entre ambientes SAS locais e hospedados pelo Azure. Nessas situações, é altamente recomendável implantar um controlador de domínio no Azure.
A floresta dos Serviços de Domínio Microsoft Entra cria usuários que podem se autenticar em dispositivos Microsoft Entra, mas não em recursos locais e vice-versa.
Origens de dados
As soluções SAS geralmente acessam dados de vários sistemas. Estas fontes de dados dividem-se em duas categorias:
- Conjuntos de dados SAS, que o SAS armazena
SASDATA
na pasta - Bancos de dados, nos quais o SAS geralmente coloca uma carga pesada
Para o melhor desempenho:
- Posicione as fontes de dados o mais próximo possível da infraestrutura SAS.
- Limite o número de saltos de rede e dispositivos entre fontes de dados e infraestrutura SAS.
Nota
Se não for possível mover fontes de dados para perto da infraestrutura SAS, evite executar análises nelas. Em vez disso, execute processos de extração, transformação, carregamento (ETL) primeiro e analise depois. Adote a mesma abordagem com fontes de dados que estão sob estresse.
Armazenamento remoto permanente para dados SAS
O SAS e a Microsoft testaram uma série de plataformas de dados que você pode usar para hospedar conjuntos de dados SAS. Os blogs SAS documentam os resultados em detalhes, incluindo características de desempenho. Os testes incluem as seguintes plataformas:
- Sycomp Storage Alimentado pelo IBM Spectrum Scale, que usa o General Parallel File System (GPFS)
- Azure Managed Lustre, que fornece o sistema de arquivos paralelo Lustre
- Azure NetApp Files, que suporta protocolos de armazenamento de ficheiros NFS
- Azure Files premium, que é um serviço de compartilhamento de arquivos que dá suporte ao protocolo NFS
O SAS oferece scripts de teste de desempenho para as arquiteturas Viya e Grid. Os fóruns SAS fornecem documentação sobre testes com scripts nessas plataformas.
Sycomp Storage Alimentado pelo IBM Spectrum Scale (GPFS)
Para obter informações sobre como o Sycomp Storage Fueled by IBM Spectrum Scale atende às expectativas de desempenho, consulte Análise SAS do Sycomp for SAS Grid.
Para o dimensionamento, a Sycomp faz as seguintes recomendações:
- Forneça um nó de escala GPFS por oito núcleos com uma configuração de 150 MBps por núcleo.
- Use um mínimo de cinco unidades P30 por instância.
Azure Managed Lustre
O Azure Managed Lustre é um sistema de ficheiros gerido criado para cargas de trabalho de computação de alto desempenho (HPC) e IA. O Managed Lustre pode executar cargas de trabalho SAS 9 e Viya em paralelo. Para otimizar o desempenho do seu sistema de arquivos, siga estas recomendações:
Ao implantar o Managed Lustre, execute o ajuste em todos os nós do cliente para aumentar a readahead do cliente Lustre e otimizar a simultaneidade para padrões de E/S SAS. Execute o seguinte comando para executar esse ajuste:
lctl set_param mdc.*.max_rpcs_in_flight=128 osc.*.max_pages_per_rpc=16M osc.*.max_rpcs_in_flight=16 osc.*.max_dirty_mb=1024 llite.*.max_read_ahead_mb=2048 osc.*.checksums=0 llite.*.max_read_ahead_per_file_mb=256
Habilite a rede acelerada em todas as VMs SAS.
Para reduzir a latência da rede, coloque as VMs SAS na mesma zona de disponibilidade em que o Managed Lustre está implantado.
Camada premium do Azure Files
A camada premium do Azure Files é um serviço gerenciado que dá suporte ao protocolo NFS 4.1. Ele fornece um sistema de arquivos econômico, elástico, eficiente e compatível com POSIX. O IOPS e a taxa de transferência de compartilhamentos NFS são dimensionados com a capacidade provisionada. O SAS testou extensivamente a camada premium dos Arquivos do Azure e descobriu que o desempenho é mais do que suficiente para alimentar as instalações do SAS.
Você pode usar nconnect
para melhorar o desempenho. Essa opção de montagem distribui as solicitações de E/S por vários canais. Para obter mais informações, consulte Desempenho do NFS.
Ao usar um compartilhamento de arquivos do Azure NFS em Arquivos do Azure, considere os seguintes pontos:
- Ajuste a capacidade provisionada para atender aos requisitos de desempenho. O IOPS e a taxa de transferência de compartilhamentos NFS são dimensionados com a capacidade provisionada. Para obter mais informações, consulte Desempenho do NFS.
- Utilize o nConnect nos seus suportes com uma definição de utilização de canais paralelos para
nconnect=4
um desempenho ótimo. - Otimize as configurações de leitura antecipada para ser 15 vezes maior do
rsize
que ewsize
. Para a maioria das cargas de trabalho, recomendamos umrsize
ewsize
de 1 MB e umaread-ahead
configuração de 15 MB. Para obter mais informações, consulte Aumentar o tamanho de leitura antecipada.
Arquivos NetApp do Azure (NFS)
Os testes SAS validaram o desempenho da NetApp para o SAS Grid. Especificamente, o teste mostra que os Arquivos NetApp do Azure são uma opção de armazenamento primário viável para clusters de Grade SAS de até 32 núcleos físicos em várias máquinas. Quando otimizações fornecidas pela NetApp e recursos do Linux são usados, os Arquivos NetApp do Azure podem ser a opção principal para clusters de até 48 núcleos físicos em várias máquinas.
Considere os seguintes pontos ao usar este serviço:
- Os Arquivos NetApp do Azure funcionam bem com implantações do Viya. Não use Arquivos NetApp do Azure para o cache CAS no Viya, porque a taxa de transferência de gravação é inadequada. Se possível, use o disco efêmero local da VM.
- No SAS 9 Foundation com Grid 9.4, o desempenho dos Arquivos NetApp do Azure com SAS para
SASDATA
arquivos é bom para clusters de até 32 núcleos físicos. Isso aumenta para 48 núcleos quando o ajuste é aplicado. - Para garantir um bom desempenho, selecione pelo menos um nível de serviço de camada de armazenamento Premium ou Ultra ao implantar os Arquivos NetApp do Azure. Você pode escolher o nível de serviço padrão para volumes muito grandes. Considere começar com o nível Premium e mudar para Ultra ou Standard mais tarde. As alterações no nível de serviço podem ser feitas online, sem interrupções ou migrações de dados.
- O desempenho de leitura e de gravação diferem para os Arquivos NetApp do Azure. A taxa de transferência de gravação para SAS atinge limites de cerca de 1600 MiB/s, enquanto a taxa de transferência de leitura vai além disso, para cerca de 4500 MiB/s. Se você precisar de alta taxa de transferência de gravação contínua, os Arquivos NetApp do Azure podem não ser uma boa opção.
Ajuste de leitura antecipada do NFS
Para melhorar o desempenho da carga de trabalho SAS, é importante ajustar a configuração do read-ahead
kernel, que afeta a forma como os compartilhamentos NFS são montados. Quando a leitura antecipada está ativada, o kernel Linux pode solicitar blocos antes de qualquer E/S real pelo aplicativo. O resultado é uma taxa de transferência de leitura sequencial melhorada. A maioria das cargas de trabalho SAS lê muitos arquivos grandes para processamento posterior, portanto, o SAS se beneficia tremendamente de grandes buffers de leitura antecipada.
Com kernels Linux 5.4 ou posteriores, a leitura antecipada padrão mudou de 15 MB para 128 KB. O novo padrão reduz o desempenho de leitura para SAS. Para maximizar seu desempenho, aumente a configuração de leitura antecipada em suas VMs SAS Linux. A SAS e a Microsoft recomendam que você defina o read-ahead como sendo 15 vezes o rsize
e wsize
. Idealmente, o rsize
e wsize
são ambos de 1 MB, e o read-ahead
é de 15 MB.
Definir o read-ahead em uma máquina virtual é simples. Requer a adição de uma regra udev.
Para o Kubernetes, esse processo é mais complexo porque precisa ser feito no host e não no pod. O SAS fornece scripts para o Viya no AKS que definem automaticamente o valor de leitura antecipada na postagem. Para obter mais informações, consulte Usando compartilhamentos NFS Premium em Arquivos do Azure para SAS Viya no Kubernetes.
Outras origens de dados
As plataformas SAS suportam várias fontes de dados:
- Uma conta de Armazenamento do Azure Data Lake que usa um namespace hierárquico
- Azure Synapse Analytics
- Apache Hadoop e Hive no Azure HDInsight
- SQL Server
- SQL Server usando ODBC (Open Database Connectivity)
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
Segurança
A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.
A saída de suas cargas de trabalho SAS pode ser um dos ativos críticos da sua organização. A saída SAS fornece informações sobre eficiências internas e pode desempenhar um papel crítico em sua estratégia de relatórios. É importante, então, proteger o acesso à sua arquitetura SAS. Para atingir esse objetivo, use a autenticação segura e resolva as vulnerabilidades da rede. Use a criptografia para ajudar a proteger todos os dados que entram e saem da sua arquitetura.
O Azure fornece SAS usando um modelo de nuvem de infraestrutura como serviço (IaaS). A Microsoft cria proteções de segurança no serviço nos seguintes níveis:
- Datacenter físico
- Rede física
- Anfitrião físico
- Hipervisor
Avalie cuidadosamente os serviços e tecnologias selecionados para as áreas acima do hipervisor, como o sistema operacional convidado para SAS. Certifique-se de fornecer os controles de segurança adequados para sua arquitetura.
Atualmente, o SAS não suporta totalmente o Microsoft Entra ID. Para autenticação na camada de visualização para SAS, você pode usar o Microsoft Entra ID. Mas para autorização de back-end, use uma estratégia semelhante à autenticação local. Ao gerenciar recursos IaaS, você pode usar a ID do Microsoft Entra para autenticação e autorização no portal do Azure. Ao usar os Serviços de Domínio do Microsoft Entra, não é possível autenticar contas de convidado. As tentativas de login do convidado falharão.
Use grupos de segurança de rede para filtrar o tráfego de rede de e para recursos em sua rede virtual. Com esses grupos, você pode definir regras que concedem ou negam acesso aos seus serviços SAS. Exemplos incluem:
- Dando acesso às portas de trabalho do CAS a partir de intervalos de endereços IP locais.
- Bloquear o acesso aos serviços SAS a partir da Internet.
Você pode usar o Azure Disk Encryption para criptografia dentro do sistema operacional. Esta solução usa o recurso DM-Crypt do Linux. Mas, no momento, não recomendamos o uso da Criptografia de Disco do Azure. Ele pode degradar gravemente o desempenho, especialmente quando você usa SASWORK
arquivos localmente.
A criptografia do lado do servidor (SSE) do Armazenamento em Disco do Azure protege seus dados. Também ajuda a cumprir os compromissos organizacionais de segurança e conformidade. Com os discos gerenciados do Azure, o SSE criptografa os dados em repouso ao mantê-los na nuvem. Esse comportamento se aplica por padrão ao sistema operacional e aos discos de dados. Você pode usar chaves gerenciadas pela plataforma ou suas próprias chaves para criptografar seu disco gerenciado.
Proteja a sua infraestrutura
Controle o acesso aos recursos do Azure que implementa. Cada assinatura do Azure tem uma relação de confiança com um locatário do Microsoft Entra. Utilize o controlo de acesso baseado em funções do Azure (RBAC do Azure) para conceder aos utilizadores na sua organização as permissões adequadas aos recursos do Azure. Conceda acesso ao atribuir funções do Azure a utilizadores ou grupos num determinado âmbito. O âmbito pode ser uma subscrição, um grupo de recursos ou um único recurso. Certifique-se de auditar todas as alterações na infraestrutura.
Gerencie o acesso remoto às suas VMs por meio do Azure Bastion. Não exponha nenhum destes componentes à Internet:
- VMs
- Portas SSH (Secure Shell Protocol)
- Portas RDP (Remote Desktop Protocol)
Implementar este cenário
É melhor implantar cargas de trabalho usando um processo de infraestrutura como código (IaC). As cargas de trabalho SAS podem ser sensíveis a configurações incorretas que geralmente ocorrem em implantações manuais e reduzem a produtividade.
Ao criar seu ambiente, consulte o material de referência de início rápido em CoreCompete SAS 9 ou Viya no Azure.
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Principais autores:
- Roeland Nieuwenhuis - Brasil | Arquiteto Chefe
- David Baumgarten - Brasil | Arquiteto Principal
Outros contribuidores:
- Drew Furgiuele - Brasil | Arquiteto Sénior
Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.
Próximos passos
Para obter ajuda para começar, consulte os seguintes recursos:
- Implementar uma rede híbrida segura
- VMs da série Edsv5
- VMs da série Ebsv5
- VMs da série Lsv3
- Grupos de colocação de proximidade
- Zonas de disponibilidade do Azure
- Melhorar o desempenho do compartilhamento de arquivos do Azure NFS
Para obter ajuda com o processo de automação, consulte os seguintes modelos fornecidos pelo SAS: