Perspetiva do Azure Well-Architected Framework em Arquivos do Azure
O Azure Files é uma solução de armazenamento de arquivos da Microsoft para a nuvem. O Azure Files fornece compartilhamentos de arquivos SMB (bloco de mensagens do servidor) e NFS (sistema de arquivos de rede) que você pode montar em clientes na nuvem, no local ou em ambos. Você também pode usar a Sincronização de Arquivos do Azure para armazenar em cache compartilhamentos de arquivos SMB em um servidor Windows local e colocar arquivos usados com pouca frequência na nuvem.
Este artigo pressupõe que, como arquiteto, você revisou as opções de armazenamento e escolheu Arquivos do Azure como o serviço de armazenamento no qual executar suas cargas de trabalho. As diretrizes neste artigo fornecem recomendações de arquitetura mapeadas para os princípios dos pilares do Azure Well-Architected Framework.
Importante
Como usar este guia
Cada seção tem uma lista de verificação de projeto que apresenta áreas arquitetônicas de preocupação, juntamente com estratégias de projeto localizadas para o escopo da tecnologia.
Também estão incluídas recomendações sobre os recursos tecnológicos que podem ajudar a implementar essas estratégias. As recomendações não representam uma lista exaustiva de todas as configurações disponíveis para os Arquivos do Azure e suas dependências. Em vez disso, eles listam as principais recomendações mapeadas para as perspetivas de design. Use as recomendações para criar sua prova de conceito ou otimizar seus ambientes existentes.
Fiabilidade
O objetivo do pilar Confiabilidade é fornecer funcionalidade contínua, construindo resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.
Os princípios de design de confiabilidade fornecem uma estratégia de projeto de alto nível aplicada a componentes individuais, cargas de trabalho, fluxos do sistema e ao sistema como um todo.
Lista de verificação de estruturação
Inicie sua estratégia de design com base na lista de verificação de revisão de projeto para Confiabilidade.
Usar análise de modo de falha: minimize os pontos de falha considerando dependências internas, como a disponibilidade de redes virtuais, o Cofre de Chaves do Azure, a Rede de Entrega de Conteúdo do Azure ou os pontos de extremidade da Porta da Frente do Azure. Podem ocorrer falhas se precisar de credenciais para aceder aos Ficheiros do Azure e as credenciais desaparecerem no Cofre da Chave. Ou você pode ter uma falha se suas cargas de trabalho usarem um ponto de extremidade baseado em uma rede de entrega de conteúdo ausente. Nesses casos, talvez seja necessário configurar suas cargas de trabalho para se conectar a um ponto de extremidade alternativo. Para obter informações gerais sobre a análise do modo de falha, consulte Recomendações para executar a análise do modo de falha.
Definir metas de confiabilidade e recuperação: revise os SLAs (contratos de nível de serviço) do Azure. Derive o objetivo de nível de serviço (SLO) para a conta de armazenamento. Por exemplo, a configuração de redundância escolhida pode afetar o SLO. Considere o efeito de uma interrupção regional, o potencial de perda de dados e o tempo necessário para restaurar o acesso após uma interrupção. Considere também a disponibilidade de dependências internas que você identificou como parte de sua análise de modo de falha.
Configurar redundância de dados: para máxima durabilidade, escolha uma configuração que copie dados entre zonas de disponibilidade ou regiões globais. Para máxima disponibilidade, escolha uma configuração que permita aos clientes ler dados da região secundária durante uma interrupção da região primária.
Aplicativos de design: projete seus aplicativos para mudar perfeitamente para que leiam dados de uma região secundária se a região primária não estiver disponível. Esta consideração de projeto só se aplica a configurações de armazenamento com redundância geográfica (GRS) e armazenamento com redundância de zona geográfica (GZRS). Projete seus aplicativos para lidar adequadamente com interrupções, o que reduz o tempo de inatividade para os clientes.
Explore os recursos para ajudá-lo a atingir suas metas de recuperação: Torne os arquivos restauráveis para que você possa recuperar arquivos corrompidos, editados ou excluídos.
Crie um plano de recuperação: considere recursos de proteção de dados, operações de backup e restauração ou procedimentos de failover. Prepare-se para possíveis perdas e inconsistências de dados, bem como para o tempo e o custo do failover. Para obter mais informações, consulte Recomendações para projetar uma estratégia de recuperação de desastres.
Monitorar possíveis problemas de disponibilidade: assine o painel de Integridade do Serviço do Azure para monitorar possíveis problemas de disponibilidade. Use métricas de armazenamento e logs de diagnóstico no Azure Monitor para investigar alertas.
Recomendações
| Recomendação | Benefício |
|---|---|
| Configure sua conta de armazenamento para redundância. Para máxima disponibilidade e durabilidade, configure sua conta com armazenamento com redundância de zona (ZRS), GRS ou GZRS. As regiões limitadas do Azure suportam o ZRS para partilhas de ficheiros padrão e premium . Apenas contas SMB padrão suportam GRS e GZRS. As ações Premium SMB e NFS não suportam GRS e GZRS. Os Arquivos do Azure não oferecem suporte ao armazenamento com redundância geográfica de acesso de leitura (RA-GRS) ou ao armazenamento com redundância de zona geográfica de acesso de leitura (RA-GZRS). Se você configurar uma conta de armazenamento para usar RA-GRS ou RA-GZRS, os compartilhamentos de arquivos serão configurados e cobrados como GRS ou GZRS. |
A redundância protege seus dados contra falhas inesperadas. As opções de configuração ZRS e GZRS são replicadas em várias zonas de disponibilidade e permitem que os aplicativos continuem lendo dados durante uma interrupção. Para obter mais informações, consulte Durabilidade e disponibilidade por cenário de interrupção e Parâmetros de durabilidade e disponibilidade. |
| Antes de iniciar um failover ou failback, verifique o valor da última propriedade de tempo de sincronização para avaliar o potencial de perda de dados. Esta recomendação aplica-se apenas às configurações GRS e GZRS. | Esta propriedade ajuda-o a estimar a quantidade de dados que poderá perder se iniciar um failover de conta. Todos os dados e metadados gravados antes da última hora de sincronização estão disponíveis na região secundária, mas você pode perder dados e metadados gravados após a última hora de sincronização porque não são gravados na região secundária. |
| Como parte de sua estratégia de backup e recuperação, habilite a exclusão suave e use instantâneos para restauração point-in-time. Você pode usar o Backup do Azure para fazer backup de seus compartilhamentos de arquivos SMB. Você também pode usar a Sincronização de Arquivos do Azure para fazer backup de compartilhamentos de arquivos SMB locais em um compartilhamento de arquivos do Azure. O Backup do Azure também permite que você faça um backup em cofre (visualização) dos Arquivos do Azure para proteger seus dados contra ataques de ransomware ou perda de dados de origem devido a um ator mal-intencionado ou administrador não autorizado. Usando o backup em cofre, o Backup do Azure copia e armazena dados no cofre dos Serviços de Recuperação. Isso cria uma cópia externa dos dados que você pode reter por até 99 anos. O Backup do Azure cria e gerencia os pontos de recuperação de acordo com o agendamento e a retenção definidos na política de backup. Mais informações. |
A exclusão suave funciona em um nível de compartilhamento de arquivos para proteger os compartilhamentos de arquivos do Azure contra exclusão acidental. A restauração point-in-time protege contra exclusão acidental ou corrupção porque você pode restaurar compartilhamentos de arquivos para um estado anterior. Para obter mais informações, consulte Visão geral da proteção de dados. |
Segurança
O objetivo do pilar Segurança é fornecer garantias de confidencialidade, integridade e disponibilidade para a carga de trabalho.
Os princípios de design de segurança fornecem uma estratégia de design de alto nível para atingir essas metas, aplicando abordagens ao projeto técnico de sua configuração de armazenamento de arquivos.
Os requisitos e recomendações de segurança variam dependendo se sua carga de trabalho usa o protocolo SMB ou NFS para acessar seus compartilhamentos de arquivos. Portanto, as seções a seguir têm listas de verificação de design separadas e recomendações para compartilhamentos de arquivos SMB e NFS.
Como prática recomendada, você deve manter os compartilhamentos de arquivos SMB e NFS em contas de armazenamento separadas, pois eles têm requisitos de segurança diferentes. Use essa abordagem para fornecer sua carga de trabalho com forte segurança e alta flexibilidade.
Lista de verificação de design para compartilhamentos de arquivos SMB
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Segurança. Identificar vulnerabilidades e controles para melhorar a postura de segurança. Alargar a estratégia de modo a incluir mais abordagens, conforme necessário.
Revise a linha de base de segurança do Armazenamento do Azure: para começar, revise a linha de base de segurança do Armazenamento.
Considere o uso de controles de rede para restringir o tráfego de entrada e saída: você pode se sentir confortável em expor sua conta de armazenamento à Internet pública sob certas condições, como se usar a autenticação baseada em identidade para conceder acesso a compartilhamentos de arquivos. Mas recomendamos que você use controles de rede para conceder o nível mínimo necessário de acesso a usuários e aplicativos. Para obter mais informações, consulte Como abordar a segurança de rede para sua conta de armazenamento.
Reduza a superfície de ataque: use criptografia em trânsito e impeça o acesso por conexões não seguras (HTTP) para reduzir a superfície de ataque. Exija que os clientes enviem e recebam dados usando a versão mais recente do protocolo TLS (Transport Layer Security).
Minimize o uso de chaves de conta de armazenamento: a autenticação baseada em identidade oferece segurança superior em comparação com o uso de uma chave de conta de armazenamento. Mas você deve usar uma chave de conta de armazenamento para obter controle administrativo total de um compartilhamento de arquivos, incluindo a capacidade de assumir a propriedade de um arquivo. Conceda às entidades de segurança apenas as permissões necessárias de que necessitam para executar as suas tarefas.
Proteja informações confidenciais: proteja informações confidenciais, como chaves de conta de armazenamento e senhas. Não recomendamos que você use essas formas de autorização, mas se o fizer, certifique-se de rodá-las, expirar e armazená-las com segurança.
Detetar ameaças: habilite o Microsoft Defender for Storage para detetar tentativas potencialmente prejudiciais de acessar ou explorar seus compartilhamentos de arquivos do Azure por meio de protocolos SMB ou FileREST. Os administradores de assinaturas recebem alertas por e-mail com detalhes de atividades suspeitas e recomendações sobre como investigar e remediar ameaças. O Defender for Storage não oferece suporte a recursos antivírus para compartilhamentos de arquivos do Azure. Se você usa o Defender for Storage, os compartilhamentos de arquivos com transações pesadas incorrem em custos significativos, portanto, considere desativar o Defender for Storage para contas de armazenamento específicas.
Recomendações para compartilhamentos de arquivos SMB
| Recomendação | Benefício |
|---|---|
| Aplique um bloqueio do Azure Resource Manager na conta de armazenamento. | Bloqueie a conta para evitar a exclusão acidental ou maliciosa da conta de armazenamento, o que pode causar perda de dados. |
| Abra a porta TCP 445 de saída ou configure um gateway VPN ou uma conexão do Azure ExpressRoute para clientes fora do Azure acessarem o compartilhamento de arquivos. | O SMB 3.x é um protocolo seguro para a Internet, mas talvez você não tenha a capacidade de alterar as políticas organizacionais ou de ISP. Você pode usar um gateway VPN ou uma conexão ExpressRoute como uma opção alternativa. |
| Se você abrir a porta 445, certifique-se de desativar o SMBv1 em clientes Windows e Linux . O Azure Files não oferece suporte ao SMB 1, mas você ainda deve desativá-lo em seus clientes. | SMB 1 é um protocolo desatualizado, ineficiente e inseguro. Desative-o em clientes para melhorar sua postura de segurança. |
| Considere desativar o acesso à rede pública à sua conta de armazenamento. Habilite o acesso à rede pública somente se os clientes e serviços SMB externos ao Azure exigirem acesso à sua conta de armazenamento. Se você desabilitar o acesso à rede pública, crie um ponto de extremidade privado para sua conta de armazenamento. Aplicam-se taxas padrão de processamento de dados para terminais privados. Um ponto de extremidade privado não bloqueia conexões com o ponto de extremidade público. Você ainda deve desativar o acesso à rede pública, conforme descrito anteriormente. Se você não precisar de um endereço IP estático para seu compartilhamento de arquivos e quiser evitar o custo de pontos de extremidade privados, poderá restringir o acesso de ponto de extremidade público a redes virtuais e endereços IP específicos. |
O tráfego de rede viaja pela rede de backbone da Microsoft em vez da Internet pública, o que elimina a exposição ao risco da Internet pública. |
| Habilite regras de firewall que limitam o acesso a redes virtuais específicas. Comece com acesso zero e, em seguida, forneça metódica e incrementalmente a menor quantidade de acesso necessária para clientes e serviços. | Minimize o risco de criar aberturas para atacantes. |
| Quando possível, use a autenticação baseada em identidade com a criptografia de tíquete Kerberos AES-256 para autorizar o acesso a compartilhamentos de arquivos SMB Azure. | Use a autenticação baseada em identidade para diminuir a possibilidade de um invasor usar uma chave de conta de armazenamento para acessar compartilhamentos de arquivos. |
| Se você usar chaves de conta de armazenamento, armazene-as no Cofre da Chave e certifique-se de gerá-las novamente periodicamente. Você pode impedir completamente o acesso da chave da conta de armazenamento ao compartilhamento de arquivos removendo o NTLMv2 das configurações de segurança SMB do compartilhamento. Mas você geralmente não deve remover o NTLMv2 das configurações de segurança SMB do compartilhamento porque os administradores ainda precisam usar a chave da conta para algumas tarefas. |
Use o Cofre da Chave para recuperar chaves em tempo de execução em vez de salvá-las com seu aplicativo. O Key Vault também facilita a rotação das chaves sem interrupção das aplicações. Alterne periodicamente as chaves da conta para reduzir o risco de expor seus dados a ataques mal-intencionados. |
| Na maioria dos casos, você deve habilitar a opção Transferência segura necessária em todas as suas contas de armazenamento para habilitar a criptografia em trânsito para compartilhamentos de arquivos SMB. Não habilite essa opção se precisar permitir que clientes muito antigos acessem o compartilhamento. Se você desabilitar a transferência segura, certifique-se de usar controles de rede para restringir o tráfego. |
Essa configuração garante que todas as solicitações feitas na conta de armazenamento ocorram em conexões seguras (HTTPS). Todas as solicitações feitas por HTTP falharão. |
| Configure sua conta de armazenamento para que o TLS 1.2 seja a versão mínima para os clientes enviarem e receberem dados. | O TLS 1.2 é mais seguro e rápido do que o TLS 1.0 e 1.1, que não suportam algoritmos criptográficos modernos e pacotes de cifras. |
| Use apenas a versão mais recente do protocolo SMB suportado (atualmente 3.1.1.) e use apenas AES-256-GCM para criptografia de canal SMB. Os Arquivos do Azure expõem configurações que você pode usar para alternar o protocolo SMB e torná-lo mais compatível ou mais seguro, dependendo dos requisitos da sua organização. Por padrão, todas as versões do SMB são permitidas. No entanto, o SMB 2.1 não será permitido se você habilitar Exigir transferência segura porque o SMB 2.1 não oferece suporte à criptografia de dados em trânsito. Se você restringir essas configurações a um alto nível de segurança, alguns clientes talvez não consigam se conectar ao compartilhamento de arquivos. |
O SMB 3.1.1, lançado com o Windows 10, contém importantes atualizações de segurança e desempenho. AES-256-GCM oferece criptografia de canal mais segura. |
Lista de verificação de design para compartilhamentos de arquivos NFS
Revise a linha de base de segurança para Armazenamento: para começar, revise a linha de base de segurança para Armazenamento.
Compreender os requisitos de segurança da sua organização: as partilhas de ficheiros do Azure NFS suportam apenas clientes Linux que utilizam o protocolo NFSv4.1, com suporte para a maioria das funcionalidades da especificação do protocolo 4.1. Alguns recursos de segurança, como autenticação Kerberos, listas de controle de acesso (ACLs) e criptografia em trânsito, não são suportados.
Use a segurança e os controles no nível da rede para restringir o tráfego de entrada e saída: a autenticação baseada em identidade não está disponível para compartilhamentos de arquivos do Azure NFS, portanto, você deve usar a segurança e os controles no nível da rede para conceder o nível mínimo necessário de acesso a usuários e aplicativos. Para obter mais informações, consulte Como abordar a segurança de rede para sua conta de armazenamento.
Recomendações para compartilhamentos de arquivos NFS
| Recomendação | Benefício |
|---|---|
| Aplique um bloqueio do Resource Manager na conta de armazenamento. | Bloqueie a conta para evitar a exclusão acidental ou maliciosa da conta de armazenamento, o que pode causar perda de dados. |
| Você deve abrir a porta 2049 nos clientes nos quais deseja montar seu compartilhamento NFS. | Abra a porta 2049 para permitir que os clientes se comuniquem com o compartilhamento de arquivos do Azure NFS. |
| Os compartilhamentos de arquivos do Azure NFS só são acessíveis por meio de redes restritas. Portanto, você deve criar um ponto de extremidade privado para sua conta de armazenamento ou restringir o acesso público ao ponto de extremidade a redes virtuais e endereços IP selecionados. Recomendamos que você crie um ponto de extremidade privado. Você deve configurar a segurança no nível da rede para compartilhamentos NFS porque os Arquivos do Azure não oferecem suporte à criptografia em trânsito com o protocolo NFS. Você precisa desabilitar a configuração Exigir transferência segura na conta de armazenamento para usar compartilhamentos de arquivos do Azure NFS. As taxas padrão de processamento de dados aplicam-se a terminais privados. Se você não precisar de um endereço IP estático para seu compartilhamento de arquivos e quiser evitar o custo de pontos de extremidade privados, poderá restringir o acesso público ao ponto final. |
O tráfego de rede viaja pela rede de backbone da Microsoft em vez da Internet pública, o que elimina a exposição ao risco da Internet pública. |
| Considere não permitir o acesso à chave da conta de armazenamento no nível da conta de armazenamento. Você não precisa desse acesso para montar compartilhamentos de arquivos NFS. Mas tenha em mente que o controle administrativo total de um compartilhamento de arquivos, incluindo a capacidade de assumir a propriedade de um arquivo, requer o uso de uma chave de conta de armazenamento. | Não permita o uso de chaves de conta de armazenamento para tornar sua conta de armazenamento mais segura. |
Otimização de Custos
A Otimização de Custos concentra-se na deteção de padrões de gastos, priorizando investimentos em áreas críticas e otimizando em outras para atender ao orçamento da organização e, ao mesmo tempo, atender aos requisitos de negócios.
Os princípios de design de otimização de custos fornecem uma estratégia de design de alto nível para alcançar esses objetivos e fazer compensações conforme necessário no projeto técnico relacionado ao armazenamento de arquivos e seu ambiente.
Lista de verificação de estruturação
Inicie sua estratégia de design com base na lista de verificação de revisão de projeto para otimização de custos para investimentos. Ajuste o design para que a carga de trabalho esteja alinhada com o orçamento alocado para a carga de trabalho. Seu design deve usar os recursos certos do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.
Decida se a sua carga de trabalho requer o desempenho de partilhas de ficheiros premium (SSD Premium do Azure) ou se o armazenamento HDD padrão do Azure é suficiente: determine o tipo de conta de armazenamento e o modelo de faturação com base no tipo de armazenamento de que necessita. Se você precisar de grandes quantidades de operações de entrada/saída por segundo (IOPS), velocidades de transferência de dados extremamente rápidas ou latência muito baixa, escolha compartilhamentos de arquivos premium do Azure. Os compartilhamentos de arquivos do Azure NFS só estão disponíveis na camada premium. As partilhas de ficheiros NFS e SMB têm o mesmo preço no nível premium.
Crie uma conta de armazenamento para seu compartilhamento de arquivos e escolha um nível de redundância: escolha uma conta padrão (GPv2) ou premium (FileStorage). O nível de redundância escolhido afeta o custo. Quanto mais redundância, maior o custo. O armazenamento com redundância local (LRS) é o mais acessível. O GRS só está disponível para compartilhamentos de arquivos SMB padrão. Os compartilhamentos de arquivos padrão mostram apenas as informações de transação no nível da conta de armazenamento, portanto, recomendamos que você implante apenas um compartilhamento de arquivos em cada conta de armazenamento para garantir total visibilidade de faturamento.
Entenda como sua fatura é calculada: os compartilhamentos de arquivos padrão do Azure fornecem um modelo de pagamento conforme o uso. As ações Premium usam um modelo provisionado no qual você especifica e paga por uma determinada quantidade de capacidade, IOPS e taxa de transferência antecipadamente. No modelo de pagamento conforme o uso, os medidores rastreiam a quantidade de dados armazenados na conta, ou a capacidade, e o número e o tipo de transações com base no uso desses dados. O modelo de pagamento conforme o uso pode ser eficiente em termos de custos porque paga apenas pelo que utiliza. Com o modelo de pagamento conforme o uso, você não precisa provisionar ou desprovisionar o armazenamento com base em requisitos de desempenho ou flutuações de demanda.
Mas você pode achar difícil planejar o armazenamento como parte de um processo de orçamento, porque o consumo do usuário final aumenta os custos. Com o modelo provisionado, as transações não afetam o faturamento, portanto, os custos são fáceis de prever. Mas você paga pela capacidade de armazenamento provisionada, quer a use ou não. Para obter um detalhamento detalhado de como os custos são calculados, consulte Compreender a cobrança dos Arquivos do Azure.
Estimar o custo de capacidade e operações: você pode usar a calculadora de preços do Azure para modelar os custos associados ao armazenamento, entrada e saída de dados. Compare o custo associado a várias regiões, tipos de conta e configurações de redundância. Para obter mais informações, consulte Preços dos Arquivos do Azure.
Escolha a camada de acesso mais econômica: os compartilhamentos de arquivos padrão do Azure SMB oferecem três camadas de acesso: transação otimizada, quente e legal. Todos os três níveis são armazenados no mesmo hardware de armazenamento padrão. A principal diferença para estes três níveis são os seus dados a preços de armazenamento em repouso, que são mais baixos em níveis mais frios, e os preços de transação, que são mais elevados em níveis mais frios. Para obter mais informações, consulte Diferenças em camadas padrão.
Decida de quais serviços de valor agregado você precisa: o Arquivo do Azure dá suporte a integrações com serviços de valor agregado, como Backup, Sincronização de Arquivos do Azure e Defender for Storage. Essas soluções têm seus próprios custos de licenciamento e produto, mas geralmente são consideradas parte do custo total de propriedade do armazenamento de arquivos. Considere outros aspetos de custo se você usar o Azure File Sync.
Criar guarda-corpos: crie orçamentos com base em assinaturas e grupos de recursos. Use políticas de governança para restringir tipos de recursos, configurações e locais. Além disso, use o controle de acesso baseado em função (RBAC) para bloquear ações que podem levar a gastos excessivos.
Monitore os custos: garanta que os custos permaneçam dentro dos orçamentos, compare os custos com as previsões e veja onde ocorrem gastos excessivos. Você pode usar o painel de análise de custos no portal do Azure para monitorar custos. Você também pode exportar dados de custo para uma conta de armazenamento e usar o Excel ou o Power BI para analisar esses dados.
Monitore o uso: monitore continuamente os padrões de uso para detetar contas de armazenamento e compartilhamentos de arquivos não utilizados ou subutilizados. Verifique se há aumentos inesperados na capacidade, o que pode indicar que você está coletando vários arquivos de log ou arquivos excluídos por software. Desenvolva uma estratégia para excluir arquivos ou mover arquivos para camadas de acesso mais econômicas.
Recomendações
| Recomendação | Benefício |
|---|---|
| Ao migrar para compartilhamentos de arquivos padrão do Azure, recomendamos que você inicie na camada otimizada para transações durante a migração inicial. O uso da transação durante a migração normalmente não é indicativo do uso normal da transação. Essa consideração não se aplica a compartilhamentos de arquivos premium porque o modelo de faturamento provisionado não cobra pelas transações. | A migração para os Arquivos do Azure é uma carga de trabalho temporária e com muitas transações. Otimize o preço para cargas de trabalho de alta transação para ajudar a reduzir os custos de migração. |
| Depois de migrar sua carga de trabalho, se você usar compartilhamentos de arquivos padrão, escolha cuidadosamente a camada de acesso mais econômica para seu compartilhamento de arquivos: quente, legal ou transação otimizada. Depois de operar por alguns dias ou semanas com uso regular, você pode inserir suas contagens de transações na calculadora de preços para descobrir qual nível melhor se adapta à sua carga de trabalho. A maioria dos clientes deve escolher legal, mesmo que eles usem ativamente o compartilhamento. Mas você deve examinar cada compartilhamento e comparar o saldo da capacidade de armazenamento com as transações para determinar seu nível. Se os custos de transação representarem uma porcentagem significativa da sua fatura, a economia resultante do uso da camada de acesso legal geralmente compensa esse custo e minimiza o custo total total. Recomendamos que você mova compartilhamentos de arquivos padrão entre camadas de acesso somente quando necessário para otimizar as alterações no padrão de carga de trabalho. Cada movimento incorre em transações. Para obter mais informações, consulte Alternando entre camadas padrão. |
Selecione a camada de acesso apropriada para compartilhamentos de arquivos padrão para reduzir consideravelmente seus custos. |
| Se você usar ações premium, certifique-se de provisionar capacidade e desempenho mais do que suficientes para sua carga de trabalho, mas não tanto que incorra em custos desnecessários. Recomendamos o provisionamento excessivo de duas a três vezes. Você pode dimensionar dinamicamente os compartilhamentos de arquivos premium para cima ou para baixo, dependendo do seu armazenamento e das características de desempenho de entrada/saída (IO). | Superprovisionar compartilhamentos de arquivos premium em um valor razoável para ajudar a manter o desempenho e levar em conta o crescimento futuro e os requisitos de desempenho. |
| Use as reservas de Arquivos do Azure, também conhecidas como instâncias reservadas, para confirmar previamente o uso do armazenamento e obter um desconto. Use reservas para cargas de trabalho de produção ou cargas de trabalho de desenvolvimento/teste com pegadas consistentes. Para obter mais informações, consulte Otimizar custos com reservas de armazenamento. As reservas não incluem taxas de transação, largura de banda, transferência de dados e armazenamento de metadados. |
Reservas de três anos podem oferecer um desconto de até 36% no custo total de armazenamento de arquivos. As reservas não afetam o desempenho. |
| Monitore o uso de snapshots. Os snapshots incorrem em cobranças, mas são cobrados com base no uso diferencial de armazenamento de cada snapshot. Você paga apenas pela diferença em cada instantâneo. Para obter mais informações, consulte Instantâneos. A Sincronização de Ficheiros do Azure tira instantâneos ao nível da partilha e ao nível do ficheiro como parte da utilização regular, o que pode aumentar a sua fatura total dos Ficheiros do Azure. |
Os instantâneos diferenciais garantem que você não seja cobrado várias vezes pelo armazenamento dos mesmos dados. No entanto, você ainda deve monitorar o uso de instantâneos para ajudar a reduzir sua fatura do Azure Files. |
| Defina períodos de retenção para o recurso de exclusão suave, especialmente quando você começar a usá-lo pela primeira vez. Considere começar com um curto período de retenção para entender melhor como o recurso afeta sua fatura. O período mínimo de retenção recomendado é de sete dias. Quando você exclui suavemente compartilhamentos de arquivos padrão e premium, eles são cobrados como capacidade usada em vez de capacidade provisionada. E os compartilhamentos de arquivos premium são cobrados na taxa de instantâneo enquanto estiverem no estado de exclusão suave. Os compartilhamentos de arquivos padrão são cobrados na taxa normal enquanto estiverem no estado de exclusão suave. |
Defina um período de retenção para que os arquivos excluídos por software não se acumulem e aumentem o custo da capacidade. Após o período de retenção configurado, os dados excluídos permanentemente não incorrem em custo. |
Excelência Operacional
A Excelência Operacional concentra-se principalmente em procedimentos para práticas de desenvolvimento, observabilidade e gerenciamento de releases.
Os princípios de design de Excelência Operacional fornecem uma estratégia de design de alto nível para alcançar essas metas para os requisitos operacionais da carga de trabalho.
Lista de verificação de estruturação
Inicie sua estratégia de projeto com base na lista de verificação de revisão de projeto para Excelência Operacional para definir processos de observabilidade, teste e implantação relacionados à sua configuração de armazenamento de arquivos.
Crie planos de manutenção e recuperação de emergência: considere recursos de proteção de dados, operações de backup e restauração e procedimentos de failover. Prepare-se para possíveis perdas e inconsistências de dados, bem como para o tempo e o custo do failover.
Monitore a integridade de sua conta de armazenamento: crie painéis de informações de armazenamento para monitorar métricas de disponibilidade, desempenho e resiliência. Configure alertas para identificar e resolver problemas no seu sistema antes que os seus clientes os percebam. Use as configurações de diagnóstico para rotear logs de recursos para um espaço de trabalho de Logs do Azure Monitor. Em seguida, você pode consultar logs para investigar alertas mais profundamente.
Revise periodicamente a atividade de compartilhamento de arquivos: a atividade de compartilhamento pode mudar ao longo do tempo. Mova compartilhamentos de arquivos padrão para camadas de acesso mais frias ou você pode provisionar ou desprovisionar capacidade para compartilhamentos premium. Ao mover compartilhamentos de arquivos padrão para uma camada de acesso diferente, você incorre em uma taxa de transação. Mova compartilhamentos de arquivos padrão somente quando necessário para reduzir sua fatura mensal.
Recomendações
| Recomendação | Benefício |
|---|---|
| Use a infraestrutura como código (IaC) para definir os detalhes de suas contas de armazenamento em modelos do Azure Resource Manager (modelos ARM), Bíceps ou Terraform. | Você pode usar seus processos de DevOps existentes para implantar novas contas de armazenamento e usar a Política do Azure para impor sua configuração. |
| Use as informações de armazenamento para acompanhar a integridade e o desempenho de suas contas de armazenamento. O Storage Insights fornece uma visão unificada das falhas, do desempenho, da disponibilidade e da capacidade de todas as suas contas de armazenamento. | Pode acompanhar o estado de funcionamento e o funcionamento de cada uma das suas contas. Crie facilmente painéis e relatórios que as partes interessadas podem usar para acompanhar a integridade de suas contas de armazenamento. |
| Use o Monitor para analisar métricas, como disponibilidade, latência e uso, e para criar alertas. | O Monitor fornece uma visão de disponibilidade, desempenho e resiliência para seus compartilhamentos de arquivos. |
Eficiência de Desempenho
A Eficiência de Desempenho consiste em manter a experiência do usuário mesmo quando há um aumento na carga por meio do gerenciamento de capacidade. A estratégia inclui dimensionar recursos, identificar e otimizar potenciais gargalos e otimizar para obter o máximo desempenho.
Os princípios de design de Eficiência de Desempenho fornecem uma estratégia de projeto de alto nível para atingir essas metas de capacidade em relação ao uso esperado.
Lista de verificação de estruturação
Inicie sua estratégia de design com base na lista de verificação de revisão de projeto para Eficiência de desempenho. Defina uma linha de base baseada em indicadores-chave de desempenho para sua configuração de armazenamento de arquivos.
Planejar a escala: entenda as metas de escalabilidade e desempenho para contas de armazenamento, Arquivos do Azure e Sincronização de Arquivos do Azure.
Compreenda os padrões de uso e do aplicativo para obter um desempenho previsível: determine a sensibilidade à latência, os requisitos de IOPS e taxa de transferência, a duração e a frequência da carga de trabalho e a paralelização da carga de trabalho. Use os Arquivos do Azure para aplicativos multithreaded para ajudá-lo a atingir os limites superiores de desempenho de um serviço. Se a maioria das solicitações for centrada em metadados, como createfile, openfile, closefile, queryinfo ou querydirectory, as solicitações criarão uma latência baixa que é maior do que as operações de leitura e gravação. Se você tiver esse problema, considere separar o compartilhamento de arquivos em vários compartilhamentos de arquivos dentro da mesma conta de armazenamento.
Escolha o tipo de conta de armazenamento ideal: se sua carga de trabalho exigir grandes quantidades de IOPS, velocidades de transferência de dados extremamente rápidas ou latência muito baixa, você deve escolher contas de armazenamento premium (FileStorage). Você pode usar uma conta v2 padrão de uso geral para a maioria das cargas de trabalho de compartilhamento de arquivos SMB. A principal compensação entre os dois tipos de conta de armazenamento é custo versus desempenho.
O tamanho do compartilhamento provisionado, como IOPS, saída e entrada, e os limites de arquivo único determinam o desempenho do compartilhamento premium. Para obter mais informações, consulte Noções básicas sobre provisionamento para compartilhamentos de arquivos premium. Os compartilhamentos de arquivos premium também oferecem créditos de intermitência como uma apólice de seguro se você precisar exceder temporariamente o limite de IOPS de linha de base de um compartilhamento de arquivos premium.
Crie contas de armazenamento nas mesmas regiões que conectam clientes para reduzir a latência: quanto mais longe você estiver do serviço Arquivos do Azure, maior será a latência e mais difícil será atingir os limites de escala de desempenho. Essa consideração é especialmente verdadeira quando você acessa Arquivos do Azure de ambientes locais. Se possível, certifique-se de que sua conta de armazenamento e seus clientes estejam colocalizados na mesma região do Azure. Otimize para clientes locais minimizando a latência da rede ou usando uma conexão de Rota Expressa para estender redes locais para a nuvem da Microsoft por meio de uma conexão privada.
Coletar dados de desempenho: monitore o desempenho da carga de trabalho, incluindo métricas de latência, disponibilidade e uso . Analise logs para diagnosticar problemas como tempos limite e limitação. Crie alertas para notificá-lo se um compartilhamento de arquivos estiver sendo limitado, prestes a ser limitado ou tiver alta latência.
Otimizar para implantações híbridas: se você usar a Sincronização de Arquivos do Azure, o desempenho da sincronização dependerá de muitos fatores: seu Windows Server e a configuração de disco subjacente, largura de banda de rede entre o servidor e o armazenamento do Azure, tamanho do arquivo, tamanho total do conjunto de dados e a atividade no conjunto de dados. Para medir o desempenho de uma solução baseada na Sincronização de Arquivos do Azure, determine o número de objetos, como arquivos e diretórios, que você processa por segundo.
Recomendações
| Recomendação | Benefício |
|---|---|
| Habilite o SMB Multichannel para compartilhamentos de arquivos SMB premium. O SMB Multichannel permite que um cliente SMB 3.1.1 estabeleça várias conexões de rede com um compartilhamento de arquivos SMB Azure. O SMB Multichannel só funciona quando o recurso está habilitado no lado do cliente (seu cliente) e no lado do serviço (Azure). Em clientes Windows, o SMB Multichannel está habilitado por padrão, mas você precisa habilitá-lo em sua conta de armazenamento. |
Aumente a taxa de transferência e as IOPS enquanto reduz o custo total de propriedade. Os benefícios de desempenho aumentam com o número de arquivos que distribuem a carga. |
| Use a opção de montagem do lado do cliente nconnect com compartilhamentos de arquivos do Azure NFS em clientes Linux. O Nconnect permite que você use mais conexões TCP entre o cliente e o serviço premium Arquivos do Azure para NFSv4.1. | Aumente o desempenho em escala e reduza o custo total de propriedade para compartilhamentos de arquivos NFS. |
| Verifique se sua conta de compartilhamento de arquivos ou armazenamento não está sendo limitada, o que pode resultar em alta latência, baixa taxa de transferência ou IOPS baixa. As solicitações são limitadas quando os limites de IOPS, entrada ou saída são atingidos. Para contas de armazenamento padrão, a limitação ocorre no nível da conta. Para compartilhamentos de arquivos premium, a limitação geralmente ocorre no nível de compartilhamento. |
Evite a limitação para fornecer a melhor experiência possível ao cliente. |
Políticas do Azure
O Azure fornece um extenso conjunto de políticas internas relacionadas aos Arquivos do Azure. Algumas das recomendações anteriores podem ser auditadas por meio de políticas do Azure. Por exemplo, pode verificar se:
- Somente solicitações de conexões seguras, como HTTPS, são aceitas.
- A autorização de chave compartilhada está desabilitada.
- As regras de firewall de rede são aplicadas à conta.
- As configurações de diagnóstico dos Arquivos do Azure são definidas para transmitir logs de recursos para um espaço de trabalho de Logs do Azure Monitor.
- O acesso à rede pública está desativado.
- A Sincronização de Ficheiros do Azure está configurada com pontos de extremidade privados para utilizar zonas DNS privadas.
Para obter uma governança abrangente, revise as definições internas da Política do Azure para armazenamento e outras políticas que podem afetar a segurança da camada de computação.
Recomendações do Assistente do Azure
O Azure Advisor é um consultor na cloud personalizado que o ajuda a seguir as melhores práticas para otimizar as suas implementações do Azure. Aqui estão algumas recomendações que podem ajudá-lo a melhorar a confiabilidade, a segurança, a relação custo-benefício, o desempenho e a excelência operacional dos Arquivos do Azure.
Próximo passo
Para obter mais informações, consulte a documentação do Azure Files.