Подход Azure Well-Architected Framework к службе хранилища дисков Azure
Управляемые диски Azure — это тип хранилища дисков Azure, упрощающий управление хранилищем для виртуальных машин Azure. Управляемые диски — это тома хранилища на уровне блоков, управляемые Azure. Они похожи на физические диски на локальном сервере, но работают в виртуальной среде. При использовании управляемого диска необходимо указать тип размера диска и настроить его. После настройки диска Azure управляет последующими операциями и задачами обслуживания.
В этой статье предполагается, что в качестве архитектора вы ознакомились с параметрами хранения и выбрали хранилище дисков Azure в качестве службы хранилища для рабочей нагрузки. В этой статье приведены рекомендации по архитектуре, сопоставленные с принципами Well-Architected платформы.
В этом руководстве основное внимание уделяется принятию решений об управляемых дисках Azure. Но управляемые диски являются критической зависимостью виртуальных машин Azure. В качестве предварительных требований ознакомьтесь и реализуйте рекомендации в перспектива Azure Well-Architected Framework на виртуальных машинах и масштабируемых наборах.
Важный
Как использовать это руководство
Каждый раздел содержит контрольный список проектирования, в котором представлены значимые архитектурные аспекты и стратегии проектирования, адаптированные для соответствия технологическим требованиям.
Также включены рекомендации по возможностям технологий, которые помогут материализовать эти стратегии. Рекомендации не представляют исчерпывающий список всех конфигураций, доступных для хранилища дисков Azure и его зависимостей. Вместо этого они перечисляют ключевые рекомендации, сопоставленные с перспективами проектирования. Используйте рекомендации для создания подтверждения концепции или оптимизации существующих сред.
Базовая архитектура, демонстрирующая основные рекомендации: базовая архитектура виртуальных машин Azure.
области технологий
В этом обзоре рассматриваются взаимосвязанные решения для следующих ресурсов Azure:
- Хранилище дисков Azure
Надёжность
Цель компонента надежности заключается в обеспечении непрерывной функциональности путем создания достаточной устойчивости и возможности быстрого восстановления после сбоев.
принципы проектирования надежности обеспечивают высокоуровневую стратегию проектирования, применяемую для отдельных компонентов, системных потоков и системы в целом.
Контрольный список по дизайну
Запустите дизайнерскую стратегию на основе контрольного списка для проверки проектирования по надежности. Определите, насколько это соответствует вашим бизнес-требованиям, принимая во внимание возможности и функции Azure Disk Storage. Расширьте стратегию, чтобы включить дополнительные подходы по мере необходимости.
Изучите лучшие практики для обеспечения высокой доступности с помощью управляемых дисков.Оптимизируйте ваше приложение для обеспечения высокой доступности, учитывая эти рекомендации и то, как они относятся к конфигурации ваших управляемых дисков и виртуальных машин (ВМ).
Определите целевые показатели надежности и восстановления. Просмотрите соглашения об уровне обслуживания Azure. Типы дисков, присоединенные к виртуальной машине, влияют на соглашение об уровне обслуживания виртуальной машины. Для самого высокого уровня обслуживания используйте только хранилище дисков Azure Ценовой категории "Ультра", SSD Azure уровня "Премиум" версии 2 или SSD уровня "Премиум" для дисков ОС и данных. Рекомендации по вычислению целевых показателей надежности см. в рекомендациях по определению целевых показателей надежности.
Создание плана восстановления.оценить функции защиты данных, операции резервного копирования и восстановления и процедуры отработки отказа. Решите, следует ли использовать Azure Backup, Azure Site Recovery или создать собственное решение резервного копирования с помощью добавочных моментальных снимков дисков или точек восстановления. Специальная система резервного копирования ведёт к увеличению затрат.
Отслеживайте потенциальные проблемы доступности. Подпишитесь на панель мониторинга работоспособности служб Azure. Используйте метрики хранилища дисков в Azure Monitor, чтобы предотвратить дросселирование дисков. Вручную проверьте виртуальные машины, чтобы убедиться, что подключенные диски не достигают емкости хранилища. Рекомендации по интеграции этих метрик в общую стратегию мониторинга работоспособности рабочей нагрузки см. в разделе Моделирование работоспособности для рабочих нагрузок.
Используйте анализ режима сбоя. Рассмотрим внутренние зависимости, такие как доступность виртуальных сетей или Azure Key Vault, чтобы свести к минимуму точки сбоя.
Рекомендации
| рекомендация | Преимущества |
|---|---|
| Распределите виртуальных машин и дисков между несколькими зонами доступности. Используйте масштабируемый набор виртуальных машин с избыточностью по зонам в режиме гибкой оркестрации или разверните виртуальные машины и диски в трех зонах доступности. Использовать балансировку зон для равномерного распределения экземпляров между зонами. |
Вы подготавливаете экземпляры виртуальных машин и дисков в физически отдельных расположениях в каждом регионе Azure. Каждое местоположение терпимо к локальным сбоям. В зависимости от доступности ресурсов, количество экземпляров в зонах может быть неравномерным. Балансировка зоны обеспечивает доступность, гарантируя, что, если одна зона отключена, в других зонах достаточно ресурсов. Два экземпляра в каждой зоне предоставляют буфер во время обновления. |
| Используйте Ultra-дисковое хранилище , SSD "Премиум" версии 2 и диски SSD "Премиум". | Виртуальные машины с единственным экземпляром, использующие диски ОС Premium SSD и диски Ultra Disk Storage, Premium SSD v2 или Premium SSD для хранения данных, имеют наивысшую гарантию доступности. |
| Для обеспечения максимальной доступности и устойчивости используйте зонально-избыточное хранилище (ZRS) диск, особенно если используете диски, общие для виртуальных машин. | Диски ZRS могут свести к минимуму влияние сбоя в зоне доступности и повысить возможность восстановления после таких зональных сбоев. Если зона выходит из строя, и виртуальная машина остается активной, рабочие нагрузки на дисках ZRS продолжают выполняться. Но если сбой влияет на виртуальную машину, и вы хотите восстановить диски до устранения сбоя, вы можете принудительно отключить диски ZRS от неудачной виртуальной машины. Затем диски ZRS могут подключаться к другой виртуальной машине. При совместном использовании диска между несколькими виртуальными машинами используйте диск ZRS, чтобы предотвратить сбой общего диска. |
| Реализуйте один из вариантов резервного копирования. Для управляемых решений используйте резервного копирования или Site Recovery. Если вам нужно создать собственное решение для резервного копирования, используйте точки восстановления или моментальные снимки . | Определите идеальный вариант резервного копирования для ваших потребностей, чтобы повысить удобство восстановления вашей среды. |
| Если вы управляете своими моментальными снимками, копируйте их между регионами с помощью скриптов. | Используйте сценарии для упрощения передачи данных из одного региона в другой. Использовать этот параметр, если вы не можете использовать Site Recovery. Резервные копии аварийного восстановления можно создавать в других регионах при использовании этого параметра. |
Безопасность
Цель компонента "Безопасность" — обеспечить гарантии конфиденциальности, целостности и доступности для рабочей нагрузки.
Принципы проектирования безопасности предоставляют высокоуровневую стратегию проектирования для достижения этих целей, применяя подходы к техническому проектированию хранилища дисков Azure.
Контрольный список для дизайна
Начните стратегию проектирования на основе контрольного списка проверки по безопасности и выявления уязвимостей и мер контроля для повышения уровня безопасности. Расширьте стратегию, чтобы включить дополнительные подходы по мере необходимости.
Ограничение возможности экспорта или импорта управляемых дисков. Используйте этот подход для повышения безопасности данных. Чтобы ограничить возможности экспорта или импорта, можно использовать один из следующих методов:
- Создайте настраиваемую роль управления доступом на основе ролей (RBAC), которая имеет разрешения, необходимые для импорта и экспорта.
- Используйте проверку подлинности идентификатора Microsoft Entra.
- Настройка приватных ссылок.
- Настройка политики Azure.
- Настройка политики доступа к сети.
Дополнительные сведения см. в разделе Ограничение импорта или экспорта управляемых дисков.
Воспользуйтесь преимуществами параметров шифрования. По умолчанию управляемые диски шифруются с помощью шифрования на стороне сервера (SSE), что помогает защитить данные и обеспечить соответствие требованиям организации и соответствия требованиям. Вам могут потребоваться другие конфигурации и параметры. Вы можете:
- Используйте SSE с ключами шифрования, которыми вы управляете.
- Включите шифрование на узле.
- Включите двойное шифрование неактивных данных.
Дополнительные сведения см. в статье серверное шифрование дискового хранилища Azure.
Защитите подпись для совместного доступа (SAS) с помощью Microsoft Entra ID. Идентификатор Microsoft Entra обеспечивает дополнительную безопасность по сравнению с общим ключом и SAS, и проще использовать. Предоставьте субъекты безопасности только необходимые разрешения для выполнения своих задач.
Защита секретов. Защищайте секреты, такие как ключи, управляемые клиентом, и токены SAS. Как правило, эти формы авторизации не рекомендуются. Но если вы используете их, обязательно поверните или обновите ключи, установите срок их действия как можно раньше в реальных условиях и надежно сохраните эти секреты.
Обнаружение угроз. Включите Microsoft Defender для Cloud, чтобы можно было активировать оповещения системы безопасности при возникновении аномалий в действии. Defender for Cloud уведомляет администраторов подписки по электронной почте. В сообщении электронной почты содержатся сведения о подозрительной активности и рекомендациях по расследованию и устранению угроз.
Используйте теги и метки. Примените теги и метки к важным дискам, чтобы обеспечить применение соответствующих уровней защиты к дискам.
Усилить все компоненты рабочей нагрузки. Уменьшите дополнительную область поверхности и ужесточите конфигурации, чтобы снизить вероятность атак. Правильно защитить все связанные ресурсы, используемые с управляемыми дисками, например хранилища резервных копий или хранилища ключей Azure.
Рекомендации
| рекомендация | Преимущества |
|---|---|
| По возможности используйте шифрование на узле для управляемых дисков. | Шифрование на узле обеспечивает сквозное шифрование для сред, в которых она включена. Шифрование начинается на виртуальной машине и проходит через подключенные диски. |
| Примените блокировку Azure Resource Manager на диске. | Блокировка диска, чтобы предотвратить удаление, чтобы не потерять данные. |
| Отключите трафик к общедоступным конечным точкам диска. Создание частных конечных точек для клиентов, работающих в Azure. | Отключите трафик к общедоступным конечным точкам, чтобы трафик перемещается по магистральной сети Майкрософт, что помогает устранить уязвимость к общедоступному Интернету. |
| По возможности используйте Azure RBAC, чтобы ограничить доступ к ресурсам и функциям. | Используйте RBAC, чтобы избежать использования токенов или ключей, которые могут быть скомпрометированы. Идентификатор Microsoft Entra аутентифицирует объект безопасности, например пользователя, группы, управляемого удостоверения или учетной записи службы. Идентификатор Microsoft Entra возвращает маркер OAuth 2.0. Маркер используется для авторизации запроса к службе управления дисками. |
| Корпорация Майкрософт не рекомендует использовать маркеры SAS. Если необходимо создать его, ознакомьтесь со списком рекомендаций по SAS, перед созданием и распространением. установите срок действия маркеров SAS на 60 дней или меньше. |
Лучшие практики помогут вам предотвратить утечку токена SAS и быстро восстановиться при утечке, если она произойдет. |
| Попробуйте использовать собственный ключ шифрования или управляемый клиентом ключ, чтобы защитить данные на управляемом диске. | Управляемый клиентом ключ обеспечивает большую гибкость и контроль, если это необходимо. Например, вы можете хранить ключи шифрования в Key Vault и автоматически повернуть их. |
Оптимизация затрат
Оптимизация затрат фокусируется на обнаружении шаблонов расходов, приоритете инвестиций в критически важные области и оптимизации в других в соответствии с бюджетом организации при выполнении бизнес-требований.
Принципы проектирования оптимизации затрат обеспечивают высокоуровневую стратегию проектирования для достижения этих целей и обеспечения компромиссов в техническом проектировании, связанном с хранилищем дисков Azure.
Контрольный список дизайна
Начните свою стратегию проектирования на основе контрольного списка для пересмотра проектирования для оптимизации затрат в инвестиции. Настройте структуру, чтобы рабочая нагрузка соответствовала бюджету, выделенному для рабочей нагрузки. Проект должен использовать правильные возможности Azure, отслеживать инвестиции и находить возможности для оптимизации с течением времени.
Узнайте, как взимается плата за хранилище дисков Azure. Счета за различные типы дисков выставляются различными способами и имеют различные функции, которые могут повлиять на выставление счетов. Изучите Общие сведения об оплате хранилища дисков Azure, чтобы создать наиболее оптимизированную по затратам среду. Для точного выставления счетов найдите конкретные сведения о ценах и примените соответствующие параметры. Дополнительные сведения см. в разделе "Цены на управляемые диски".
Оцените стоимость емкости и операций. Используйте калькулятор цен для моделирования затрат, связанных с типами дисков, транзакциями и возможностями. Сравните затраты, связанные с различными регионами, типами учетных записей, типами пространств имен и конфигурациями избыточности.
Выберите модель выставления счетов. Оцените, является ли модель на основе обязательств
более экономичной, чем модель на основе потребления. Если вы не знаете, сколько ресурсов требуется, начните с модели на основе потребления, отслеживайте метрики емкости и оцените свой выбор позже. Определите необходимые функции. Некоторые функции, такие как моментальные снимки или по запросу, влечет за собой дополнительные затраты на транзакции, затраты на емкость и другие расходы. Например, если включить моментальные снимки, плата взимается за объем хранилища, который использует каждый моментальный снимок. Когда вы решите, какие возможности требуются для дисков, просмотрите сведения о ценах и выставлении счетов для этих возможностей.
Создайте ограничители. Создайте бюджеты на основе подписок и групп ресурсов. Используйте политики управления для ограничения типов ресурсов, конфигураций и расположений. Вы также можете использовать RBAC для блокировки действий, которые могут привести к перерасходу.
Мониторинг затрат. чтобы убедиться, что вы остаетесь в пределах бюджетов, сравниваете затраты с прогнозами и видите, где может произойти перерасход. Используйте функцию анализа затрат на портале Azure. Вы также можете экспортировать данные затрат в учетную запись хранения и использовать Excel или Power BI для анализа данных.
Мониторинг ресурсов диска. Используйте примеры скриптов для поиска неподключенных дисков.
Рекомендации
| Рекомендация | преимущества |
|---|---|
| Тщательно выберите подходящие типы дисков для рабочих нагрузок. Поймите, какие существуют типы дисков и их характеристики перед развертыванием среды. Затем используйте калькулятор цен для оценки затрат. | Одним из лучших способов снижения затрат является планирование требований и использование калькулятора цен для моделирования среды. |
| Используйте зарезервированную емкость для дисков SSD класса Premium. | Зарезервированная емкость для SSD класса Premium снижает общую стоимость вашей среды, так как вы оплачиваете свою емкость со скидкой. |
| Оцените, могут ли функции, которые предлагают существующие диски, повысить производительность без переключения на другой размер или тип диска. Такие функции, как ускорение дисков или изменение уровней производительности , могут повысить производительность до уровней, удовлетворяющих вашим потребностям. | В зависимости от среды и потребностей, включение функций для повышения производительности диска может быть более экономичным, чем переход на другой тип диска. Эти функции влечет за собой затраты, но могут снизить затраты по сравнению с различными типами дисков. |
| Непосредственно настройте производительность дискового хранилища ценовой категории "Ультра" и SSD уровня "Премиум" версии 2 в соответствии с требованиями к производительности. | Эти два типа дисков поддерживают определенное количество параметров производительности диска в течение 24 часов. Этот параметр позволяет вашим рабочим нагрузкам быть экономически эффективными и одновременно удовлетворять потребности в производительности. Вы можете повысить производительность (увеличить затраты) для удовлетворения более высокого спроса, а затем снизить производительность (снижение затрат), когда увеличение больше не требуется. Например, база данных с большим объемом операций ввода-вывода в секунду может потребовать большого объема операций ввода-вывода (IOPS) с небольшим размером. Или игровое приложение может потребовать большого количества операций ввода-вывода в секунду, но только в пиковые часы. |
Операционное превосходство
Операционная эффективность в основном сосредоточена на процедурах, связанных с практиками разработки, наблюдаемостью и управлением выпусками.
Принципы проектирования операционного превосходства обеспечивают стратегию проектирования высокого уровня для достижения этих целей по отношению к операционным требованиям рабочей нагрузки.
Контрольный список по дизайну
Начните разработку стратегии проектирования, опираясь на контрольный список обзора для "Операционного совершенства", чтобы определить процессы наблюдения, тестирования и развертывания, связанные с хранилищем дисков Azure.
Создайте планы обслуживания и аварийного восстановления. Оцените функции защиты данных, операции резервного копирования и операции восстановления. Выберите решения резервного копирования, которые можно использовать для восстановления после региональных аварий.
Создайте внутреннюю документацию. Задокументируйте стандартные методики организации. Включите существующую документацию Azure для упрощения процессов. Включите документацию по подключению диска к
windows иливиртуальным машинам Linux или расширению дискана виртуальных машинах Windows илиLinux .Обнаружение угроз. Включите Defender для облака, чтобы можно было активировать оповещения системы безопасности при возникновении аномалий в действии. Defender for Cloud уведомляет администраторов подписки по электронной почте. В сообщении электронной почты содержатся сведения о подозрительной активности и рекомендациях по расследованию и устранению угроз.
Рекомендации
| Рекомендация | Выгода |
|---|---|
| Используйте Azure Monitor для анализа метрик и создания оповещений. | Azure Monitor предоставляет аналитические сведения о том, как работают ваши диски и виртуальные машины. Используйте эти метрики, чтобы обеспечить оптимальную производительность. |
| Изучите доступные параметры резервного копирования дисков с управлением. | Ознакомьтесь с доступными параметрами, чтобы выбрать конфигурацию, подходящую для ваших потребностей. |
Эффективность производительности
Эффективность производительности заключается в сохранении пользовательского опыта даже при увеличении нагрузки путем управления емкостью. Стратегия включает масштабирование ресурсов, определение и оптимизацию потенциальных узких мест, а также оптимизацию для пиковой производительности.
Принципы проектирования эффективности производительности предлагают высокоуровневую стратегию для достижения этих целей по емкости с учетом ожидаемого использования.
Контрольный список для разработки
Начните свою стратегию проектирования, исходя из контрольного списка на проверку проектирования для повышения производительности. Определите базовые показатели, основанные на ключевых показателях производительности для хранилища дисков Azure.
Выберите оптимальные типы дисков. Определите типы дисков , необходимые перед развертыванием ресурсов. Этот подход помогает повысить производительность и эффективность затрат. Пять типов дисков включают хранилища дисков "Ультра", SSD уровня "Премиум" версии 2, SSD уровня "Премиум", SSD уровня "Стандартный" Azureи HDD уровня "Стандартный" Azure. Для обеспечения высокой производительности используйте SSD уровня "Премиум" для диска ОС виртуальной машины и используйте хранилище дисков ценовой категории "Ультра" или SSD уровня "Премиум" версии 2 для дисков данных.
Уменьшите расстояние между клиентом и сервером. Поместите данные в регионы, которые ближе всего к подключению клиентов, в идеале в одном регионе. Конфигурации сети по умолчанию обеспечивают лучшую производительность. Измените параметры сети только для повышения безопасности. Как правило, параметры сети не снижают расстояние между поездками и не повышают производительность.
Сбор данных о производительности. Отслеживайте диски и виртуальные машины, чтобы определить узкие места производительности, возникающие при регулировании. Дополнительные сведения см. в метриках ввода-вывода хранилища.
Тестируйте диски. Создайте тестовую среду и определите, соответствует ли она вашим потребностям и ожиданиям. Дополнительные сведения см. в статье "Тестирование диска".
Рекомендации
| Рекомендация | преимущества |
|---|---|
| Создайте диски в том же регионе, к которому подключается виртуальная машина. Если клиенты из другого региона не требуют одинаковых данных, создайте отдельный диск в каждом регионе. | Уменьшите физическое расстояние между виртуальными машинами и их дисками, службами и локальными клиентами, чтобы повысить производительность и уменьшить задержку в сети. этот подход также снижает затраты на приложения, размещенные в Azure, так как использование пропускной способности в одном регионе является бесплатным. |
| Для рабочих нагрузок и решений, требующих наименьшей задержки, таких как рабочие нагрузки в электронной коммерции или базы данных, используйте диск ОС SSD уровня "Премиум", и Ultra Disk Storage или диски данных SSD версии 2 уровня "Премиум". | Эта конфигурация обеспечивает максимальную надежность, высокий уровень выполнения соглашения об уровне обслуживания (SLA) и производительность. |
| Используйте метрики Azure для мониторинга вашей среды и предотвращения перегрузки дисков. | Используйте метрики Azure для идентификации дисков, которые ограничиваются, и решения проблемы. Ограничение пропускной способности ведет к неоптимальной производительности и проблемам, таким как увеличение задержки. |
| Для дисков, для которых ограничивается скорость, оцените, лучше ли изменить размер диска на больше или заменить его на более производительный. Для дисков SSD ценовой категории "Премиум", которые ограничиваются, если у вас есть краткосрочные всплески спроса, включите ускорение по запросу. Для долгосрочного расширенного спроса измените уровень производительности диска или оцените, подходит ли вам лучше SSD "Премиум" версии 2 или диски с "Ультра" классом. |
Разместите приложения на дисках, которые не ограничивают пропускную способность, чтобы обеспечить оптимальную производительность без увеличения задержки. |
| При отправке виртуального жесткого диска (VHD) используйте команду Add-AzVHD Azure PowerShell. | Команда Add-AzVHD Azure PowerShell автоматизирует большую часть процесса отправки, чтобы упростить процесс. |
| Для существующих развертываний, которые находятся в локальной инфраструктуре или у другого общедоступного облачного провайдера, используйте Azure Migrate and Modernize. | Azure Migrate and Modernize способны оценить ваше развертывание и предоставить персонализированные предложения по наилучшему размеру дисков и виртуальных машин для потенциального развертывания в Azure. |
Политики Azure
Azure предоставляет широкий набор встроенных политик, связанных с хранилищем дисков Azure и его зависимостями. Некоторые из предыдущих рекомендаций можно проверять с помощью политики Azure. Например, можно проверить, можно ли:
- Общедоступный сетевой доступ к управляемым дискам отключен.
- Резервное копирование включено.
- Двойное шифрование включено.
- Определённые наборы шифрования дисков применяются к вашим дискам.
- Используются управляемые клиентом ключи.
- Управляемые диски являются устойчивыми к зонам.
- Настроены политики уведомлений для истечения срока действия ключа.
- Автоматическая ротация для ключей, управляемых клиентом, включена.
Для комплексного управления ознакомьтесь с встроенными определениями политики Azure для вычислительных ресурсов Azure и других политик, которые могут повлиять на безопасность инфраструктуры хранилища.
Рекомендации помощника по Azure
Помощник по Azure — это персонализированный облачный консультант, который поможет вам следовать рекомендациям по оптимизации развертываний Azure. Ниже приведены некоторые рекомендации, которые помогут повысить надежность, безопасность, эффективность затрат, производительность и эффективность работы хранилища дисков Azure.