Перспектива azure Well-Architected Framework на Файлы Azure
Файлы Azure — это решение хранилища файлов Майкрософт для облака. Файлы Azure предоставляет общий доступ к общим папкам файловой системы сервера (SMB) и сетевой файловой системе (NFS), которые можно подключить к клиентам в облаке, локальной среде или к обоим. Вы также можете использовать Синхронизация файлов Azure для кэширования общих папок SMB на локальном сервере Windows и уровне редко используемых файлов в облаке.
В этой статье предполагается, что в качестве архитектора вы рассмотрели варианты хранения и выбрали Файлы Azure в качестве службы хранилища, в которой выполняются рабочие нагрузки. В этом руководстве приведены рекомендации по архитектуре, сопоставленные с принципами основных принципов платформы Azure Well-Architected Framework.
Внимание
Как использовать это руководство
Каждый раздел содержит контрольный список проектирования, который представляет архитектурные области, связанные с стратегиями проектирования, локализованными в области технологий.
Также включены рекомендации по возможностям технологий, которые помогут реализовать эти стратегии. Рекомендации не представляют исчерпывающий список всех конфигураций, доступных для Файлы Azure и его зависимостей. Вместо этого они перечисляют ключевые рекомендации, сопоставленные с перспективами проектирования. Используйте рекомендации для создания подтверждения концепции или оптимизации существующих сред.
Надежность
Цель компонента "Надежность" — обеспечить непрерывную функциональность путем создания достаточной устойчивости и возможности быстрого восстановления после сбоев.
Принципы проектирования надежности обеспечивают высокоуровневую стратегию проектирования, применяемую для отдельных компонентов, рабочих нагрузок, системных потоков и системы в целом.
Контрольный список проектирования
Запустите стратегию разработки на основе контрольного списка проверки разработки для надежности.
Используйте анализ режима сбоя: свести к минимуму точки сбоя, учитывая внутренние зависимости, такие как доступность виртуальных сетей, Azure Key Vault или Azure сеть доставки содержимого или конечных точек Azure Front Door. Сбои могут возникать, если вам нужны учетные данные для доступа к Файлы Azure, а учетные данные отсутствуют в Key Vault. Или у вас может возникнуть сбой, если рабочие нагрузки используют конечную точку, основанную на отсутствующих сетях доставки содержимого. В этих случаях может потребоваться настроить рабочие нагрузки для подключения к альтернативной конечной точке. Общие сведения об анализе режима сбоя см . в рекомендациях по выполнению анализа режима сбоя.
Определите целевые показатели надежности и восстановления: ознакомьтесь с соглашениями об уровне обслуживания Azure (SLA). Наследует цель уровня обслуживания (SLO) для учетной записи хранения. Например, выбранная конфигурация избыточности может повлиять на SLO. Рассмотрим влияние регионального сбоя, потенциал для потери данных и время, необходимое для восстановления доступа после сбоя. Также рассмотрим доступность внутренних зависимостей, которые вы определили как часть анализа режима сбоя.
Настройка избыточности данных. Для обеспечения максимальной устойчивости выберите конфигурацию, которая копирует данные в зонах доступности или глобальных регионах. Для максимальной доступности выберите конфигурацию, которая позволяет клиентам считывать данные из дополнительного региона во время сбоя основного региона.
Проектирование приложений. Создание приложений для простого перемещения, чтобы они считывали данные из дополнительного региона, если основной регион недоступен. Этот подход применяется только к геоизбыточным хранилищам (GRS) и геоизбыточным хранилищам (GZRS). Разработка приложений для правильной обработки сбоев, что сокращает время простоя для клиентов.
Ознакомьтесь с функциями, которые помогут вам достичь целевых объектов восстановления: сделайте файлы восстанавливаемыми, поврежденными, измененными или удаленными.
Создайте план восстановления: рассмотрите возможности защиты данных, операции резервного копирования и восстановления или процедуры отработки отказа. Подготовьтесь к потенциальным потерям данных и несоответствиям данных и времени и затратам на отработку отказа. Дополнительные сведения см . в рекомендациях по проектированию стратегии аварийного восстановления.
Отслеживайте потенциальные проблемы доступности: подпишитесь на панель мониторинга работоспособности служб Azure, чтобы отслеживать потенциальные проблемы с доступностью. Используйте метрики хранилища и журналы диагностики в Azure Monitor для изучения оповещений.
Рекомендации
| Рекомендация | Преимущества |
|---|---|
| Настройте учетную запись хранения для избыточности. Для обеспечения максимальной доступности и устойчивости настройте учетную запись с хранилищем, избыточным между зонами (ZRS), GRS или GZRS. Ограниченные регионы Azure поддерживают ZRS для общих папок уровня "Стандартный " и "Премиум ". Только стандартные учетные записи SMB поддерживают GRS и GZRS. Акции SMB уровня "Премиум" и общие папки NFS не поддерживают GRS и GZRS. Файлы Azure не поддерживает геоизбыточное хранилище для чтения (RA-GRS) или геоизбыточное хранилище (RA-GZRS). При настройке учетной записи хранения для использования RA-GRS или RA-GZRS общие папки настраиваются и выставляются как GRS или GZRS. |
Избыточность защищает данные от непредвиденных сбоев. Параметры конфигурации ZRS и GZRS реплицируются в различных зонах доступности и позволяют приложениям продолжать чтение данных во время сбоя. Дополнительные сведения см. в разделе "Устойчивость и доступность по сценариям сбоям" и параметрам устойчивости и доступности. |
| Прежде чем инициировать отработку отказа или восстановление размещения, проверьте значение свойства последнего времени синхронизации, чтобы оценить потенциал потери данных. Эта рекомендация применяется только к конфигурациям GRS и GZRS. | Это свойство помогает оценить, сколько данных может быть потеряно при запуске отработки отказа учетной записи. Все данные и метаданные, записанные до последнего времени синхронизации, доступны в дополнительном регионе, но вы можете потерять данные и метаданные, записанные после последнего времени синхронизации, так как он не записывается в дополнительный регион. |
| В рамках стратегии резервного копирования и восстановления включите обратимое удаление и используйте моментальные снимки для восстановления на определенный момент времени. Azure Backup можно использовать для резервного копирования общих папок SMB. Вы также можете использовать Синхронизация файлов Azure для резервного копирования локальных общих папок SMB в общую папку Azure. Azure Backup также позволяет выполнять резервное копирование в хранилище (предварительная версия) Файлы Azure для защиты данных от атак программ-шантажистов или потери исходных данных из-за злоумышленника или администратора-изгоя. С помощью хранилища резервного копирования Azure Backup копирует и сохраняет данные в хранилище служб восстановления. При этом создается внесайтовая копия данных, которую можно хранить до 99 лет. Azure Backup создает точки восстановления и управляет ими в соответствии с расписанием и хранением, определенными в политике резервного копирования. Подробнее. |
Обратимое удаление работает на уровне файлового ресурса для защиты общих папок Azure от случайного удаления. Восстановление на определенный момент времени защищает от случайного удаления или повреждения, так как можно восстановить общие папки в более раннее состояние. Дополнительные сведения см. в статье Общие сведения о защите данных. |
Безопасность
Цель компонента "Безопасность" заключается в обеспечении конфиденциальности, целостности и доступности для рабочей нагрузки .
Принципы проектирования безопасности предоставляют высокоуровневую стратегию проектирования для достижения этих целей, применяя подходы к технической разработке конфигурации хранилища файлов.
Требования к безопасности и рекомендации зависят от того, использует ли рабочая нагрузка протокол SMB или NFS для доступа к общим папкам. Поэтому в следующих разделах содержатся отдельные контрольные списки проектирования и рекомендации для общих папок SMB и NFS.
Рекомендуется хранить общие папки SMB и NFS в отдельных учетных записях хранения, так как они имеют разные требования к безопасности. Используйте этот подход, чтобы обеспечить рабочую нагрузку с высокой безопасностью и высокой гибкостью.
Контрольный список для общих папок SMB
Запустите стратегию проектирования на основе контрольного списка проверки дизайна для безопасности. Выявление уязвимостей и элементов управления для улучшения состояния безопасности. Расширьте стратегию, чтобы включить дополнительные подходы по мере необходимости.
Просмотрите базовые показатели безопасности для служба хранилища Azure. Чтобы приступить к работе, просмотрите базовые показатели безопасности для хранилища.
Рассмотрите возможность использования сетевых элементов управления для ограничения входящего трафика и исходящего трафика: вы можете быть комфортно предоставлять учетную запись хранения общедоступному Интернету в определенных условиях, например, если вы используете проверку подлинности на основе удостоверений для предоставления доступа к общим папкам. Но мы рекомендуем использовать сетевые элементы управления для предоставления минимального требуемого уровня доступа пользователям и приложениям. Дополнительные сведения см. в статье "Как приблизиться к сетевой безопасности для учетной записи хранения".
Уменьшите область атаки: используйте шифрование при передаче и предотвратите доступ через небезопасные подключения (HTTP), чтобы уменьшить область атаки. Требовать от клиентов отправлять и получать данные с помощью последней версии протокола TLS.
Свести к минимуму использование ключей учетной записи хранения: проверка подлинности на основе удостоверений обеспечивает более высокую безопасность по сравнению с использованием ключа учетной записи хранения. Но необходимо использовать ключ учетной записи хранения, чтобы получить полный административный контроль над общей папкой, включая возможность владения файлом. Предоставьте субъектам безопасности только необходимые разрешения, необходимые для выполнения своих задач.
Защита конфиденциальной информации: защита конфиденциальной информации, например ключей учетной записи хранения и паролей. Мы не рекомендуем использовать эти формы авторизации, но если вы делаете это сделать, необходимо обязательно повернуть, срок действия и безопасно хранить их.
Обнаружение угроз. Включите Microsoft Defender для хранилища , чтобы обнаружить потенциально опасные попытки доступа к общим папкам Azure или использовать их через протоколы SMB или FileREST. Администраторы подписок получают оповещения электронной почты с подробными сведениями о подозрительных действиях и рекомендациях по изучению и устранению угроз. Defender для хранилища не поддерживает возможности антивирусной программы для общих папок Azure. Если вы используете Defender для хранения, общие папки с большим объемом транзакций несут значительные затраты, поэтому рекомендуется отказаться от Defender для хранения для определенных учетных записей хранения.
Рекомендации по общим папкам SMB
| Рекомендация | Преимущества |
|---|---|
| Примените блокировку Azure Resource Manager к учетной записи хранения. | Блокировка учетной записи, чтобы предотвратить случайное или вредоносное удаление учетной записи хранения, что может привести к потере данных. |
| Откройте TCP-порт 445 для исходящего трафика или настройте VPN-шлюз или подключение Azure ExpressRoute для клиентов за пределами Azure для доступа к общей папке. | SMB 3.x — это интернет-безопасный протокол, но у вас может не быть возможности изменять политики организации или поставщика услуг. Vpn-шлюз или подключение ExpressRoute можно использовать как альтернативный вариант. |
| Если вы открываете порт 445, обязательно отключите SMBv1 в клиентах Windows и Linux . Файлы Azure не поддерживает SMB 1, но вы по-прежнему должны отключить его на своих клиентах. | SMB 1 — это устаревший, неэффективный и небезопасный протокол. Отключите его на клиентах, чтобы повысить уровень безопасности. |
| Рассмотрите возможность отключения доступа к учетной записи хранения общедоступной сети. Включите доступ к общедоступной сети, только если клиентам и службам SMB, которые являются внешними для Azure, требуют доступа к учетной записи хранения. Если отключить доступ к общедоступной сети, создайте частную конечную точку для учетной записи хранения. Применяются стандартные скорости обработки данных для частных конечных точек. Частная конечная точка не блокирует подключения к общедоступной конечной точке. Вы по-прежнему должны отключить доступ к общедоступной сети, как описано ранее. Если для общей папки не требуется статический IP-адрес и вы хотите избежать затрат на частные конечные точки, можно ограничить доступ к определенным виртуальным сетям и IP-адресам общедоступной конечной точки. |
Сетевой трафик перемещается по магистральной сети Майкрософт вместо общедоступного Интернета, что устраняет риск воздействия из общедоступного Интернета. |
| Включите правила брандмауэра, ограничивающие доступ к определенным виртуальным сетям. Начните с нуля доступа, а затем методично и добавочно предоставляют наименьший объем доступа, необходимый для клиентов и служб. | Свести к минимуму риск создания открытий для злоумышленников. |
| По возможности используйте проверку подлинности на основе удостоверений с шифрованием билетов AES-256 Kerberos для авторизации доступа к общим папкам SMB Azure. | Используйте проверку подлинности на основе удостоверений, чтобы уменьшить вероятность того, что злоумышленник использует ключ учетной записи хранения для доступа к общим папкам. |
| Если вы используете ключи учетной записи хранения, сохраните их в Key Vault и периодически повторно создайте их. Вы можете полностью запретить доступ к ключу учетной записи хранения к общей папке, удалив NTLMv2 из параметров безопасности SMB общего ресурса. Но обычно не следует удалять NTLMv2 из параметров безопасности SMB общего ресурса, так как администраторы по-прежнему должны использовать ключ учетной записи для некоторых задач. |
Используйте Key Vault, чтобы получить ключи во время выполнения, а не сохранять их с помощью приложения. Key Vault также упрощает смену ключей без прерывания работы с приложениями. Периодически поворачивайте ключи учетной записи, чтобы снизить риск предоставления данных вредоносным атакам. |
| В большинстве случаев необходимо включить необходимый параметр безопасной передачи для всех учетных записей хранения, чтобы включить шифрование при передаче для общих папок SMB. Не включите этот параметр, если вам нужно разрешить очень старым клиентам доступ к общей папке. Если отключить безопасную передачу, обязательно используйте сетевые элементы управления для ограничения трафика. |
Этот параметр гарантирует, что все запросы, сделанные в учетной записи хранения, выполняются через безопасные подключения (HTTPS). Все запросы, выполненные по протоколу HTTP, завершатся ошибкой. |
| Настройте учетную запись хранения таким образом, чтобы протокол TLS 1.2 был минимальной версией для клиентов для отправки и получения данных. | TLS 1.2 является более безопасным и быстрым, чем TLS 1.0 и 1.1, что не поддерживает современные алгоритмы шифрования и наборы шифров. |
| Используйте только последнюю поддерживаемую версию протокола SMB (в настоящее время 3.1.1.) и используйте только AES-256-GCM для шифрования каналов SMB. Файлы Azure предоставляет параметры, которые можно использовать для переключения протокола SMB и обеспечения его более совместимой или более безопасной в зависимости от требований вашей организации. По умолчанию разрешены все версии SMB. Однако SMB 2.1 запрещен, если включить безопасную передачу , так как SMB 2.1 не поддерживает шифрование данных при передаче. Если эти параметры ограничены высоким уровнем безопасности, некоторые клиенты могут не подключаться к общей папке. |
SMB 3.1.1, выпущенная в Windows 10, содержит важные обновления безопасности и производительности. AES-256-GCM обеспечивает более безопасное шифрование каналов. |
Контрольный список для общих папок NFS
Просмотрите базовые показатели безопасности для хранилища. Чтобы приступить к работе, просмотрите базовые показатели безопасности для хранилища.
Сведения о требованиях к безопасности вашей организации: общие папки NFS Azure поддерживают только клиенты Linux, использующие протокол NFSv4.1, с поддержкой большинства функций из спецификации протокола 4.1. Некоторые функции безопасности, такие как проверка подлинности Kerberos, списки управления доступом (ACL) и шифрование при передаче, не поддерживаются.
Используйте безопасность и элементы управления на уровне сети, чтобы ограничить входящий и исходящий трафик: проверка подлинности на основе удостоверений недоступна для общих папок Azure NFS, поэтому необходимо использовать безопасность и элементы управления на уровне сети для предоставления минимального требуемого уровня доступа пользователям и приложениям. Дополнительные сведения см. в статье "Как приблизиться к сетевой безопасности для учетной записи хранения".
Рекомендации по общим папкам NFS
| Рекомендация | Преимущества |
|---|---|
| Примените блокировку Resource Manager к учетной записи хранения. | Блокировка учетной записи, чтобы предотвратить случайное или вредоносное удаление учетной записи хранения, что может привести к потере данных. |
| Необходимо открыть порт 2049 на клиентах, к которым требуется подключить общую папку NFS. | Откройте порт 2049, чтобы клиенты взаимодействовали с общей папкой NFS Azure. |
| Общие папки Azure NFS доступны только через ограниченные сети. Поэтому необходимо создать частную конечную точку для учетной записи хранения или ограничить доступ общедоступной конечной точки к выбранным виртуальным сетям и IP-адресам. Рекомендуется создать частную конечную точку. Необходимо настроить безопасность на уровне сети для общих папок NFS, так как Файлы Azure не поддерживает шифрование при передаче с помощью протокола NFS. Необходимо отключить параметр "Требовать безопасную передачу" в учетной записи хранения для использования общих папок Azure NFS. Стандартные скорости обработки данных применяются для частных конечных точек. Если для общей папки не требуется статический IP-адрес и вы хотите избежать затрат на частные конечные точки, можно ограничить доступ к общедоступной конечной точке. |
Сетевой трафик перемещается по магистральной сети Майкрософт вместо общедоступного Интернета, что устраняет риск воздействия из общедоступного Интернета. |
| Рекомендуется запретить доступ к ключу учетной записи хранения на уровне учетной записи хранения. Вам не нужен этот доступ для подключения общих папок NFS. Но помните, что полный административный контроль над общей папкой, включая возможность владения файлом, требует использования ключа учетной записи хранения. | Запретить использование ключей учетной записи хранения для повышения безопасности учетной записи хранения. |
Оптимизация затрат
Оптимизация затрат фокусируется на обнаружении шаблонов расходов, приоритете инвестиций в критически важные области и оптимизации в других целях в соответствии с бюджетом организации при выполнении бизнес-требований.
Принципы проектирования оптимизации затрат обеспечивают высокоуровневую стратегию проектирования для достижения этих целей и обеспечения компромиссов в техническом проектировании, связанном с хранилищем файлов и его средой.
Контрольный список проектирования
Запустите стратегию проектирования на основе контрольного списка проверок проектирования для оптимизации затрат для инвестиций. Точно настройте структуру, чтобы рабочая нагрузка соответствовала бюджету, выделенному для рабочей нагрузки. Проект должен использовать правильные возможности Azure, отслеживать инвестиции и находить возможности для оптимизации с течением времени.
Определите, требуется ли для рабочей нагрузки производительность общих папок уровня "Премиум" (SSD Azure premium) или достаточно ли достаточно хранилища HDD уровня "Стандартный": определите тип учетной записи хранения и модель выставления счетов в зависимости от типа хранилища, необходимого для хранения. Если требуется большое количество операций ввода-вывода в секунду (IOPS), очень быстрые скорости передачи данных или очень низкая задержка, то следует выбрать общие папки Azure уровня "Премиум". Общие папки Azure NFS доступны только на уровне "Премиум". Общие папки NFS и SMB совпадают с ценой на ценовой категории "Премиум".
Создайте учетную запись хранения для общей папки и выберите уровень избыточности: выберите стандартную учетную запись (GPv2) или premium (FileStorage). Уровень избыточности, который вы выбираете, влияет на стоимость. Чем больше избыточности, тем выше стоимость. Локально избыточное хранилище (LRS) является самым доступным. GRS доступен только для стандартных общих папок SMB. Общие папки уровня "Стандартный" отображают только сведения о транзакциях на уровне учетной записи хранения, поэтому рекомендуется развернуть только одну общую папку в каждой учетной записи хранения, чтобы обеспечить полную видимость выставления счетов.
Узнайте, как вычисляется счет: общие папки Azure уровня "Стандартный " предоставляют модель оплаты по мере использования. Общие папки уровня "Премиум" используют подготовленную модель , в которой вы указываете и оплачиваете определенный объем емкости, операций ввода-вывода в секунду и пропускную способность заранее. В модели оплаты по мере использования счетчики отслеживают объем данных, хранящихся в учетной записи, или емкость, а также количество и тип транзакций на основе использования этих данных. Модель оплаты по мере использования может быть экономичной, так как вы платите только за то, что вы используете. При использовании модели оплаты по мере использования вам не нужно перепроверять или отменять хранение на основе требований к производительности или колебаний спроса.
Но может оказаться трудно запланировать хранение в рамках процесса бюджетирования, так как затраты на потребление конечных пользователей. С подготовленной моделью транзакции не влияют на выставление счетов, поэтому затраты легко прогнозировать. Но вы платите за подготовленную емкость хранилища независимо от того, используете ли вы его или нет. Подробные сведения о вычислении затрат см. в разделе "Общие сведения о выставлении счетов Файлы Azure".
Оцените стоимость емкости и операций. Вы можете использовать калькулятор цен Azure для моделирования затрат, связанных с хранилищем данных, входящего трафика и исходящего трафика. Сравните затраты, связанные с различными регионами, типами учетных записей и конфигурациями избыточности. Дополнительные сведения см. в Файлы Azure ценах.
Выберите самый экономичный уровень доступа: общие папки Azure уровня "Стандартный" SMB предлагают три уровня доступа: оптимизированы транзакции, горячие и холодные. Все три уровня хранятся на одном и том же стандартном оборудовании хранилища. Основное различие для этих трех уровней заключается в их данных по ценам на хранилище отдыха, которые ниже в более холодных уровнях, а также цены на транзакции, которые выше в более холодных уровнях. Дополнительные сведения см. в разделе "Различия в стандартных уровнях".
Определите, какие службы необходимо добавить значения: Файлы Azure поддерживает интеграцию со службами, такими как резервное копирование, Синхронизация файлов Azure и Defender для хранилища. Эти решения имеют собственные затраты на лицензирование и продукты, но часто считаются частью общей стоимости владения для хранилища файлов. Рассмотрите другие аспекты затрат, если вы используете Синхронизация файлов Azure.
Создание охранников: создание бюджетов на основе подписок и групп ресурсов. Используйте политики управления для ограничения типов ресурсов, конфигураций и расположений. Кроме того, используйте управление доступом на основе ролей (RBAC) для блокировки действий, которые могут привести к перерасходу.
Мониторинг затрат: обеспечение того, чтобы затраты оставались в бюджетах, сравнивали затраты с прогнозами и видели, где происходит перерасход. Вы можете использовать область анализа затрат в портал Azure для мониторинга затрат. Вы также можете экспортировать данные о затратах в учетную запись хранения и использовать Excel или Power BI для анализа данных.
Мониторинг использования: непрерывно отслеживайте шаблоны использования для обнаружения неиспользуемых или неиспользуемых учетных записей хранения и общих папок. Проверьте непредвиденное увеличение емкости, что может указывать на то, что вы собираете многочисленные файлы журнала или обратимо удаленные файлы. Разработайте стратегию удаления файлов или перемещения файлов на более экономичные уровни доступа.
Рекомендации
| Рекомендация | Преимущества |
|---|---|
| При миграции на стандартные файловые ресурсы Azure рекомендуется начать на уровне, оптимизированном для транзакций, во время начальной миграции. Использование транзакций во время миграции обычно не указывает на обычное использование транзакций. Это не относится к общим папкам класса Premium, так как подготовленная модель выставления счетов не взимает плату за транзакции. | Миграция на Файлы Azure — это временная, тяжелая для транзакций рабочая нагрузка. Оптимизируйте цену для рабочих нагрузок с высокой транзакцией, чтобы снизить затраты на миграцию. |
| После переноса рабочей нагрузки, если вы используете стандартные общие папки, тщательно выберите наиболее экономичный уровень доступа для общей папки: горячий, холодный или оптимизированный для транзакций. После работы в течение нескольких дней или недель с регулярным использованием вы можете вставить количество транзакций в калькулятор цен, чтобы выяснить, какой уровень лучше всего подходит вашей рабочей нагрузке. Большинство клиентов должны выбрать холодный , даже если они активно используют общую папку. Но необходимо проверить каждую общую папку и сравнить баланс емкости хранилища с транзакциями, чтобы определить уровень. Если затраты на транзакции составляют значительный процент счета, экономия от использования холодного уровня доступа часто компенсирует эту стоимость и сводит к минимуму общую стоимость. Рекомендуется перемещать стандартные общие папки между уровнями доступа только при необходимости для оптимизации изменений в шаблоне рабочей нагрузки. Каждое перемещение вызывает транзакции. Дополнительные сведения см. в разделе "Переключение между стандартными уровнями". |
Выберите соответствующий уровень доступа для стандартных файловых ресурсов, чтобы значительно сократить затраты. |
| Если вы используете общие папки уровня "Премиум", убедитесь, что вы подготавливаете более чем достаточно емкости и производительности для рабочей нагрузки, но не так много, что вам не нужно стоить. Рекомендуется перепроименовывание на два-три раза. Вы можете динамически масштабировать общие папки уровня "Премиум" вверх или вниз в зависимости от производительности хранилища и вывода и вывода (ввода-вывода). | Превышение производительности общих папок уровня "Премиум" по разумной сумме, чтобы обеспечить производительность и учет будущих требований к росту и производительности. |
| Используйте Файлы Azure резервирования, также называемые зарезервированными экземплярами, для предварительного обращения к использованию хранилища и получения скидки. Используйте резервирования для рабочих нагрузок или рабочих нагрузок разработки и тестирования с согласованной нагрузкой. Дополнительные сведения см. в разделе "Оптимизация затрат с резервированием хранилища". Резервирования не включают расходы на транзакции, пропускную способность, передачу данных и хранилище метаданных. |
Трехлетние резервирования могут предоставлять скидку до 36% на общую стоимость хранилища файлов. Резервирования не влияют на производительность. |
| Мониторинг использования моментальных снимков. За моментальные снимки взимается плата, но они выставляются на основе разностного использования хранилища каждого моментального снимка. Вы платите только за разницу в каждом моментальном снимке. Дополнительные сведения см. в разделе о моментальных снимках. Синхронизация файлов Azure принимает моментальные снимки уровня общего доступа и файлового уровня в рамках регулярного использования, что может увеличить общий счет Файлы Azure. |
Разностные моментальные снимки гарантируют, что плата за хранение одних и того же данных не взимается несколько раз. Тем не менее, вы по-прежнему должны отслеживать использование моментальных снимков, чтобы сократить счет за Файлы Azure. |
| Задайте сроки хранения для функции обратимого удаления, особенно при первом запуске ее использования. Попробуйте начать с короткого периода хранения, чтобы лучше понять, как функция влияет на ваш счет. Минимальный рекомендуемый срок хранения составляет семь дней. При обратимом удалении общих папок уровня "Стандартный" и "Премиум" плата взимается как используемая емкость, а не подготовленная емкость. Плата за общие папки уровня "Премиум" взимается по скорости моментального снимка в состоянии обратимого удаления. Стандартные общие папки выставляются по обычной ставке, а в состоянии обратимого удаления. |
Установите период хранения, чтобы обратимо удаленные файлы не сворачивали и не увеличивайте затраты на емкость. После настроенного периода хранения данные безвозвратно не влечет за собой затраты. |
Эффективность работы
Операционное превосходство в основном посвящено процедурам разработки, наблюдаемости и управлению выпусками.
Принципы проектирования операционного превосходства обеспечивают высокоуровневую стратегию разработки для достижения этих целей в отношении операционных требований рабочей нагрузки.
Контрольный список проектирования
Запустите стратегию проектирования на основе контрольного списка проверки разработки для операционного превосходства для определения процессов для наблюдения, тестирования и развертывания, связанных с конфигурацией хранилища файлов.
Создание планов обслуживания и аварийного восстановления. Рассмотрим функции защиты данных, операции резервного копирования и восстановления и процедуры отработки отказа. Подготовьтесь к потенциальным потерям данных и несоответствиям данных и времени и затратам на отработку отказа.
Мониторинг работоспособности учетной записи хранения: создание панелей мониторинга аналитики хранилища для мониторинга доступности, производительности и метрик устойчивости. Настройте оповещения для выявления и устранения проблем в системе перед тем, как клиенты заметят их. Используйте параметры диагностики для маршрутизации журналов ресурсов в рабочую область журналов Azure Monitor. Затем журналы можно запрашивать для более глубокого изучения оповещений.
Периодически просматривайте действие общей папки: действие общего доступа может меняться с течением времени. Переместите стандартные общие папки на более холодные уровни доступа или вы можете подготовить или отменить подготовку емкости для общих папок класса Premium. При перемещении стандартных общих папок на другой уровень доступа взимается плата за транзакцию. Переместите стандартные общие папки только при необходимости, чтобы сократить ежемесячный счет.
Рекомендации
| Рекомендация | Преимущества |
|---|---|
| Используйте инфраструктуру в качестве кода (IaC), чтобы определить сведения о учетных записях хранения в шаблонах Azure Resource Manager (шаблоны ARM), Bicep или Terraform. | Вы можете использовать существующие процессы DevOps для развертывания новых учетных записей хранения и использовать Политика Azure для принудительного применения конфигурации. |
| Используйте аналитику хранилища для отслеживания работоспособности и производительности учетных записей хранения. Аналитика хранилища предоставляет единое представление о сбоях, производительности, доступности и емкости для всех учетных записей хранения. | Вы можете отслеживать работоспособность и операцию каждой учетной записи. Легко создавать панели мониторинга и отчеты, которые заинтересованные лица могут использовать для отслеживания работоспособности учетных записей хранения. |
| Используйте Монитор для анализа метрик, таких как доступность, задержка и использование, а также создание оповещений. | Монитор предоставляет представление о доступности, производительности и устойчивости общих папок. |
Уровень производительности
Эффективность производительности заключается в поддержании взаимодействия с пользователем даже при увеличении нагрузки путем управления емкостью. Стратегия включает масштабирование ресурсов, определение потенциальных узких мест и оптимизацию потенциальных узких мест и оптимизацию для пиковой производительности.
Принципы проектирования эффективности производительности предоставляют высокоуровневую стратегию проектирования для достижения этих целей емкости в отношении ожидаемого использования.
Контрольный список проектирования
Запустите стратегию разработки на основе контрольного списка проверок разработки для повышения эффективности. Определите базовые показатели, основанные на ключевых показателях производительности конфигурации хранилища файлов.
Планирование масштабирования. Общие сведения о целевых показателях масштабируемости и производительности учетных записей хранения, Файлы Azure и Синхронизация файлов Azure.
Общие сведения о шаблонах использования приложения и использования для достижения прогнозируемой производительности: определение конфиденциальности задержки, требований к пропускной способности и операций ввода-вывода в секунду, длительности и частоты рабочей нагрузки, а также параллелизации рабочих нагрузок. Используйте Файлы Azure для многопоточных приложений, чтобы обеспечить максимальное ограничение производительности службы. Если большинство запросов ориентированы на метаданные, такие как createfile, openfile, closefile, queryinfo или querydirectory, запросы создают низкую задержку, которая выше операций чтения и записи. При возникновении этой проблемы рекомендуется разделить общую папку на несколько общих папок в одной учетной записи хранения.
Выберите оптимальный тип учетной записи хранения: если для рабочей нагрузки требуется большое количество операций ввода-вывода в секунду, очень быстрая скорость передачи данных или очень низкая задержка, то следует выбрать учетные записи хранения класса Premium (FileStorage). Для большинства рабочих нагрузок общей папки SMB можно использовать стандартную учетную запись общего назначения версии 2. Основной компромисс между двумя типами учетных записей хранения — затратами и производительностью.
Размер подготовленной общей папки, например операций ввода-вывода в секунду, исходящего трафика и входящего трафика, а также ограничения однофайлового ресурса определяют производительность общего ресурса класса Premium. Дополнительные сведения см. в разделе "Общие сведения о подготовке для общих папок уровня "Премиум". Общие папки уровня "Премиум" также предлагают временные кредиты в качестве страховой политики, если вам нужно временно превысить базовый лимит операций ввода-вывода в секунду.
Создайте учетные записи хранения в том же регионе, что и подключение клиентов, чтобы уменьшить задержку. Чем дальше вы находитесь в службе Файлы Azure, тем больше задержки и сложнее достичь ограничений масштабирования производительности. Это особенно важно при доступе к Файлы Azure из локальных сред. По возможности убедитесь, что ваша учетная запись хранения и клиенты находятся в одном регионе Azure. Оптимизируйте локальные клиенты, минимизируя задержку сети или используя подключение ExpressRoute для расширения локальных сетей в облако Майкрософт через частное подключение.
Сбор данных о производительности: мониторинг производительности рабочей нагрузки, включая задержку, доступность и метрики использования . Анализ журналов для диагностики таких проблем, как время ожидания и регулирование. Создание оповещений для уведомления о том, что общая папка регулируется, будет регулироваться или возникает высокая задержка.
Оптимизация для гибридных развертываний. Если вы используете Синхронизация файлов Azure, производительность синхронизации зависит от многих факторов: windows Server и базовой конфигурации диска, пропускной способности сети между сервером и хранилищем Azure, размером файла, общим размером набора данных и действием набора данных. Чтобы оценить производительность решения, основанного на Синхронизация файлов Azure, определите количество объектов, таких как файлы и каталоги, которые обрабатываются в секунду.
Рекомендации
| Рекомендация | Преимущества |
|---|---|
| Включите SMB Multichannel для общих папок SMB уровня "Премиум". SMB Multichannel позволяет клиенту SMB 3.1.1 установить несколько сетевых подключений к общей папке SMB Azure. SMB Multichannel работает только в том случае, если эта функция включена как на стороне клиента , так и на стороне службы (Azure). В клиентах Windows SMB Multichannel включен по умолчанию, но его необходимо включить в учетной записи хранения. |
Увеличьте пропускную способность и количество операций ввода-вывода в секунду, уменьшая общую стоимость владения. Преимущества производительности увеличиваются с числом файлов, которые распределяют нагрузку. |
| Используйте параметр подключения на стороне клиента nconnect с общими папками NFS Azure на клиентах Linux. Nconnect позволяет использовать больше TCP-подключений между клиентом и службой Файлы Azure premium для NFSv4.1. | Увеличьте производительность в масштабе и уменьшите общую стоимость владения для общих папок NFS. |
| Убедитесь, что общая папка или учетная запись хранения не регулируется, что может привести к высокой задержке, низкой пропускной способности или низкому объему операций ввода-вывода в секунду. Запросы регулируются при достижении ограничений операций ввода-вывода в секунду, входящего трафика или исходящего трафика. Для стандартных учетных записей хранения регулирование происходит на уровне учетной записи. Для общих папок уровня "Премиум" регулирование обычно происходит на уровне общего ресурса. |
Избегайте регулирования, чтобы обеспечить оптимальный интерфейс клиента. |
Политики Azure
Azure предоставляет широкий набор встроенных политик, связанных с Файлы Azure. Некоторые из предыдущих рекомендаций можно проверять с помощью политик Azure. Например, можно проверить, можно ли:
- Принимаются только запросы от безопасных подключений, таких как HTTPS.
- Авторизация общего ключа отключена.
- Правила брандмауэра сети применяются к учетной записи.
- Параметры диагностики для Файлы Azure задаются для потоковой передачи журналов ресурсов в рабочую область журналов Azure Monitor.
- Доступ к общедоступной сети отключен.
- Синхронизация файлов Azure настраивается с частными конечными точками для использования частных зон DNS.
Для комплексного управления ознакомьтесь со встроенными определениями Политика Azure для хранилища и других политик, которые могут повлиять на безопасность уровня вычислений.
Рекомендации Помощника по Azure
Помощник по Azure — это персонализированный облачный консультант, который помогает следовать рекомендациям по оптимизации развернутых служб Azure. Ниже приведены некоторые рекомендации, которые помогут повысить надежность, безопасность, эффективность затрат, производительность и эффективность работы Файлы Azure.
Следующий шаг
Дополнительные сведения см. в Файлы Azure документации.