Azure Well-Architected Framework-perspektivet på Azure Disklagring
Azure-hanterade diskar är en typ av Azure Disk Storage som förenklar hanteringen av lagring för virtuella Azure-datorer. Hanterade diskar är lagringsvolymer på blocknivå som Azure hanterar. De liknar fysiska diskar på en lokal server, men de fungerar i en virtuell miljö. När du använder en hanterad disk måste du ange typ av diskstorlek och konfigurera disken. När du har konfigurerat disken hanterar Azure efterföljande åtgärder och underhållsaktiviteter.
Den här artikeln förutsätter att du som arkitekt har granskat lagringsalternativ och valt Azure Disk Storage som lagringstjänst för din arbetsbelastning. Vägledningen i den här artikeln innehåller arkitektoniska rekommendationer som mappas till principerna för Well-Architected Framework-pelarna.
Den här guiden fokuserar på hur du fattar beslut om Azure-hanterade diskar. Men hanterade diskar är ett kritiskt beroende av virtuella Azure-datorer. Som en förutsättning, läs och implementera rekommendationerna i Azure Well-Architected Frameworks perspektiv på virtuella datorer och skalningssatser.
Viktig
Använda den här guiden
Varje avsnitt har en checklista för design som presenterar arkitekturområden som är viktiga tillsammans med designstrategier som är lokaliserade till teknikomfånget.
Dessutom ingår rekommendationer för de teknikfunktioner som kan hjälpa till att materialisera dessa strategier. Rekommendationerna representerar inte en fullständig lista över alla konfigurationer som är tillgängliga för Azure Disk Storage och dess beroenden. I stället listar de de viktigaste rekommendationerna som mappats till designperspektiven. Använd rekommendationerna för att skapa ditt konceptbevis eller för att optimera dina befintliga miljöer.
Grundläggande arkitektur som visar de viktigaste rekommendationerna: Azure Virtual Machines-baslinjearkitektur.
Teknikomfång
Den här granskningen fokuserar på de relaterade besluten för följande Azure-resurser:
- Azure Disk Storage
Tillförlitlighet
Syftet med grundpelarna för tillförlitlighet är att tillhandahålla fortsatt funktionalitet genom att bygga upp tillräckligt med motståndskraft och möjlighet att snabbt återhämta sig från fel.
Principer för tillförlitlighetsdesign tillhandahålla en övergripande designstrategi som tillämpas för enskilda komponenter, systemflöden och systemet som helhet.
Checklista för design
Påbörja din designstrategi basera på checklistan för designgranskning för tillförlitlighet. Fastställ dess relevans för dina affärskrav och håll Azure Disk Storage's funktioner och kapabiliteter i åtanke. Utöka strategin till att omfatta fler metoder efter behov.
Granska metodtips för att uppnå hög tillgänglighet med hanterade diskar.Optimera ditt program för hög tillgänglighet genom att överväga dessa rekommendationer och hur de relaterar till konfigurationen av dina hanterade diskar och virtuella datorer .
Definiera tillförlitlighets- och återställningsmål. Granska Azure-serviceavtal (SLA). De disktyper som du ansluter till den virtuella datorn påverkar det virtuella datoravtalet. För det högsta serviceavtalet använder du endast Azure Ultra Disk Storage, Azure Premium SSD v2 eller Premium SSD-diskar för operativsystem och datadiskar. Vägledning om hur du beräknar dina tillförlitlighetsmål finns i Rekommendationer för att definiera tillförlitlighetsmål.
Skapa en återställningsplan.Utvärdera dataskyddsfunktioner, säkerhetskopierings- och återställningsåtgärder samt redundansprocedurer. Bestäm om du vill använda Azure Backup, Azure Site Recovery eller skapa en egen säkerhetskopieringslösning med hjälp av inkrementella diskögonblicksbilder eller återställningspunkter. En anpassad säkerhetskopieringslösning ökar dina kostnader.
Övervaka potentiella tillgänglighetsproblem. Prenumerera på Azure Service Health-instrumentpanelen . Använd mått för disklagring i Azure Monitor för att förhindra diskstrypning. Kontrollera virtuella datorer manuellt för att säkerställa att anslutna diskar inte når sin lagringskapacitet. Vägledning om hur du integrerar dessa mått i din övergripande strategi för hälsoövervakning av arbetsbelastningar finns i Hälsomodellering för arbetsbelastningar.
Använd analys av felläge. Överväg interna beroenden, till exempel tillgängligheten för virtuella nätverk eller Azure Key Vault, för att minimera felpunkter.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Distribuera virtuella datorer och diskar över flera tillgänglighetszoner. Använd en zonredundant VM-skalningsuppsättning i flexibelt orkestreringsläge eller distribuera virtuella datorer och diskar i tre tillgänglighetszoner. Använd zonbalansering för att sprida instanserna jämnt över zoner. |
Du etablerar virtuella datorer och diskinstanser på fysiskt separata platser i varje Azure-region. Varje plats är tolerant mot lokala fel. Beroende på resurstillgänglighet kan du ha ett ojämnt antal instanser över zonerna. Balansering av zoner stödjer tillgänglighet genom att säkerställa att, om en zon är nere, de andra zonerna har tillräckligt med instanser. Två instanser i varje zon ger en buffert under uppgraderingar. |
| Använd Ultra Disk Storage, Premium SSD v2 och Premium SSD-diskar. | Virtuella datorer med en instans som använder Premium SSD OS-diskar och Ultra Disk Storage, Premium SSD v2 eller Premium SSD-datadiskar har det högsta drifttidsavtalet. |
| För maximal tillgänglighet och hållbarhet använder du en zonredundant lagringsdisk (ZRS), särskilt när du delar diskar mellan virtuella datorer. | ZRS-diskar minimerar effekten av ett fel i en tillgänglighetszon och ökar återställningen från sådana zonfel. Om en zon misslyckas och den virtuella datorn förblir aktiv fortsätter arbetsbelastningar på ZRS-diskar att köras. Men om ett avbrott påverkar den virtuella datorn och du vill återställa diskar innan driftavbrottet löser sig kan du tvinga bort ZRS-diskarna från den misslyckade virtuella datorn. Sedan kan ZRS-diskarna ansluta till en annan virtuell dator. När du delar en disk mellan flera virtuella datorer använder du en ZRS-disk för att förhindra att den delade disken blir en enda felpunkt. |
| Implementera ett av de säkerhetskopieringsalternativen. För hanterade lösningar använder du Backup eller Site Recovery. Om du behöver utforma en egen säkerhetskopieringslösning, använd återställningspunkter eller snapshots. | Identifiera det perfekta säkerhetskopieringsalternativet för dina behov för att maximera miljöns återställningsbarhet. |
| Om du hanterar dina egna ögonblicksbilder, kopiera dem mellan regioner genom skript. | Använd skript för att förenkla överföring av data från en region till en annan. Använd det här alternativet om du inte kan använda Site Recovery. Du kan fortfarande skapa säkerhetskopiering för katastrofåterställning i andra regioner när du använder det här alternativet. |
Säkerhet
Syftet med säkerhetspelare är att tillhandahålla konfidentialitet, integritet och tillgänglighet garantier för arbetsbelastningen.
Designprinciperna för Security tillhandahålla en övergripande designstrategi för att uppnå dessa mål genom att tillämpa metoder för den tekniska utformningen av Azure Disk Storage.
Checklista för design
Påbörja din designstrategi baserat på -designgranskningschecklistan för säkerhet och identifiera sårbarheter och kontroller för att förbättra din säkerhetsposition. Utöka strategin till att omfatta fler metoder efter behov.
Begränsa möjligheten att exportera eller importera hanterade diskar. Använd den här metoden för att öka säkerheten för dina data. Om du vill begränsa export- eller importfunktionerna kan du använda någon av följande metoder:
- Skapa en anpassad rollbaserad åtkomstkontrollroll (RBAC) som har de behörigheter som krävs för att importera och exportera.
- Använd Microsoft Entra ID-autentisering.
- Konfigurera privata länkar.
- Konfigurera en Azure-policy.
- Konfigurera en nätverksåtkomstprincip.
Mer information finns i Begränsa hanterade diskar från att importeras eller exporteras.
Dra nytta av krypteringsalternativ. Som standard krypteras hanterade diskar med kryptering på serversidan (SSE), vilket hjälper dig att skydda dina data och uppfylla organisationens och efterlevnadsåtagandena. Du kan behöva andra konfigurationer och alternativ. Du kan:
- Använd SSE med krypteringsnycklar som du hanterar.
- Aktivera kryptering på värd.
- Aktivera dubbel kryptering i vila.
Mer information finns i kryptering på serversidan av Azure Disk Storage.
Skydda din signatur för delad åtkomst (SAS) med Microsoft Entra-ID. Microsoft Entra ID ger extra säkerhet jämfört med en delad nyckel och SAS, och det är enklare att använda. Bevilja endast säkerhetsprincipaler nödvändiga behörigheter för att utföra sina uppgifter.
Skydda hemligheter. Skydda hemligheter, till exempel kundhanterade nycklar och SAS-token. Vi rekommenderar vanligtvis inte dessa auktoriseringsformer. Men om du använder dem, se till att rotera dina nycklar, ange förfallodatum för nycklar så tidigt som praktiskt och lagra dessa hemligheter på ett säkert sätt.
Identifiera hot. Aktivera Microsoft Defender för molnet så att du kan utlösa säkerhetsaviseringar när avvikelser i aktiviteten inträffar. Defender for Cloud meddelar prenumerationsadministratörer via e-post. E-postmeddelandet innehåller information om misstänkt aktivitet och rekommendationer för att undersöka och åtgärda hot.
Använd taggar och etiketter. Använd taggar och etiketter på viktiga diskar för att säkerställa att du tillämpar lämpliga skyddsnivåer på diskarna.
Härda alla arbetsbelastningskomponenter. Minska den överflödiga ytan och dra åt konfigurationerna för att minska risken för attacker. Skydda alla relaterade resurser som du använder med dina hanterade diskar, till exempel återställningsvalv för säkerhetskopiering eller Azure-nyckelvalv.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Använd kryptering på värd för dina hanterade diskar när det är möjligt. | Kryptering vid värden ger ända-till-ända-kryptering för miljöer där det har aktiverats. Krypteringen börjar på den virtuella datorn och flödar till de anslutna diskarna. |
| Använd ett Azure Resource Manager-lås på disken. | Lås en disk för att förhindra att den tas bort så att du inte förlorar data. |
| Inaktivera trafik till diskens offentliga slutpunkter. Skapa privata slutpunkter för klienter som körs i Azure. | Inaktivera trafik till de offentliga slutpunkterna så att trafiken färdas via Microsofts stamnätverk, vilket hjälper till att eliminera exponering för det offentliga Internet. |
| Om möjligt kan du använda Azure RBAC för att begränsa åtkomsten till resurser och funktioner. | Använd RBAC för att undvika token eller nycklar som kan komprometteras. Microsoft Entra-ID autentiserar säkerhetsobjektet, till exempel en användare, grupp, hanterad identitet eller tjänstens huvudnamn. Microsoft Entra ID returnerar en OAuth 2.0-token. Token används för att auktorisera en begäran mot disktjänsten. |
| Microsoft avråder från att använda SAS-token. Om du måste skapa en kan du läsa den här listan med metodtips för SAS innan du skapar och distribuerar den. Ange förfallodatum för SAS-token till 60 dagar eller mindre. |
Bästa praxis kan hjälpa dig att förhindra att en SAS-token läcker och att snabbt återhämta dig från en läcka om en inträffar. |
| Överväg att använda din egen krypteringsnyckel eller en kundhanterad nyckelför att skydda data på den hanterade disken. | En kundhanterad nyckel ger större flexibilitet och kontroll om du behöver den. Du kan till exempel lagra krypteringsnycklar i Key Vault och rotera dem automatiskt. |
Kostnadsoptimering
Kostnadsoptimering fokuserar på att identifiera utgiftsmönster, prioritera investeringar inom kritiska områden och optimera i andra för att uppfylla både organisationens budget och affärskraven.
Designprinciperna för kostnadsoptimering tillhandahåller en övergripande designstrategi för att uppnå dessa mål och göra kompromisser när det behövs i den tekniska designen som rör Azure Disk Storage.
Checklista för design
Påbörja din designstrategi baserat på checklistan för designgranskning och kostnadsoptimering för investeringar. Finjustera designen så att arbetsbelastningen är i linje med den budget som allokeras för arbetsbelastningen. Din design bör använda rätt Azure-funktioner, övervaka investeringar och hitta möjligheter att optimera över tid.
Förstå hur Azure Disk Storage faktureras. Olika disktyper debiteras på olika sätt och har olika funktioner som kan påverka faktureringen. För att utforma den mest kostnadsoptimerade miljön, se Förstå Azure Disklagringens fakturering. För exakt fakturering letar du reda på den specifika prisinformationen och tillämpar lämpliga inställningar. Mer information finns i prissättning för hanterade diskar.
Beräkna kostnaden för kapacitet och åtgärder. Använd priskalkylatorn för att modellera de kostnader som är associerade med disktyper, transaktioner och funktioner. Jämför de kostnader som är associerade med olika regioner, kontotyper, namnområdestyper och redundanskonfigurationer.
Välj en faktureringsmodell. Utvärdera om en åtagandebaserad modell är mer kostnadseffektiv än en förbrukningsbaserad modell. Om du inte vet hur mycket kapacitet du behöver börjar du med en förbrukningsbaserad modell, övervakar kapacitetsmått och utvärderar ditt val senare.
Bestäm vilka funktioner du behöver. Vissa funktioner, till exempel ögonblicksbilder eller på begäran, medför extra transaktionskostnader, kapacitetskostnader och andra avgifter. Om du till exempel aktiverar ögonblicksbilder debiteras du för den mängd lagringsutrymme som varje ögonblicksbild använder. När du bestämmer vilka funktioner diskarna behöver kan du granska pris- och faktureringsinformationen för dessa funktioner.
Skapa skyddsräcken. Skapa budgetar baserat på prenumerationer och resursgrupper. Använd styrningsprinciper för att begränsa resurstyper, konfigurationer och platser. Du kan också använda RBAC för att blockera åtgärder som kan leda till överförbrukning.
Övervaka kostnader. för att säkerställa att du håller dig inom budgetarna, jämför kostnader med prognoser och se var överförbrukning kan ha inträffat. Använd funktionen kostnadsanalys i Azure-portalen. Du kan också exportera kostnadsdata till ett lagringskonto och använda Excel eller Power BI för att analysera dessa data.
Övervaka diskresurser. Använd exempelskript för att söka efter oanslutna diskar.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Välj noggrant lämpliga disktyper för dina arbetsbelastningar. Förstå tillgängliga disktyper och deras funktioner innan du distribuerar en ny miljö. Använd sedan priskalkylatorn för för att beräkna kostnaderna. | Ett av de bästa sätten att minska kostnaderna är att planera för dina krav och använda priskalkylatorn för att modellera miljön. |
| Använd reserverad kapacitet för Premium SSD-diskar. | Reserverad kapacitet för Premium SSD minskar den totala kostnaden för din miljö eftersom du betalar för din kapacitet med rabatt. |
| Utvärdera om de funktioner som befintliga diskar erbjuder kan förbättra prestandan utan att växla till en annan diskstorlek eller typ. Funktioner som disk som spricker eller ändrar prestandanivåer kan förbättra prestanda till nivåer som uppfyller dina behov. | Beroende på din miljö och dina behov kan det vara mer kostnadseffektivt att aktivera funktioner för att förbättra diskprestanda än att byta till en annan disktyp. Dessa funktioner medför kostnader men kan medföra lägre kostnader än olika disktyper. |
| Justera prestandan för dina Ultra Disk Storage- och Premium SSD v2 diskar så att de passar dina prestandabehov. | Dessa två disktyper stöder ett visst antal justeringar av diskens prestanda inom en 24-timmarsperiod. Med den här inställningen kan dina arbetsbelastningar vara kostnadseffektiva när du uppfyller dina prestandabehov. Du kan öka prestanda (öka kostnaden) för att möta högre efterfrågan och sedan lägre prestanda (minska kostnaden) när ökningen inte längre behövs. Till exempel kan en transaktionsintensiv databas behöva en stor mängd indata-/utdataåtgärder per sekund (IOPS) med en liten storlek. Eller så kan ett spelprogram behöva en stor mängd IOPS men bara under rusningstid. |
Verksamhetsframgång
Operational Excellence fokuserar främst på procedurer för utvecklingsmetoder, observerbarhet och versionshantering.
Designprinciperna för Operational Excellence tillhandahåller en övergripande designstrategi för att uppnå dessa mål i enlighet med driftskraven för arbetsbelastningen.
Checklista för design
Inled din designstrategi med utgångspunkt från checklistan för designgranskning för Operational Excellence för att fastställa processer för observerbarhet, testning och distribution som rör Azure Disk Storage.
Skapa planer för underhåll och nödåterställning. Utvärdera dataskyddsfunktioner, säkerhetskopieringsåtgärder och återställningsåtgärder. Välj säkerhetskopieringslösningar som du kan använda för att återställa efter regionala katastrofer.
Skapa intern dokumentation. Dokumentera organisationens standardmetoder. Införliva befintlig Azure-dokumentation för att effektivisera dina processer. Inkludera dokumentation om hur du ansluter en disk till windows- eller virtuella Linux--datorer eller expanderar en disk på virtuella Datorer i Windows eller Linux.
Upptäck hot. Aktivera Defender för molnet så att du kan utlösa säkerhetsaviseringar när avvikelser i aktiviteten inträffar. Defender for Cloud meddelar prenumerationsadministratörer via e-post. E-postmeddelandet innehåller information om misstänkt aktivitet och rekommendationer för att undersöka och åtgärda hot.
Rekommendationer
| rekommendation | Förmån |
|---|---|
| Använd Azure Monitor för att analysera mått och skapa aviseringar. | Azure Monitor ger insikter om hur dina diskar och virtuella datorer presterar. Använd dessa mått för att säkerställa att dina prestanda förblir optimala. |
| Granska de tillgängliga alternativen för säkerhetskopiering för hanterade diskar. | Förstå de tillgängliga alternativen så att du kan välja den konfiguration som bäst passar dina behov. |
Prestandaeffektivitet
Prestandaeffektivitet handlar om upprätthålla användarupplevelsen även när belastningen ökar genom att hantera kapaciteten. Strategin omfattar skalning av resurser, identifiering och optimering av potentiella flaskhalsar och optimering för högsta prestanda.
Designprinciperna för prestandaeffektivitet tillhandahåller en designstrategi på hög nivå för att uppnå dessa kapacitetsmål med hänsyn till den förväntade användningen.
Checklista för design
Påbörja din designstrategi baserad på designgranskningschecklista för prestanda och effektivitet. Definiera en baslinje som baseras på viktiga prestandaindikatorer för Azure Disk Storage.
Välj optimala disktyper. Identifiera de disktyper som du behöver innan du distribuerar dina resurser. Den här metoden hjälper dig att maximera prestanda och kostnadseffektivitet. De fem disktyperna omfattar Ultra Disk Storage, Premium SSD v2, Premium SSD, Azure Standard SSDoch Azure Standard HDD. För högsta prestanda använder du Premium SSD för den virtuella datorns OS-disk och använder Ultra Disk Storage eller Premium SSD v2 för dina datadiskar.
Minska resavståndet mellan klienten och servern. Placera data i regioner som är närmast anslutande klienter, helst i samma region. Standardnätverkskonfigurationer ger bästa möjliga prestanda. Ändra endast nätverksinställningar för att förbättra säkerheten. I allmänhet minskar inte nätverksinställningarna reseavståndet och förbättrar inte prestandan.
Samla in prestanda data. Övervaka dina diskar och virtuella datorer för att identifiera prestandaflaskhalsar som uppstår vid strypning. Mer information finns i I/O-mått för lagring.
Jämför diskarna. Skapa en testmiljö och avgöra om den uppfyller dina behov och förväntningar. För mer information, se Prestandatesta en disk.
Rekommendationer
| rekommendation | Förmån |
|---|---|
| Skapa diskar i samma region som den virtuella dator som du kopplar dem till. Om klienter från en annan region inte behöver samma data skapar du en separat disk i varje region. | Minska det fysiska avståndet mellan virtuella datorer och deras diskar, tjänster och lokala klienter för att förbättra prestanda och minska nätverksfördröjningen. Den här metoden minskar också kostnaderna för program som du är värd för i Azure eftersom bandbreddsanvändningen i en enda region är kostnadsfri. |
| För arbetsbelastningar och lösningar som kräver den lägsta svarstiden, till exempel arbetsbelastningar eller databaser för e-handel, använder du en Premium SSD OS-disk och Ultra Disk Storage- eller Premium SSD v2 datadiskar. | Den här konfigurationen ger bästa möjliga tillförlitlighet och högsta serviceavtal och prestanda. |
| Använd Azure-mått för att övervaka din miljö och förhindra diskbegränsning. | Använd Azure-mått för att identifiera diskar som begränsas och hantera dessa. Begränsning leder till suboptimal prestanda och problem som ökad fördröjning. |
| För diskar som begränsas, utvärdera om det är bättre för dina behov att byta till en större diskstorlek eller till en mer högpresterande disk. För Premium SSD-diskar som begränsas aktiveraom du har kortsiktiga efterfrågetoppar. För långsiktig utökad efterfrågan ändra nivån på disken eller utvärdera om Premium SSD v2 eller Ultra Disk Storage diskar bättre passar dina behov. |
Placera applikationer på diskar som inte stryps för att säkerställa optimal prestanda utan ökad latens. |
| När du laddar upp en virtuell hårddisk (VHD) använder du kommandot Add-AzVHD Azure PowerShell. | Kommandot Add-AzVHD Azure PowerShell automatiserar det mesta av uppladdningsprocessen för att effektivisera processen. |
| För befintliga distributioner som finns lokalt eller i en annan offentlig molnleverantör använder du Azure Migrate och Modernisera. | Azure Migrate och Modernize kan utvärdera distributionen och ge utvalda förslag på den bästa storleken på diskar och virtuella datorer i en potentiell Azure-distribution. |
Azure-policys
Azure tillhandahåller en omfattande uppsättning inbyggda principer som rör Azure Disk Storage och dess beroenden. Några av föregående rekommendationer kan granskas via Azure Policy. Du kan till exempel kontrollera om:
- Åtkomsten till det offentliga nätverket till dina hanterade diskar är inaktiverad.
- Säkerhetskopiering är aktiverat.
- Dubbel kryptering är aktiverat.
- Specifika diskkrypteringsuppsättningar används med dina diskar.
- Kundhanterade nycklar används.
- Hanterade diskar är zonmotståndskraftiga.
- Meddelandeprinciper för förfallodatum för nycklar har konfigurerats.
- Automatisk rotation för kundhanterade nycklar är aktiverad.
För en omfattande styrning, granska de inbyggda definitionerna för Azure Policy för Azure Compute och andra policyer som kan påverka säkerheten för lagringsinfrastrukturen.
Azure Advisor-rekommendationer
Azure Advisor är en anpassad molnkonsult som hjälper dig att följa metodtipsen för att optimera dina Azure-distributioner. Här följer några rekommendationer som kan hjälpa dig att förbättra tillförlitligheten, säkerheten, kostnadseffektiviteten, prestandan och driften av Azure Disk Storage.