你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
有关Azure 文件存储的 Azure 良好架构框架视角
Azure 文件存储是云的Microsoft文件存储解决方案。 Azure 文件存储提供服务器消息块(SMB)和网络文件系统(NFS)文件共享,你可以将其装载到云中的客户端、本地或同时装载到两者。 还可以使用Azure 文件同步在本地 Windows 服务器上缓存 SMB 文件共享,并将不经常使用的文件分层到云中。
本文假设作为架构师,你已查看了存储选项,并选择了Azure 文件存储作为运行工作负荷的存储服务。 本文中的指南提供了映射到 Azure 良好架构框架支柱原则的体系结构建议。
重要
如何使用本指南
每个部分都有一个 设计清单,该清单 提供关注的体系结构区域以及本地化为技术范围的设计策略。
还包括有关可帮助实施这些策略的技术功能的建议。 这些建议并不表示可用于Azure 文件存储及其依赖项的所有配置的详尽列表。 而是列出映射到设计透视的关键建议。 使用建议生成概念证明或优化现有环境。
可靠性
可靠性支柱的目的是通过 构建足够的复原能力和从故障中快速恢复的能力来提供持续的功能。
可靠性设计原则为各个组件、工作负荷、系统流和整个系统提供高级设计策略。
设计清单
根据 可靠性设计评审清单启动设计策略。
使用故障模式分析:考虑内部依赖项(例如虚拟网络、Azure 密钥库或 Azure 内容分发网络或 Azure Front Door 终结点的可用性)来最大程度地减少故障点。 如果需要凭据来访问Azure 文件存储,并且凭据从密钥库中丢失,则可能会出现故障。 或者,如果工作负荷使用基于缺少的内容分发网络的终结点,则可能失败。 在这些情况下,可能需要将工作负荷配置为连接到备用终结点。 有关故障模式分析的一般信息,请参阅 有关执行故障模式分析的建议。
定义可靠性和恢复目标:查看 Azure 服务级别协议(SLA)。 为存储帐户派生服务级别目标(SLO)。 例如,所选的冗余配置可能会影响 SLO。 请考虑发生区域性服务中断、数据丢失的可能性,以及中断后还原访问所需的时间。 另请考虑你标识为故障模式分析的一部分的内部依赖项的可用性。
配置数据冗余:为获得最大持久性,请选择跨可用性区域或全局区域复制数据的配置。 为获得最大可用性,请选择允许客户端在主要区域中断期间从次要区域读取数据的配置。
设计应用程序:将应用程序设计为无缝转移,以便在主要区域不可用时从次要区域读取数据。 此设计注意事项仅适用于异地冗余存储(GRS)和异地区域冗余存储(GZRS)配置。 设计应用程序以正确处理中断,从而减少客户的停机时间。
浏览有助于满足恢复目标的功能:使文件可还原,以便可以恢复损坏、编辑或删除的文件。
创建恢复计划:考虑数据保护功能、备份和还原操作或故障转移过程。 准备潜在的 数据丢失和数据不一致 以及 故障转移的时间和成本。 有关详细信息,请参阅 有关设计灾难恢复策略的建议。
监视潜在的可用性问题:订阅 Azure 服务运行状况仪表板 以监视潜在的可用性问题。 使用 Azure Monitor 中的存储指标和诊断日志调查警报。
建议
建议 | 好处 |
---|---|
为存储帐户配置冗余。 若要获得最大可用性和持久性,请使用区域冗余存储(ZRS)、GRS 或 GZRS 配置帐户。 有限的 Azure 区域支持标准文件共享和高级文件共享的 ZRS。 只有标准 SMB 帐户支持 GRS 和 GZRS。 高级 SMB 共享和 NFS 共享不支持 GRS 和 GZRS。 Azure 文件存储不支持读取访问异地冗余存储 (RA-GRS) 或读取访问异地区域冗余存储 (RA-GZRS)。 如果将存储帐户配置为使用 RA-GRS 或 RA-GZRS,则文件共享将配置为 GRS 或 GZRS 并计费。 |
冗余可保护数据免受意外故障的影响。 ZRS 和 GZRS 配置选项跨各种可用性区域复制,并使应用程序能够在中断期间继续读取数据。 有关详细信息,请参阅中断方案以及持久性和可用性参数的持久性和可用性。 |
在启动故障转移或故障回复之前,请检查上次同步时间属性的值以评估数据丢失的可能性。 此建议仅适用于 GRS 和 GZRS 配置。 | 此属性可帮助你估算启动帐户故障转移时可能会丢失的数据量。 在上次同步时间之前写入的所有数据和元数据在次要区域中可用,但可能会丢失上次同步时间后写入的数据和元数据,因为它不会写入次要区域。 |
作为备份和恢复策略的一部分, 启用软删除 并使用 快照 进行时间点还原。 可以使用Azure 备份备份 SMB 文件共享。 还可以使用Azure 文件同步将本地 SMB 文件共享备份到 Azure 文件共享。 Azure 备份还允许你执行Azure 文件存储的保管库备份(预览版),以防止由于恶意参与者或恶意管理员而导致的勒索软件攻击或源数据丢失。通过使用保管库备份,Azure 备份在恢复服务保管库中复制和存储数据。 这会创建一个最多可保留 99 年的数据异地副本。 Azure 备份根据备份策略中定义的计划和保留时间创建和管理恢复点。 了解详细信息。 |
软删除适用于文件共享级别,可防止意外删除 Azure 文件共享。 时间点还原可防止意外删除或损坏,因为可以将文件共享还原到早期状态。 有关详细信息,请参阅数据保护概述。 |
安全性
安全支柱的目的是为工作负载提供机密性、完整性和可用性保证。
安全 设计原则 通过对文件存储配置的技术设计应用方法,为实现这些目标提供了高级设计策略。
安全要求和建议因工作负荷使用 SMB 或 NFS 协议来访问文件共享而异。 因此,以下部分具有针对 SMB 和 NFS 文件共享的单独设计清单和建议。
最佳做法是,应将 SMB 和 NFS 文件共享保留在单独的存储帐户中,因为它们具有不同的安全要求。 使用此方法为工作负荷提供强大的安全性和较高的灵活性。
SMB 文件共享的设计清单
根据 安全设计评审清单启动设计策略。 确定漏洞和控制以提高安全态势。 扩展策略以根据需要包含更多方法。
查看Azure 存储的安全基线:若要开始,请查看存储的安全基线。
请考虑使用网络控制来限制入口和出口流量:在某些情况下,你可能愿意向公共 Internet 公开存储帐户,例如,如果使用基于标识的身份验证来授予对文件共享的访问权限。 但我们建议你使用网络控制来授予对用户和应用程序的最低所需访问权限级别。 有关详细信息,请参阅 如何实现存储帐户的网络安全性。
减少攻击面:在传输中使用加密并防止通过不安全(HTTP)连接进行访问以减少攻击面。 要求客户端使用最新版本的传输层安全性 (TLS) 协议发送和接收数据。
最大程度地减少存储帐户密钥的使用: 与使用存储帐户密钥相比,基于标识的身份验证 提供更高的安全性。 但是,必须使用存储帐户密钥获取对文件共享的完全管理控制,包括获取文件的所有权的能力。 仅向安全主体授予执行任务所需的权限。
保护敏感信息:保护敏感信息,例如存储帐户密钥和密码。 我们不建议使用这些形式的授权,但如果这样做,应确保轮换、过期并安全地存储它们。
检测威胁:启用 Microsoft Defender for Storage ,以检测通过 SMB 或 FileREST 协议访问或利用 Azure 文件共享的潜在有害尝试。 订阅管理员会收到电子邮件警报,其中包含可疑活动的详细信息,以及有关如何调查和修正威胁的建议。 Defender for Storage 不支持 Azure 文件共享的防病毒功能。 如果使用 Defender for Storage,事务密集型文件共享会产生大量成本,因此请考虑为特定存储帐户选择退出 Defender for Storage。
SMB 文件共享建议
建议 | 好处 |
---|---|
在存储帐户上应用 Azure 资源管理器锁。 | 锁定帐户以防止意外或恶意删除存储帐户,这可能会导致数据丢失。 |
打开 TCP 端口 445 出站或设置 VPN 网关或 Azure ExpressRoute 连接,以便 Azure 外部的客户端访问文件共享。 | SMB 3.x 是 Internet 安全协议,但可能无法更改组织或 ISP 策略。 可以使用 VPN 网关或 ExpressRoute 连接作为替代选项。 |
如果打开端口 445,请确保在 Windows 和 Linux 客户端上禁用 SMBv1。 Azure 文件存储不支持 SMB 1,但仍应在客户端上禁用它。 | SMB 1 是一个已过时的低效且不安全的协议。 在客户端上禁用它以提高安全态势。 |
请考虑禁用对存储帐户的公共网络访问。 仅当 Azure 外部的 SMB 客户端和服务需要访问存储帐户时,才启用公用网络访问。 如果禁用公共网络访问,请为存储帐户创建专用终结点 。 专用终结点的标准数据处理速率适用。 专用终结点不会阻止与公共终结点的连接。 仍应按前面所述禁用公用网络访问。 如果不需要文件共享的静态 IP 地址,并且想要避免专用终结点的成本,可以改为 限制对特定虚拟网络和 IP 地址的公共终结点访问 。 |
网络流量通过Microsoft主干网络(而不是公共 Internet)传输,从而消除了来自公共 Internet 的风险暴露。 |
启用限制对特定虚拟网络的访问的防火墙规则。 从零访问开始,然后有条不紊地以增量方式提供客户端和服务所需的最少访问权限。 | 最大程度地降低为攻击者创建开放的风险。 |
如果可能,请使用 基于标识的身份验证 和 AES-256 Kerberos 票证加密来授权访问 SMB Azure 文件共享。 | 使用基于标识的身份验证来减少攻击者使用存储帐户密钥访问文件共享的可能性。 |
如果使用存储帐户密钥,请将它们存储在密钥库中,并确保定期重新生成它们。 可以通过从共享的 SMB 安全设置中删除 NTLMv2 来完全禁止对文件共享的存储帐户密钥访问。 但通常不应从共享的 SMB 安全设置中删除 NTLMv2,因为管理员仍需将帐户密钥用于某些任务。 |
使用密钥库在运行时检索密钥,而不是将它们与应用程序一起保存。 密钥库还可以轻松地轮换密钥,而不会中断应用程序。 定期轮换帐户密钥,以减少向恶意攻击公开数据的风险。 |
在大多数情况下,应在所有存储帐户上启用 安全传输所需的 选项,以启用 SMB 文件共享的传输中加密。 如果需要允许非常旧的客户端访问共享,请不要启用此选项。 如果禁用安全传输,请确保使用网络控制来限制流量。 |
此设置可确保针对存储帐户发出的所有请求都通过安全连接(HTTPS)进行。 通过 HTTP 发出的任何请求都将失败。 |
配置存储帐户 ,使 TLS 1.2 是客户端发送和接收数据的最低版本。 | TLS 1.2 比 TLS 1.0 和 1.1 更安全、更快速,后者不支持新式加密算法和密码套件。 |
仅使用最新支持的 SMB 协议版本(当前为 3.1.1.),仅使用 AES-256-GCM 进行 SMB 通道加密。 Azure 文件存储公开可用于切换 SMB 协议的设置,并使其更兼容或更安全,具体取决于组织的要求。 默认情况下,允许所有 SMB 版本。 但是,如果启用 “需要安全传输 ”,则不允许 SMB 2.1,因为 SMB 2.1 不支持传输中的数据加密。 如果将这些设置限制为高级别的安全性,某些客户端可能无法连接到文件共享。 |
使用 Windows 10 发布的 SMB 3.1.1 包含重要的安全性和性能更新。 AES-256-GCM 提供更安全的通道加密。 |
NFS 文件共享的设计清单
有关 NFS 文件共享的建议
建议 | 好处 |
---|---|
对存储帐户应用资源管理器锁。 | 锁定帐户以防止意外或恶意删除存储帐户,这可能会导致数据丢失。 |
必须在要将 NFS 共享装载到的客户端上打开端口 2049。 | 打开端口 2049,让客户端与 NFS Azure 文件共享通信。 |
NFS Azure 文件共享只能通过受限网络访问。 因此,必须为 存储帐户创建专用终结点 ,或 限制对所选虚拟网络和 IP 地址的公共终结点访问 。 建议创建专用终结点。 必须为 NFS 共享配置网络级别安全性,因为Azure 文件存储不支持使用 NFS 协议进行传输中的加密。 需要禁用存储帐户上的“需要安全传输”设置才能使用 NFS Azure 文件共享。 标准数据处理速率适用于专用终结点。 如果不需要文件共享的静态 IP 地址,并且想要避免专用终结点的成本,可以改为限制公共终结点访问。 |
网络流量通过Microsoft主干网络(而不是公共 Internet)传输,从而消除了来自公共 Internet 的风险暴露。 |
请考虑在存储帐户级别禁止存储帐户密钥访问。 无需此访问权限来装载 NFS 文件共享。 但请记住,文件共享的完全管理控制(包括拥有文件的能力)需要使用存储帐户密钥。 | 禁止使用存储帐户密钥,使存储帐户更安全。 |
成本优化
成本优化侧重于 检测支出模式、优先考虑关键领域的投资,并优化其他 领域以满足组织预算,同时满足业务需求。
成本优化设计原则提供了一个高级设计策略,用于实现这些目标,并在与文件存储和环境相关的技术设计中做出权衡。
设计清单
根据 投资成本优化 的设计评审清单启动设计策略。 微调设计,使工作负荷与为工作负荷分配的预算保持一致。 设计应使用正确的 Azure 功能,监视投资,并查找随时间推移进行优化的机会。
确定工作负荷是否需要高级文件共享(Azure 高级 SSD)的性能,或者 Azure 标准 HDD 存储是否足够:根据所需的存储类型确定存储帐户类型和计费模型。 如果需要每秒大量输入/输出操作(IOPS)、极快的数据传输速度或非常低的延迟,则应选择高级 Azure 文件共享。 NFS Azure 文件共享仅在高级层上可用。 NFS 和 SMB 文件共享在高级层的价格相同。
为文件共享创建存储帐户,并选择冗余级别:选择标准(GPv2)或高级(FileStorage)帐户。 选择的冗余级别会影响成本。 冗余越多,成本就越高。 本地冗余存储(LRS)是最实惠的。 GRS 仅适用于标准 SMB 文件共享。 标准文件共享仅在存储帐户级别显示事务信息,因此我们建议在每个存储帐户中仅部署一个文件共享,以确保完全计费可见性。
了解如何计算帐单:标准 Azure 文件共享提供 即用即付模型。 高级共享使用 预配的模型 ,可在其中提前指定和支付特定容量、IOPS 和吞吐量。 在即用即付模型中,计量根据数据的使用情况跟踪存储在帐户中的数据量或容量以及事务的数量和类型。 即用即付模型可以经济高效,因为只需为使用的内容付费。 使用即用即付模型时,无需根据性能要求或需求波动过度预配或取消预配存储。
但是,在预算流程中,你可能会发现很难规划存储,因为最终用户消耗会推动成本。 使用预配的模型时,事务不会影响计费,因此成本易于预测。 但是,无论是否使用它,你都为预配的存储容量付费。 有关如何计算成本的详细细分,请参阅了解Azure 文件存储计费。
估算容量和操作成本:可以使用 Azure 定价计算器 对与数据存储、入口和出口相关的成本建模。 比较与各种区域、帐户类型和冗余配置关联的成本。 有关详细信息,请参阅Azure 文件存储定价。
选择最经济高效的访问层:标准 SMB Azure 文件共享提供三个访问层: 事务优化、 热和 冷。 这三个层都存储在同一标准存储硬件上。 这三个层的主要区别是静态存储价格的数据,在较冷层中较低,交易价格在较冷层中较高。 有关详细信息,请参阅 标准层的差异。
确定需要哪些增值服务:Azure 文件存储支持与增值服务(例如备份、Azure 文件同步和 Defender for Storage)的集成。 这些解决方案有自己的许可和产品成本,但通常被视为文件存储总拥有成本的一部分。 如果使用Azure 文件同步,请考虑其他成本方面。
创建防护措施:基于订阅和资源组创建 预算 。 使用治理策略来限制资源类型、配置和位置。 此外,使用基于角色的访问控制(RBAC)阻止可能导致超支的操作。
监视成本:确保成本保持在预算内,将成本与预测进行比较,并查看出现超支的情况。 可以使用Azure 门户中的成本分析窗格来监视成本。 还可以将成本数据导出到存储帐户,并使用 Excel 或 Power BI 分析这些数据。
监视使用情况:持续监视使用模式,以检测未使用或未使用的存储帐户和文件共享。 检查容量意外增加,这可能表示要收集大量日志文件或软删除文件。 制定用于删除文件或将文件移动到更具成本效益的访问层的策略。
建议
建议 | 好处 |
---|---|
迁移到标准 Azure 文件共享时,建议在初始迁移期间在事务优化层中启动。 迁移期间的事务使用情况通常不表示正常的事务使用情况。 此注意事项不适用于高级文件共享,因为预配的计费模型不会对事务收费。 | 迁移到Azure 文件存储是临时的事务密集型工作负荷。 优化高事务工作负荷的价格,以帮助降低迁移成本。 |
迁移工作负荷后,如果使用标准文件共享,请仔细为文件共享选择最经济高效的访问层: 热、 冷或 事务优化。 在定期使用几天或几周后,可以在定价计算器中插入事务计数,以确定最适合工作负荷的层。 大多数客户应该选择 很酷 ,即使他们主动使用共享。 但应该检查每个共享,并将存储容量的平衡与事务进行比较,以确定层。 如果事务成本占帐单的很大百分比,则使用 冷 访问层节省的成本通常会抵消此成本,并将总总成本降到最低。 建议仅在需要时才在访问层之间移动标准文件共享,以优化工作负荷模式中的更改。 每次移动都会产生事务。 有关详细信息,请参阅 在标准层之间进行切换。 |
为标准文件共享选择适当的访问层,以大幅降低成本。 |
如果使用高级共享,请确保为工作负荷预配足够的容量和性能,但不会产生不必要的成本。 建议过度预配两到三次。 可以根据存储和输入/输出(IO)性能特征动态缩放高级文件共享。 | 以合理的方式过度预配高级文件共享,以帮助维护性能和考虑未来的增长和性能要求。 |
使用Azure 文件存储预留(也称为预留实例)来预提交存储使用情况并获取折扣。 对生产工作负荷或具有一致占用空间的开发/测试工作负荷使用预留。 有关详细信息,请参阅 使用存储预留优化成本。 预留不包括事务、带宽、数据传输和元数据存储费用。 |
三年期预留可以针对文件存储的总成本提供高达 36% 的折扣。 预留不会影响性能。 |
监视快照使用情况。 快照会产生费用,但会根据每个快照的差异存储使用情况对快照收费。 只需为每个快照中的差异付费。 有关详细信息,请参阅快照。 Azure 文件同步将共享级别快照和文件级快照作为常规使用情况的一部分,这可能会增加Azure 文件存储账单总数。 |
差异快照可确保不会为存储相同数据多次付费。 但是,仍应监视快照使用情况,以帮助减少Azure 文件存储帐单。 |
为软删除功能设置保留期,尤其是在首次开始使用该功能时。 请考虑从较短的保留期开始,以便更好地了解该功能如何影响帐单。 建议的最短保持期为七天。 软删除标准和高级文件共享时,它们将按已用容量而不是预配容量计费。 高级文件共享按快照速率计费,同时处于软删除状态。 标准文件共享按常规费率计费,同时处于软删除状态。 |
设置保留期,以便软删除的文件不会堆积起来并增加容量成本。 在配置的保留期过后,永久删除的数据不会产生费用。 |
卓越运营
卓越运营主要侧重于开发 实践、可观测性和发布管理的过程。
卓越运营设计原则提供了一个高级设计策略,用于实现工作负荷操作要求的目标。
设计清单
根据 卓越运营 的设计评审清单启动设计策略,以定义与文件存储配置相关的可观测性、测试和部署过程。
创建维护和紧急恢复计划:考虑数据保护功能、备份和还原操作以及故障转移过程。 准备潜在的 数据丢失和数据不一致 以及 故障转移的时间和成本。
监视存储帐户的运行状况:创建 存储见解 仪表板以监视可用性、性能和复原指标。 在客户注意到问题之前,设置警报以识别和解决系统中的问题。 使用诊断设置将资源日志路由到 Azure Monitor 日志工作区。 然后,可以查询日志以更深入地调查警报。
定期查看文件共享活动:共享活动可能会随时间而更改。 将标准文件共享移动到较冷的访问层,也可以预配或取消预配高级共享的容量。 将标准文件共享移动到其他访问层时,会产生事务费用。 仅当需要减少每月帐单时,才移动标准文件共享。
建议
建议 | 好处 |
---|---|
使用基础结构即代码 (IaC) 定义 Azure 资源管理器 模板(ARM 模板)、Bicep 或 Terraform 中存储帐户的详细信息。 | 可以使用现有的 DevOps 进程来部署新的存储帐户,并使用 Azure Policy 强制实施其配置。 |
使用存储见解跟踪存储帐户的运行状况和性能。 存储见解为所有存储帐户提供故障、性能、可用性和容量的统一视图。 | 可以跟踪每个帐户的运行状况和操作。 轻松创建利益干系人可用于跟踪存储帐户运行状况的仪表板和报表。 |
使用 Monitor 分析 指标,例如可用性、延迟和使用情况,以及 创建警报。 | 监视器提供文件共享的可用性、性能和复原能力视图。 |
性能效率
性能效率与保持用户体验有关 ,即使通过管理容量增加负载 也是如此。 该策略包括缩放资源、识别和优化潜在瓶颈,以及优化峰值性能。
性能效率设计原则提供了一种高级设计策略,用于针对预期使用情况实现这些容量目标。
设计清单
根据 性能效率的设计评审清单启动设计策略。 定义基于文件存储配置的关键绩效指标的基线。
了解应用程序和使用模式以实现可预测的性能:确定延迟敏感度、IOPS 和吞吐量要求、工作负荷持续时间和频率以及工作负荷并行化。 对多线程应用程序使用Azure 文件存储来帮助实现服务的性能上限。 如果大多数请求以元数据为中心的请求(例如 createfile、openfile、closefile、queryinfo 或 querydirectory),则请求将创建比读取和写入操作更高的延迟。 如果遇到此问题,请考虑将文件共享分成同一存储帐户中的多个文件共享。
选择最佳存储帐户类型:如果工作负荷需要大量的 IOPS、极快的数据传输速度或非常低的延迟,则应选择高级(FileStorage)存储帐户。 可以将标准常规用途 v2 帐户用于大多数 SMB 文件共享工作负荷。 这两种存储帐户类型之间的主要权衡是成本与性能。
预配的共享大小(例如 IOPS、出口和入口)和单文件限制决定了高级共享性能。 有关详细信息,请参阅 了解高级文件共享的预配。 如果需要暂时超过高级文件共享的基线 IOPS 限制,高级文件共享还提供 突发信用额度 作为保险单。
在连接客户端以减少延迟的同一区域中创建存储帐户:离Azure 文件存储服务越远,延迟越大,实现性能缩放限制就越困难。 从本地环境访问Azure 文件存储时,此注意事项尤其如此。 如果可能,请确保存储帐户和客户端位于同一 Azure 区域中。 通过最小化网络延迟或使用 ExpressRoute 连接通过专用连接将本地网络扩展到Microsoft云,从而优化本地客户端。
收集性能数据:监视工作负荷性能,包括 延迟、 可用性和 使用情况 指标。 分析日志 以诊断超时和限制等问题。 创建警报 ,以在文件共享受到限制、即将受到限制或遇到高延迟时通知你。
针对混合部署进行优化:如果使用Azure 文件同步,同步性能取决于许多因素:Windows Server 和基础磁盘配置、服务器与 Azure 存储之间的网络带宽、文件大小、数据集的总大小以及数据集上的活动。 若要度量基于Azure 文件同步的解决方案的性能,请确定每秒处理的对象数,例如文件和目录。
建议
建议 | 好处 |
---|---|
为高级 SMB 文件共享启用 SMB 多通道 。 SMB 多通道允许 SMB 3.1.1 客户端与 SMB Azure 文件共享建立多个网络连接。 SMB 多通道仅在客户端(客户端)和服务端(Azure)上启用该功能时才有效。 在 Windows 客户端上,SMB 多通道默认处于启用状态,但需要在存储帐户上启用它。 |
提高吞吐量和 IOPS,同时降低总拥有成本。 随着分发负载的文件数的增加,性能优势也有所增加。 |
将 nconnect 客户端装载选项与 Linux 客户端上的 NFS Azure 文件共享配合使用。 Nconnect 允许在客户端与 Azure 文件存储 NFSv4.1 的高级服务之间使用更多的 TCP 连接。 | 大规模提高性能,并降低 NFS 文件共享的总拥有成本。 |
确保文件共享或存储帐户不受 限制,这可能会导致高延迟、低吞吐量或低 IOPS。 达到 IOPS、入口或出口限制时,请求会受到限制。 对于标准存储帐户,限制发生在帐户级别。 对于高级文件共享,限制通常发生在共享级别。 |
避免限制以提供最佳的客户端体验。 |
Azure 策略
Azure 提供了一组与Azure 文件存储相关的大量内置策略。 可以通过 Azure 策略审核上述一些建议。 例如,可以检查以下情况:
- 仅接受来自安全连接(如 HTTPS)的请求。
- 共享密钥授权已禁用。
- 网络防火墙规则将应用于帐户。
- Azure 文件存储的诊断设置设置为将资源日志流式传输到 Azure Monitor 日志工作区。
- 已禁用公用网络访问。
- Azure 文件同步配置为使用专用 DNS 区域。
若要进行全面的治理,请查看 Azure Policy 内置定义,了解可能影响计算层安全性的存储 和其他策略。
Azure 顾问建议
Azure 顾问是个性化的云顾问程序,可帮助遵循最佳做法来优化 Azure 部署。 下面是一些建议,可帮助你提高Azure 文件存储的可靠性、安全性、成本效益、性能和卓越运营能力。
下一步
有关详细信息,请参阅Azure 文件存储文档。