Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Blob Storage è una soluzione di archiviazione di oggetti Microsoft per il cloud. L'archiviazione BLOB è ottimizzata per archiviare enormi quantità di dati non strutturati. I dati non strutturati sono dati che non aderiscono a un modello di dati specifico o a una definizione, come ad esempio dati di testo o dati binari.
Questo articolo presuppone che come architetto siano state esaminate le opzioni di archiviazione e sia stato scelto Archiviazione BLOB come servizio di archiviazione in cui eseguire i carichi di lavoro. Le linee guida contenute in questo articolo forniscono raccomandazioni sull'architettura mappate ai principi dei pilastri di Azure Well-Architected Framework .
Reliability
Lo scopo del pilastro Affidabilità è fornire funzionalità continue attraverso la costruzione di una resilienza sufficiente e la capacità di recuperare rapidamente dai guasti.
I principi di progettazione dell'affidabilità forniscono una strategia di progettazione di alto livello applicata per singoli componenti, flussi di sistema e il sistema nel suo complesso.
Elenco di controllo per la progettazione del carico di lavoro
Avvia la tua strategia di progettazione basandoti sulla checklist di revisione del progetto per l'affidabilità.
Usare l'analisi della modalità di errore: ridurre al minimo i punti di errore considerando le dipendenze interne, ad esempio la disponibilità di reti virtuali, Azure Key Vault o la rete per la distribuzione di contenuti di Azure o gli endpoint di Frontdoor di Azure. Possono verificarsi errori se le credenziali necessarie ai carichi di lavoro per accedere all'Archiviazione Blob mancano da Key Vault, oppure se i carichi di lavoro utilizzano un endpoint basato su una rete di distribuzione di contenuti rimossa. In questi casi, i carichi di lavoro potrebbero dover usare un endpoint alternativo per connettersi. Per informazioni generali sull'analisi della modalità di errore, vedere Raccomandazioni per l'esecuzione dell'analisi della modalità di errore.
Definire obiettivi di affidabilità e ripristino: esaminare i contratti di servizio di Azure. Derivare l'obiettivo relativo al livello di servizio (SLO) per l'account di storage. Ad esempio, l'SLO potrebbe essere interessato dalla configurazione di ridondanza scelta. Prendere in considerazione l'effetto di un'interruzione a livello di area, la potenziale perdita di dati e il tempo necessario per ripristinare l'accesso dopo un'interruzione. Prendere in considerazione anche la disponibilità di eventuali dipendenze interne identificate nell'ambito dell'analisi dei modi di guasto.
Configurare la ridondanza dei dati: per la durabilità massima, scegliere una configurazione che copia i dati tra zone di disponibilità o aree globali. Per la disponibilità massima, scegliere una configurazione che consenta ai client di leggere i dati dall'area secondaria durante un'interruzione dell'area primaria.
Progettare applicazioni: progettare applicazioni per passare alla lettura dei dati dall'area secondaria se l'area primaria non è più disponibile per qualsiasi motivo. Ciò richiede configurazioni di archiviazione con ridondanza geografica e accesso in lettura (RA-GRS) o archiviazione con ridondanza geografica della zona (RA-GZRS). Entrambe le configurazioni forniscono l'accesso in sola lettura ai dati nell'area secondaria. La progettazione di applicazioni per gestire le interruzioni riduce i tempi di inattività per gli utenti finali.
Esplorare le funzionalità per soddisfare le destinazioni di ripristino: rendere i BLOB ripristinabili in modo che possano essere ripristinati se sono danneggiati, modificati o eliminati per errore.
Creare un piano di ripristino: prendere in considerazione le funzionalità di protezione dei dati, le operazioni di backup e ripristino o le procedure di failover. Prepararsi per potenziali perdite di dati e incoerenze dei dati e il tempo e il costo del failover. Per altre informazioni, vedere Raccomandazioni per la progettazione di una strategia di ripristino di emergenza.
Monitorare i potenziali problemi di disponibilità: sottoscrivere il dashboard integrità dei servizi di Azure per monitorare i potenziali problemi di disponibilità. Usare le metriche di archiviazione in Monitoraggio di Azure e nei log di diagnostica per analizzare gli avvisi.
Analizzare periodicamente l'archivio dati: utilizzare Azure Storage Discovery e Azure Copilot per analizzare le configurazioni di ridondanza e ottimizzarle.
Consigli sulla configurazione
| Recommendation | Benefit |
|---|---|
| Configura il tuo account per la ridondanza. Per garantire la massima disponibilità e durabilità, configurare l'account utilizzando l'archiviazione con ridondanza della zona (ZRS) o GZRS. Se si usa la ridondanza GZRS, è possibile ottenere l'obiettivo del punto di ripristino (RPO) ottimale abilitando la replica con priorità geografica. |
La ridondanza protegge i dati da errori imprevisti. Le opzioni di configurazione di ridondanza a livello di zona (ZRS) e ridondanza geografica a livello di zona (GZRS) vengono replicate in zone di disponibilità diverse e consentono alle applicazioni di continuare l'accesso in lettura dei dati durante un'interruzione. Per altre informazioni, vedere Durabilità e disponibilità in base a scenari di interruzione e parametri di durabilità e disponibilità. |
| Prima di avviare un failover o un failback, valutare la potenziale perdita di dati controllando il valore della proprietà dell'ora dell'ultima sincronizzazione . Questa raccomandazione si applica solo alle configurazioni di archiviazione con ridondanza geografica (GRS) e archiviazione con ridondanza geografica zonale (GZRS). | Questa proprietà consente di stimare la quantità di dati che si potrebbero perdere avviando un failover dell'account. Tutti i dati e i metadati scritti prima dell'ora dell'ultima sincronizzazione sono disponibili nell'area secondaria, ma i dati e i metadati scritti dopo l'ora dell'ultima sincronizzazione potrebbero andare persi perché non vengono scritti nell'area secondaria. |
| Come parte della strategia di backup e ripristino, abilitare l'eliminazione temporanea del contenitore, l'eliminazione temporanea del blob, la versioning e le opzioni di ripristino a un punto specifico nel tempo. | L'opzione di eliminazione temporanea consente a un account di archiviazione di ripristinare i contenitori e i BLOB eliminati. L'opzione di controllo delle versioni tiene automaticamente traccia delle modifiche apportate ai BLOB. Questa opzione consente di ripristinare uno stato precedente di un BLOB. L'opzione di ripristino temporizzato protegge dall'eliminazione accidentale o dal danneggiamento dei BLOB e consente di ripristinare i dati blob in blocchi a uno stato precedente. Per altre informazioni, vedere Panoramica della protezione dei dati. |
| Configurare il backup con vault per Azure Blob come parte della strategia di backup. | Il backup con insieme di credenziali consente di proteggere i dati blob in blocchi da ransomware, altri attacchi dannosi o la perdita di dati di origine. I dati vengono copiati e archiviati nel vault di backup (una copia remota dei dati) che può essere conservata per un massimo di 10 anni. Se si verifica una perdita di dati nell'account di origine, è possibile attivare un ripristino in un account alternativo e ottenere l'accesso ai dati. Altre informazioni sul supporto per il backup in vault usando Backup di Azure. |
Security
Lo scopo del pilastro Sicurezza è fornire garanzie di riservatezza, integrità e disponibilità al carico di lavoro.
I principi di progettazione della sicurezza forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi applicando approcci alla progettazione tecnica della configurazione dell'archiviazione BLOB.
Elenco di controllo per la progettazione del carico di lavoro
Avvia la tua strategia di progettazione basata sulla checklist per la revisione della sicurezza. Identificare vulnerabilità e controlli per migliorare il comportamento di sicurezza. Estendere la strategia per includere altri approcci in base alle esigenze.
Esaminare la baseline di sicurezza per Archiviazione di Azure: per iniziare, esaminare prima di tutto la baseline di sicurezza per Archiviazione.
Usare i controlli di rete per limitare il traffico in ingresso e in uscita: disabilitare tutto il traffico pubblico per l'account di archiviazione. Usare i controlli di rete dell'account per concedere il livello minimo di accesso richiesto da utenti e applicazioni. Per altre informazioni, vedere Come affrontare la sicurezza di rete per l'account di archiviazione.
Ridurre la superficie di attacco: impedire l'accesso anonimo, l'accesso alla chiave dell'account o l'accesso tramite connessioni HTTP non sicure può ridurre la superficie di attacco. È possibile usare l'individuazione di Azure Storage con Azure Copilot per identificare queste minacce alla sicurezza nei tutti gli account. Richiedere ai client di inviare e ricevere dati usando la versione più recente del protocollo TLS (Transport Layer Security).
Autorizzare l'accesso senza usare password o chiavi: Microsoft Entra ID offre maggiore sicurezza e facilità d'uso rispetto alle chiavi condivise e alle firme di accesso condiviso. Concedere alle entità di sicurezza solo le autorizzazioni necessarie per eseguire le attività.
Proteggere le informazioni riservate: proteggere informazioni riservate, ad esempio chiavi dell'account e token di firma di accesso condiviso. Nonostante queste forme di autorizzazione non siano generalmente consigliate, è importante assicurarsi di ruotarle, annullarle e archiviarle in modo sicuro.
Abilitare l'opzione trasferimento sicuro obbligatorio: l'abilitazione di questa impostazione per tutti gli account di archiviazione garantisce che tutte le richieste effettuate sull'account di archiviazione debbano essere eseguite tramite connessioni sicure. Tutte le richieste effettuate su HTTP hanno esito negativo.
Proteggere gli oggetti critici: applicare criteri di immutabilità per proteggere gli oggetti critici. Le politiche proteggono i BLOB archiviati per scopi legali, di conformità o di altro tipo dall'essere modificati o eliminati. Configurare i blocchi per i periodi di tempo impostati o fino a quando le restrizioni non vengono revocate da un amministratore.
Rilevare le minacce: abilitareMicrosoft Defender per Archiviazione per rilevare le minacce. Gli avvisi di sicurezza vengono attivati quando si verifica un'anomalia nell'attività. Gli avvisi notificano agli amministratori delle sottoscrizioni tramite posta elettronica i dettagli delle attività sospette e le raccomandazioni su come analizzare e correggere le minacce.
Consigli sulla configurazione
| Recommendation | Benefit |
|---|---|
| Disabilita l'accesso in lettura anonimo a contenitori e blob. | Quando l'accesso anonimo è consentito per un account di archiviazione, un utente con le autorizzazioni appropriate può modificare l'impostazione di accesso anonimo di un contenitore per consentire l'accesso anonimo ai dati in tale contenitore. |
| Applicare un blocco di Azure Resource Manager all'account di archiviazione. | Il blocco di un account impedisce l'eliminazione e la perdita di dati. |
| Disabilitare il traffico verso gli endpoint pubblici dell'account di archiviazione. Creare endpoint privati per i client eseguiti in Azure. Abilitare l'endpoint pubblico solo se i client e i servizi esterni ad Azure richiedono l'accesso diretto all'account di archiviazione. Abilitare le regole del firewall che limitano l'accesso a reti virtuali specifiche. | Iniziare con zero accesso e quindi autorizzare in modo incrementale i livelli di accesso più bassi necessari per i client e i servizi per ridurre al minimo il rischio di creare aperture non necessarie per gli utenti malintenzionati. |
| Autorizzare l'accesso usando il controllo degli accessi in base al ruolo di Azure. | Con RBAC, non ci sono password o chiavi che possano essere compromesse. L'entità di sicurezza (utente, gruppo, identità gestita o principale del servizio) viene autenticata da Microsoft Entra ID per ottenere un token OAuth 2.0. Il token viene usato per autorizzare una richiesta al servizio di archiviazione BLOB. |
| Non consentire l'autorizzazione della chiave condivisa. Ciò disabilita non solo l'accesso alla chiave dell'account, ma anche i token di firma di accesso condiviso dell'account e del servizio perché sono basati sulle chiavi dell'account. | Sono consentite solo le richieste protette autorizzate con l'ID Microsoft Entra. |
| È consigliabile non usare una chiave dell'account. Se è necessario usare le chiavi dell'account, archiviarle in Key Vault e assicurarsi di rigenerarle periodicamente. | Key Vault consente di recuperare le chiavi in fase di esecuzione, anziché salvarle usando l'applicazione. Key Vault semplifica anche la rotazione delle chiavi senza interruzioni nelle applicazioni. La rotazione periodica delle chiavi dell'account riduce il rischio di esporre i dati ad attacchi dannosi. |
| È consigliabile non usare token di firma di accesso condiviso. Definire i criteri di scadenza per le firme di accesso condiviso (SAS) e le azioni per controllare come i token non conformi ai criteri vengono gestiti, registrandone l'uso o bloccandoli in modo esplicito. Se è necessario crearne uno, esaminare questo elenco di procedure consigliate per la firma di accesso condiviso prima di crearlo e distribuirlo. |
I criteri di governance avanzata consentono di evitare token di lunga durata o non configurati correttamente che potrebbero causare rischi per la sicurezza o la conformità. |
| Configurare l'account di archiviazione in modo che i client possano inviare e ricevere dati usando la versione minima di TLS 1.2. | TLS 1.2 è più sicuro e più veloce di TLS 1.0 e 1.1, che non supporta algoritmi di crittografia moderni e suite di crittografia. |
| Prendere in considerazione l'uso della propria chiave di crittografia per proteggere i dati nell'account di archiviazione. Per altre informazioni, vedere Chiavi gestite dal cliente per la crittografia di Archiviazione di Azure. | Le chiavi gestite dal cliente offrono maggiore flessibilità e controllo. Ad esempio, è possibile archiviare le chiavi di crittografia in Key Vault e ruotarle automaticamente. |
Ottimizzazione dei costi
L'ottimizzazione dei costi è incentrata sul rilevamento dei modelli di spesa, sulla definizione delle priorità degli investimenti in aree critiche e sull'ottimizzazione in altri casi per soddisfare i requisiti aziendali e del budget dell'organizzazione.
I principi di progettazione di Ottimizzazione costi forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi e fare compromessi in base alle esigenze nella progettazione tecnica relativa all'archiviazione BLOB e al relativo ambiente.
Elenco di controllo per la progettazione del carico di lavoro
Avvia la tua strategia di progettazione basata sulla checklist di revisione del design per l'ottimizzazione dei costi negli investimenti. Ottimizzare la progettazione in modo che il carico di lavoro sia allineato al budget allocato per esso. La progettazione deve usare le funzionalità di Azure appropriate, monitorare gli investimenti e trovare opportunità per ottimizzare nel tempo.
Identificare i contatori usati per calcolare la fattura: i contatori vengono usati per tenere traccia della quantità di dati archiviati nell'account (capacità dati) e il numero e il tipo di operazioni eseguite per scrivere e leggere i dati. Esistono anche contatori associati all'uso di funzionalità facoltative come i tag di indice blob, l'inventario blob, il supporto per il feed delle modifiche, gli ambiti di crittografia e il supporto per il protocollo SFTP (SSH File Transfer Protocol). Per altre informazioni, vedere Come vengono addebitati i costi per Blob Storage.
Informazioni sul prezzo di ogni contatore: assicurarsi di usare la pagina dei prezzi appropriata e di applicare le impostazioni appropriate in tale pagina. Per altre informazioni, vedere Ricerca del prezzo unitario per ogni contatore. Prendere in considerazione il numero di operazioni associate a ogni prezzo. Ad esempio, il prezzo associato alle operazioni di scrittura e lettura si applica a 10.000 operazioni. Per determinare il prezzo di una singola operazione, dividere il prezzo elencato per 10.000.
Stimare il costo della capacità e delle operazioni: è possibile modellare i costi associati all'archiviazione dei dati, all'ingresso e all'uscita usando il calcolatore prezzi di Azure. Usa i campi per confrontare il costo associato a diverse regioni, tipi di account, tipi di namespace e configurazioni di ridondanza. Per determinati scenari, è possibile usare calcoli di esempio e fogli di lavoro disponibili nella documentazione Microsoft. Ad esempio, è possibile stimare il costo dell'archiviazione dei dati o stimare il costo dell'uso del comando AzCopy per trasferire i BLOB.
Scegliere un modello di fatturazione per la capacità: valutare se l'uso di un modello basato sull'impegno è più conveniente rispetto all'uso di un modello basato sul consumo. Se non si è certi della capacità necessaria, è possibile iniziare con un modello basato sul consumo, monitorare le metriche della capacità e quindi valutare in un secondo momento.
Scegliere un tipo di account, un livello di ridondanza e un livello di accesso predefinito: è necessario selezionare un valore per ognuna di queste impostazioni quando si crea un account di archiviazione. Tutti i valori influiscono sugli addebiti delle transazioni e sulla capacità. Tutte queste impostazioni, ad eccezione del tipo di account, possono essere modificate dopo la creazione dell'account.
Scegliere il livello di accesso predefinito più conveniente: a meno che non venga specificato un livello con ogni caricamento BLOB, i BLOB deducono il livello di accesso dall'impostazione predefinita del livello di accesso. Una modifica dell'impostazione predefinita del livello di accesso per un account di archiviazione si applica a tutti i BLOB nell'account per cui non è stato impostato in modo esplicito un livello di accesso. Questo costo può essere significativo se hai raccolto un numero elevato di BLOB. Per altre informazioni su come una modifica del livello influisce su ogni BLOB esistente, vedere Modifica del livello di accesso di un BLOB.
Carica i dati direttamente nel livello di accesso più economico: ad esempio, se l'impostazione predefinita del livello di accesso dell'account è caldo, ma stai caricando file a scopo di archiviazione, specifica un livello di archiviazione o un livello freddo come parte dell'operazione di caricamento. Dopo il caricamento dei BLOB, usare i criteri di gestione del ciclo di vita per spostare i BLOB nei livelli più convenienti in base alle metriche di utilizzo, ad esempio l'ultimo tempo di accesso. La scelta del livello più ottimale in primo piano può ridurre i costi. Se si modifica il livello di un BLOB in blocchi già caricato, si paga il costo di scrittura nel livello iniziale quando si carica prima il BLOB e quindi si paga il costo di scrittura nel livello desiderato.
Pianificare la gestione del ciclo di vita dei dati: ottimizzare i costi delle transazioni e della capacità sfruttando i livelli di accesso e la gestione del ciclo di vita. I dati usati meno spesso devono essere posizionati nei livelli di accesso più sporadico, mentre i dati a cui si accede spesso devono essere posizionati nei livelli di accesso più caldi.
Decidere quali funzionalità sono necessarie: alcune funzionalità, ad esempio il controllo delle versioni e l'eliminazione temporanea del BLOB, comportano costi aggiuntivi di transazione e capacità, nonché altri addebiti. Assicurarsi di esaminare le sezioni relative ai prezzi e alla fatturazione negli articoli che descrivono tali funzionalità quando si scelgono le funzionalità da aggiungere all'account.
Ad esempio, se si abilita la funzionalità di inventario BLOB, viene addebitato il numero di oggetti analizzati. Se si usano tag di indice BLOB, viene addebitato il numero di tag di indice. Se si abilita il supporto SFTP, viene addebitato un addebito orario, anche se non sono presenti trasferimenti SFTP. Se si decide di non usare una funzionalità, verificare che la funzionalità sia disabilitata perché alcune funzionalità vengono abilitate automaticamente quando si crea l'account.
Creare protezioni: creare budget basati su sottoscrizioni e gruppi di risorse. Usare i criteri di governance per limitare tipi di risorse, configurazioni e posizioni. Inoltre, utilizzare il controllo degli accessi in base al ruolo per bloccare le azioni che possono causare spese eccessive.
Monitorare i costi: assicurarsi che i costi rimangano all'interno dei budget, confrontare i costi rispetto alle previsioni e verificare dove si verificano eccedenze. È possibile usare il riquadro analisi dei costi nel portale di Azure per monitorare i costi. È anche possibile esportare i dati dei costi in un account di archiviazione e analizzare tali dati usando Excel o Power BI.
Monitorare l'utilizzo: monitorare continuamente i modelli di utilizzo e rilevare gli account e i contenitori inutilizzati o sottoutilizzati. Usare Informazioni dettagliate sull'archiviazione per identificare gli account senza uso o senza uso ridotto. Usare Individuazione dell'archiviazione di Azure e Azure Copilot per trovare inefficienze dei costi, ad esempio l'archiviazione sottoutilizzata che si trova in livelli di accesso costosi. È anche possibile abilitare i report di inventario BLOB e usare strumenti come Azure Databricks o Azure Synapse Analytics e Power BI per analizzare i dati sui costi. Prestare attenzione a un aumento imprevisto della capacità, che potrebbe indicare che stiate raccogliendo numerosi file di log, versioni del blob o BLOB eliminati temporaneamente. Sviluppare una strategia per la scadenza o la transizione di oggetti a livelli di accesso più convenienti. Disporre di un piano per gli oggetti in scadenza o lo spostamento di oggetti in livelli di accesso più convenienti.
Prendere in considerazione Le azioni di Archiviazione di Azure per la gestione automatica del ciclo di vita dei dati: Le azioni di Archiviazione di Azure consentono la gestione automatica del ciclo di vita dei dati tra gli account di archiviazione con una maggiore disponibilità a livello di area. Ciò consente criteri di archiviazione, eliminazione e transizione dei dati automatizzati coerenti tra aree, mantenendo al contempo la conformità alla residenza dei dati.
Consigli sulla configurazione
| Recommendation | Benefit |
|---|---|
| Raggruppare file di piccole dimensioni in file più grandi prima di spostarli in livelli di archiviazione più freddi. È possibile usare formati di file come TAR o ZIP. | I livelli di raffreddamento hanno costi di trasferimento dei dati più elevati. Con un minor numero di file di grandi dimensioni, è possibile ridurre il numero di operazioni necessarie per trasferire i dati. |
| Usare la reattivazione con priorità standard per riattivare i blob dall'archiviazione archivio. Usare la riattivazione ad alta priorità solo per situazioni di ripristino dei dati di emergenza. Per ulteriori informazioni, vedere Ripristinare un blob archiviato su un livello online | La riattivazione ad alta priorità dal livello archivio può comportare fatture più elevate rispetto alle normali. |
| Ridurre il costo dell'uso dei log delle risorse selezionando un'adeguata posizione di archiviazione e gestendo opportunamente i periodi di conservazione dei log. Se si prevede di eseguire query sui log solo occasionalmente, ad esempio per eseguire query sui log per il controllo della conformità, è consigliabile inviare i log delle risorse a un account di archiviazione anziché inviarli a un'area di lavoro Log di Monitoraggio di Azure. È possibile usare una soluzione di query serverless, ad esempio Azure Synapse Analytics, per analizzare i log. Per altre informazioni, vedere Ottimizzare i costi per le query poco frequenti. Usare i criteri di gestione del ciclo di vita per eliminare o archiviare i log. | L'archiviazione dei log delle risorse in un account di archiviazione per un'analisi successiva può essere un'opzione più economica. L'uso dei criteri di gestione del ciclo di vita per gestire la conservazione dei log in un account di archiviazione impedisce la creazione di un numero elevato di file di log nel tempo, che può comportare addebiti per la capacità non necessari. |
| Se si abilita il controllo delle versioni, usare un criterio di gestione del ciclo di vita per eliminare automaticamente le versioni precedenti del BLOB. | Ogni operazione di scrittura in un BLOB crea una nuova versione. In questo modo si aumentano i costi di capacità. È possibile mantenere i costi sotto controllo rimuovendo le versioni non più necessarie. |
| Se si abilita il controllo delle versioni, posizionare i BLOB che vengono spesso sovrascritti in un account in cui il controllo delle versioni non è abilitato. | Ogni volta che un blob viene sovrascritto, viene creata una nuova versione che comporta un aumento dei costi di capacità di archiviazione. Per ridurre i costi di capacità, archiviare i dati sovrascritti di frequente in un account di archiviazione separato con il controllo delle versioni disabilitato. |
| Se si abilita l'eliminazione temporanea, è consigliabile posizionare i BLOB che vengono spesso sovrascritti in un account che non ha l'eliminazione temporanea abilitata. Impostare i periodi di conservazione. Si consiglia di iniziare con un breve periodo di conservazione per capire meglio come la funzionalità influisce sulla fattura. Il periodo di conservazione minimo consigliato è di sette giorni. | Ogni volta che un BLOB viene sovrascritto, viene creato un nuovo snapshot. La causa di un aumento dei costi di capacità potrebbe essere difficile da accedere perché la creazione di questi snapshot non viene visualizzata nei log. Per ridurre i costi di capacità, archiviare i dati sovrascritti di frequente in un account di archiviazione separato con eliminazione temporanea disabilitata. Un periodo di conservazione impedisce ai BLOB eliminati temporaneamente di accumularsi e aumentare il costo della capacità. |
| Abilitare il supporto SFTP solo quando viene usato per trasferire i dati. | L'abilitazione dell'endpoint SFTP comporta un costo orario. Disabilitando in modo ponderato il supporto SFTP e abilitandolo in base alle esigenze, è possibile evitare addebiti passivi da accumulare nell'account. |
| Disabilitare gli ambiti di crittografia non necessari per evitare addebiti non necessari. | Gli ambiti di crittografia comportano un addebito mensile. |
Eccellenza operativa
L'eccellenza operativa si concentra principalmente sulle procedure per le pratiche di sviluppo , l'osservabilità e la gestione dei rilasci.
I principi di progettazione di eccellenza operativa forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi relativi ai requisiti operativi del flusso di lavoro.
Elenco di controllo per la progettazione del carico di lavoro
Avvia la strategia di progettazione sulla base dell'elenco di controllo della revisione della progettazione per l'eccellenza operativa al fine di definire i processi di osservabilità, test e distribuzione correlati alla configurazione dell'archiviazione BLOB.
Creare piani di manutenzione e ripristino di emergenza: prendere in considerazione le funzionalità di protezione dei dati, le operazioni di backup e ripristino e le procedure di failover. Prepararsi per potenziali perdite di dati e incoerenze dei dati e il tempo e il costo del failover.
Monitorare l'integrità dell'account di archiviazione: creare dashboard di analisi di archiviazione per monitorare le metriche di disponibilità, prestazioni e resilienza. Configurare gli avvisi per identificare e risolvere i problemi nel sistema prima che i clienti li notino. Usare le impostazioni di diagnostica per instradare i log delle risorse a un'area di lavoro di Azure Monitor Log. È quindi possibile eseguire query sui log per analizzare gli avvisi in modo più approfondito.
Abilitare i report di inventario BLOB: abilitare i report di inventario BLOB per esaminare la conservazione, il blocco legale o lo stato di crittografia del contenuto dell'account di archiviazione. È anche possibile usare i report di inventario BLOB per comprendere le dimensioni totali dei dati, l'età, la distribuzione a livelli o altri attributi dei dati. Usare strumenti come Azure Databricks o Azure Synapse Analytics e Power BI per visualizzare meglio i dati di inventario e creare report per gli stakeholder.
Configurare criteri che eliminano i BLOB o li spostano in livelli di accesso convenienti: creare criteri di gestione del ciclo di vita con un set iniziale di condizioni. Le politiche vengono eseguite automaticamente per eliminare o impostare il livello di accesso dei BLOB in base alle condizioni che definisci. Analizzare periodicamente l'uso del contenitore utilizzando le metriche di monitoraggio e i report di inventario blob per affinare le condizioni e ottimizzare l'efficienza dei costi.
Garantire la coerenza dei criteri tra aree. Quando i dati vengono archiviati a livello globale, hanno strategie di gestione del ciclo di vita dei dati che soddisfano i requisiti di residenza dei dati. Sfruttare le funzionalità di automazione native che consentono criteri di archiviazione coerenti tra aree.
Consigli sulla configurazione
| Recommendation | Benefit |
|---|---|
| Usare l'infrastruttura come codice (IaC) per definire i dettagli degli account di archiviazione nei modelli di Azure Resource Manager (modelli arm),Bicep o Terraform. | È possibile usare i processi DevOps esistenti per distribuire nuovi account di archiviazione e usare Criteri di Azure per applicare la configurazione. |
| Usare Informazioni dettagliate sull'archiviazione per tenere traccia dell'integrità e delle prestazioni degli account di archiviazione. Informazioni dettagliate sull'archiviazione offre una visualizzazione unificata degli errori, delle prestazioni, della disponibilità e della capacità per tutti gli account di archiviazione. | È possibile tenere traccia dell'integrità e del funzionamento di ogni account. Crea facilmente dashboard e report che gli stakeholder possono utilizzare per monitorare lo stato di salute dei tuoi account di archiviazione. |
| Sfruttare le funzionalità di automazione a livello di area con Le azioni di archiviazione di Azure per la gestione unificata del ciclo di vita dei dati che segmenta automaticamente i dati in base ai modelli di accesso ed eliminare il contenuto scaduto in base ai criteri di conservazione rispettando i requisiti di residenza dei dati. | Consente la gestione automatica delle risorse di archiviazione e i criteri del ciclo di vita in più aree geografiche, riducendo il sovraccarico operativo manuale per le organizzazioni globali. |
Efficienza delle prestazioni
L'efficienza delle prestazioni riguarda mantenere l'esperienza utente anche quando si verifica un aumento del carico gestendo la capacità. La strategia include il ridimensionamento delle risorse, l'identificazione dei potenziali colli di bottiglia e la loro risoluzione, e l'ottimizzazione per prestazioni di picco.
I principi di progettazione efficienza delle prestazioni forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi di capacità rispetto all'utilizzo previsto.
Elenco di controllo per la progettazione del carico di lavoro
Inizia la tua strategia di progettazione basandoti sull'elenco di controllo per la revisione della progettazione per l'Efficienza delle Prestazioni. Definire una linea di base basata su indicatori di prestazioni chiave per la configurazione dell'archiviazione BLOB.
Pianificare la scalabilità: comprendere le destinazioni di scalabilità per gli account di archiviazione.
Scegliere il tipo di account di archiviazione ottimale: se il carico di lavoro richiede frequenze di transazioni elevate, oggetti più piccoli e una latenza delle transazioni costantemente bassa, è consigliabile usare account di archiviazione BLOB in blocchi Premium. Un account standard per utilizzo generico v2 è più appropriato nella maggior parte dei casi.
Ridurre la distanza di viaggio tra il client e il server: posizionare i dati nelle aree più vicine ai client di connessione (idealmente nella stessa area). Ottimizzare per i client nelle aree lontane utilizzando la replica degli oggetti o una rete di distribuzione dei contenuti. Le configurazioni di rete predefinite offrono prestazioni ottimali. Modificare le impostazioni di rete solo per migliorare la sicurezza. In generale, le impostazioni di rete non riducono la distanza di viaggio e non migliorano le prestazioni.
Scegliere uno schema di denominazione efficiente: ridurre la latenza delle operazioni di elencazione, lista, interrogazione e lettura usando i prefissi di tag hash più vicini all'inizio della chiave di partizione BLOB (account, contenitore, directory virtuale o nome BLOB). Questo schema trae vantaggio principalmente dagli account con uno spazio dei nomi piatto.
Ottimizzare le prestazioni dei client di dati: scegliere uno strumento di trasferimento dati più appropriato per le dimensioni dei dati, la frequenza di trasferimento e la larghezza di banda dei carichi di lavoro. Alcuni strumenti, ad esempio AzCopy , sono ottimizzati per le prestazioni e richiedono un intervento minimo. Prendere in considerazione i fattori che influenzano la latenza e ottimizzare le prestazioni esaminando le linee guida per l'ottimizzazione delle prestazioni pubblicate con ogni strumento.
Ottimizzare le prestazioni del codice personalizzato: è consigliabile usare gli SDK di archiviazione invece di creare wrapper personalizzati per le operazioni REST BLOB. Gli SDK di Azure sono ottimizzati per le prestazioni e forniscono meccanismi per ottimizzare le prestazioni. Prima di creare un'applicazione, esaminare l'elenco di controllo delle prestazioni e della scalabilità per Blob Storage. Prendere in considerazione l'uso dell'accelerazione delle query per filtrare i dati indesiderati durante la richiesta di archiviazione e impedire ai client di trasferire i dati in rete inutilmente.
Raccogliere dati sulle prestazioni: Monitorare l'account di archiviazione per identificare i colli di bottiglia delle prestazioni che si verificano a causa della limitazione della velocità. Per altre informazioni, vedere Monitoraggio del servizio di archiviazione con Monitor Storage Insights. Usare sia le metriche che i log. Le metriche forniscono numeri, ad esempio errori di controllo del flusso. I log descrivono l'attività. Se vengono visualizzate le metriche di limitazione, è possibile usare i log per identificare i client che ricevono errori di limitazione. Per altre informazioni, vedere Controllo delle operazioni del piano dati.
Consigli sulla configurazione
| Recommendation | Benefit |
|---|---|
| Effettuare il provisioning degli account di archiviazione nella stessa area in cui vengono inserite le risorse dipendenti. Per le applicazioni non ospitate in Azure, ad esempio app per dispositivi mobili o servizi aziendali locali, individuare l'account di archiviazione in un'area più vicina a tali client. Per altre informazioni, vedere Aree geografiche di Azure. Se i client di un'area diversa non richiedono gli stessi dati, creare un account separato in ogni area. Se i client di un'area diversa richiedono solo alcuni dati, prendere in considerazione l'uso di criteri di replica di oggetti per copiare in modo asincrono gli oggetti pertinenti in un account di archiviazione nell'altra area. |
La riduzione della distanza fisica tra l'account di archiviazione e le macchine virtuali, i servizi e i client locali può migliorare le prestazioni e ridurre la latenza di rete. La riduzione della distanza fisica riduce anche i costi per le applicazioni ospitate in Azure perché l'utilizzo della larghezza di banda all'interno di una singola area è gratuito. |
| Per un utilizzo ampio da parte dei client Web (streaming di contenuti video, audio o statici di siti Web), è consigliabile usare una rete per la distribuzione di contenuti tramite Frontdoor di Azure. | Il contenuto viene distribuito ai client più velocemente perché usa la rete perimetrale globale Microsoft con centinaia di punti di presenza globali e locali in tutto il mondo. |
| Aggiungere una sequenza di caratteri hash (ad esempio tre cifre) il prima possibile nella chiave di partizione di un BLOB. La chiave di partizione è il nome dell'account, il nome del contenitore, il nome della directory virtuale e il nome del BLOB. Se si prevede di usare i timestamp nei nomi, è consigliabile aggiungere un valore di secondi all'inizio di tale timbro. Per altre informazioni, vedere Partizionamento. | L'uso di un codice hash o di un valore di secondi più vicino all'inizio di una chiave di partizione riduce il tempo necessario per elencare le query e leggere i BLOB. |
| Quando si caricano BLOB o blocchi, usare un BLOB o una dimensione di blocco maggiore di 256 KiB. | Le dimensioni dei BLOB o dei blocchi superiori a 256 KiB sfruttano i miglioramenti delle prestazioni nella piattaforma, realizzati specificamente per BLOB e blocchi di dimensioni più grandi. |
Tradeoffs
Potrebbe essere necessario fare compromessi di progettazione se si usano gli approcci negli elenchi di controllo dei pilastri. Ecco alcuni esempi di vantaggi e svantaggi.
Livelli di accesso e ottimizzazione dei costi
Livelli di accesso più freschi: Lo spostamento dei dati a livelli di accesso più freschi (freddo, ghiacciato o archivio) può ridurre i costi di archiviazione, soprattutto per i dati a cui si accede raramente. Il livello archivio offre un costo di archiviazione ridotto, ma richiede la riattivazione per accedere ai dati, che richiede tempo e comporta costi aggiuntivi.
Prendere in considerazione gli svantaggi dei livelli più sporadici, inclusi i costi di accesso e i tempi di recupero più elevati. Il livello archivio può richiedere tempo significativo per la riattivazione con priorità standard. Il costo delle modifiche frequenti al livello può superare i risparmi di archiviazione se i modelli di accesso sono imprevedibili. Per i dati critici che hanno bisogno di accesso immediato, il livello ad accesso frequente offre l'accesso più rapido, ma a costi di archiviazione più elevati. Valutare attentamente i modelli di accesso per evitare costi non necessari da transizioni di livello frequenti e sanzioni per l'eliminazione anticipata.
Criteri di gestione del ciclo di vita: I criteri automatizzati del ciclo di vita possono ottimizzare i costi spostando i dati a livelli appropriati in base ai modelli di età o di accesso. Questi criteri riducono il sovraccarico operativo manuale e garantiscono un'ottimizzazione dei costi coerente tra gli account di archiviazione.
Come svantaggio, i criteri del ciclo di vita eccessivamente aggressivi potrebbero, con conseguente aumento dei costi di accesso e prestazioni più lente, spostare i dati frequentemente accessibili a livelli più freddi. I criteri troppo conservativi potrebbero mantenere i dati in livelli costosi più lunghi del necessario. Monitorare i modelli di accesso e modificare i criteri in base ai dati di utilizzo effettivi anziché ai presupposti.
Ridondanza dei dati e distribuzione a livello di area
Una strategia di ridondanza affidabile garantisce durabilità e disponibilità dei dati, ma comporta compromessi tra costi e complessità. L'archiviazione con ridondanza geografica (GRS) e l'archiviazione con ridondanza geografica su zone (GZRS) offrono protezione dalle interruzioni a livello regionale, ma costano significativamente di più rispetto all'archiviazione con ridondanza locale (LRS). L'archiviazione con ridondanza della zona (ZRS) offre una soluzione intermedia con protezione dai guasti delle zone di disponibilità all'interno di una regione.
Considerare gli svantaggi dei livelli di ridondanza più elevati. L'archiviazione con ridondanza geografica (GRS) e l'archiviazione con ridondanza geografica a zone (GZRS) richiedono la sincronizzazione dei dati tra aree, che può introdurre lievi ritardi nella coerenza dei dati. Il costo può essere superiore a quello di LRS. Per le applicazioni che possono tollerare una perdita di dati o avere strategie di backup alternative, LRS potrebbe fornire una protezione sufficiente a un costo inferiore. Valutare gli obiettivi del tempo di ripristino (RTO) e gli obiettivi del punto di ripristino (RPO) per determinare il livello di ridondanza appropriato.
Criteri di Azure
Azure offre un set completo di criteri predefiniti correlati all'archiviazione BLOB e alle relative dipendenze. È possibile controllare alcune delle raccomandazioni precedenti tramite i criteri di Azure. Ad esempio, è possibile verificare se:
- L'accesso in lettura pubblico anonimo ai contenitori e ai BLOB non è abilitato.
- Le impostazioni di diagnostica per l'Archiviazione Blob trasmettono i log delle risorse a un'area di lavoro di Azure Monitor.
- Vengono accettate solo le richieste provenienti da connessioni sicure (HTTPS).
- È abilitato un criterio di scadenza della firma di accesso condiviso.
- La replica di oggetti tra istanze è disabilitata.
- L'autorizzazione con chiave condivisa è disabilitata.
- Le regole del firewall di rete vengono applicate all'account.
Per una governance completa, esaminare le definizioni predefinite di Criteri di Azure per Archiviazione e altri criteri che potrebbero influire sulla sicurezza del livello di calcolo.
Raccomandazioni di Azure Advisor
Azure Advisor è un consulente cloud personalizzato che consente di seguire le procedure consigliate per ottimizzare le distribuzioni di Azure.
Per altre informazioni, vedere Azure Advisor.
Passo successivo
Per altre informazioni sull'archiviazione BLOB, vedere la documentazione sull'archiviazione BLOB.