Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Возможности хранилища критически важны для поддержки рабочих нагрузок и служб, размещенных в облаке. При подготовке к переходу на облачную платформу просмотрите эту информацию, чтобы спланировать ваши потребности в хранении данных.
Выберите инструменты и службы хранилища для поддержки рабочих нагрузок
Azure Storage — это управляемая служба платформы Azure для предоставления облачных хранилищ. Azure Storage состоит из нескольких основных служб и вспомогательных функций. Storage в Azure является высокодоступным, безопасным, устойчивым, масштабируемым и избыточным. Используйте эти сценарии и рекомендации для выбора Azure служб и архитектур. Дополнительные сведения см. в документации Azure Storage.
Основные вопросы
Ответьте на следующие вопросы о рабочих нагрузках, чтобы помочь принять решения о ваших потребностях в хранении.
Требуется ли для рабочих нагрузок дисковое хранилище для поддержки развертывания инфраструктуры как службы (IaaS) виртуальных машин?Управляемые диски Azure предоставляют возможности виртуального диска для виртуальных машин IaaS.
Необходимо ли объединить блочное хранилище или выполняется миграция локальной SAN?Azure Elastic SAN — это сеть хранения данных на основе Azure, которая предоставляет сетевое блочное хранилище по протоколу iSCSI. Он подключается к Azure Virtual Machines, Azure Kubernetes Service и Azure VMware Solution. Эластичные пулы SAN обеспечивают производительность на уровне SAN и распределяют её между всеми томами. Для рабочих нагрузок с одной виртуальной машиной или сценариев, требующих локально подключенного хранилища, используйте вместо этого управляемые диски Azure.
Вам необходимо предоставить скачиваемые изображения, документы или другие медиафайлы в рамках рабочих нагрузок?Azure Blob Storage хранит статические файлы, которые затем доступны для скачивания через Интернет. Дополнительные сведения см. в разделе Статическое размещение веб-сайтов в Azure Storage.
Потребуется ли место для хранения журналов виртуальных машин, журналов приложений и аналитических данных? Монитор Azure имеет родную систему хранения для метрик, журналов и распределенных трассировок.
- Метрики в Azure Monitor хранятся в базе данных временных рядов, оптимизированной для анализа данных с меткой времени.
- Данные трассировки хранятся вместе с другими данными журнала приложений, собранными приложением Application Insights.
- Журналы в Azure Monitor хранятся в рабочей области Log Analytics, которая основана на Azure Data Explorer и предоставляет мощный механизм анализа и богатый язык запросов.
Потребуется ли место для резервного копирования, аварийного восстановления или архивации данных, связанных с рабочей нагрузкой? Blob Storage предоставляет возможности резервного копирования и аварийного восстановления. Для получения дополнительной информации см. Резервное копирование и аварийное восстановление дисков Azure IaaS.
Вы также можете использовать Blob Storage для резервного копирования других ресурсов, таких как локальные или данные SQL Server, размещенные на виртуальных машинах в IaaS-среде. См. раздел SQL Server Резервное копирование и восстановление.
Будет ли необходимо поддерживать рабочие нагрузки аналитики больших данных?Azure Data Lake Storage Gen2 основан на Azure Blob Storage. Data Lake Storage Gen2 поддерживает функции озера данных на уровне крупных предприятий. Кроме того, он может хранить петабайты информации, поддерживая пропускную способность в сотни гигабит.
Потребуется ли предоставить облачные общие файловые ресурсы? Azure содержит службы, предоставляющие общие папки, размещенные в облаке:
- Azure NetApp Files предоставляет общие ресурсы NFS и SMB с расширенными функциями управления данными, такими как моментальные снимки и клонирование, которые идеально подходят для стандартных корпоративных рабочих нагрузок, таких как SAP.
- Azure Files предоставляет общие папки, доступные через SMB 3.1.1, NFS 4.1 и HTTPS.
- Azure Managed Lustre — это высокопроизводительное решение распределенной параллельной файловой системы, идеально подходит для рабочих нагрузок HPC, требующих высокой пропускной способности и низкой задержки.
Потребуется ли поддерживать высокопроизводительные вычислительные нагрузки (HPC) ?
- Azure NetApp Files предоставляет высокопроизводительные ресурсы общего доступа NFS и SMB с расширенными функциями управления данными, такими как моментальные снимки и клонирование, которые хорошо подходят для рабочих нагрузок HPC.
- Azure Managed Lustre — это высокопроизводительное решение распределенной параллельной файловой системы, идеально подходит для рабочих нагрузок HPC, требующих высокой пропускной способности и низкой задержки.
Требуется ли вам выполнить крупномасштабную архивацию и синхронизацию ваших локальных данных?Продукты Azure Data Box предназначены для перемещения больших объемов данных из вашей локальной среды в облако.
- Azure Data Box Gateway — это виртуальное устройство, используемое на месте. Шлюз Data Box помогает управлять крупномасштабным переносом данных в облако.
- Azure Stack Edge ускоряет обработку и безопасную передачу данных в Azure. Если перед перемещением данных в облако необходимо проанализировать, преобразовать или отфильтровать данные, используйте Azure Data Box.
Хотите расширить существующее локальное файловое хранилище для использования облачного хранилища?Azure File Sync позволяет использовать службу Azure Files в качестве расширения общих файловых ресурсов, размещенных на ваших локальных компьютерах Windows Server. Служба синхронизации преобразует Windows Server в быстрый кэш для файлового ресурса Azure. Он позволяет локальным компьютерам, которые имеют доступ к общей папке, использовать любой протокол, доступный в Windows Server.
Распространенные сценарии хранилища
Azure предлагает несколько продуктов и служб для различных возможностей storage. В следующей таблице описаны потенциальные сценарии storage и рекомендуемые службы Azure.
Сценарии блочного хранилища
| Сценарий | Предлагаемые службы Azure | Рекомендации по предлагаемым службам |
|---|---|---|
| У меня есть физические серверы или виртуальные машины (Hyper-V или VMware) с системой хранения с прямым подключением, на которых работают бизнес-приложения. | Azure SSD класса Premium | Для производственных услуг вариант SSD (цен. категория "Премиум") обеспечивает постоянную низкую задержку в сочетании с высокой скоростью операций ввода-вывода и пропускной способностью. |
| У меня есть серверы, на которых будут размещаться веб-и мобильные приложения. | Стандартный SSD Azure | Стандартные SSD по количеству операций ввода-вывода в секунду и пропускной способности могут быть достаточно дешевыми по сравнению с премиум SSD для использования на веб-серверах и серверах приложений, зависящих от процессора, в производственной среде. |
| У меня есть корпоративный SAN или массив, полностью состоящий из флэш-накопителей. | Azure Elastic SAN, Premium SSD или Azure Ultra Disk Storage или Azure NetApp Files | Azure Elastic SAN предоставляет облачную среду SAN с объединенной производительностью для всех томов через iSCSI. Ультра Disk Storage основан на NVMe и обеспечивает субмиллисекундную задержку с высокой производительностью IOPS и пропускной способностью. Ультра Disk Storage масштабируется до 64 ТиБ. Выбор зависит от того, требуется ли консолидированное сетевое хранилище (Elastic SAN), локально подключенные диски с высокой производительностью (дисковое хранилище SSD уровня "Премиум" или "Ультра") или файловые хранилища (Azure NetApp Files). |
| У меня есть кластеризованные серверы с высоким уровнем доступности, такие как SQL Server FCI или отказоустойчивая кластеризация Windows Server. | Azure Elastic SAN, Azure Files или PREmium SSD или Ultra Disk Storage | Кластеризованные рабочие нагрузки требуют подключения нескольких узлов к одному базовому общему хранилищу для обеспечения отказоустойчивости или высокой доступности. Azure Elastic SAN предоставляет общее блочное хранилище через iSCSI, к которому несколько узлов могут иметь доступ. Файловые ресурсы класса Premium предоставляют общее хранилище, которое можно подключить с помощью SMB. Общую блочную память также можно настроить на SSD высокого класса или Ultra Disk с использованием партнерских решений. См. SIOS DataKeeper Cluster Edition |
| У меня есть реляционная база данных или рабочая нагрузка на хранилище данных, например SQL Server или Oracle. | Premium SSD или Ultra Disk-хранилище или Azure Elastic SAN | Выбор SSD уровня "Премиум" или дискового хранилища "Ультра" зависит от пиковой задержки, операций ввода-вывода в секунду и требований к масштабируемости. Ультра диск хранения также снижает сложность, устраняя необходимость в настройке пула хранения для масштабируемости. Для нескольких объединенных рабочих нагрузок базы данных Azure Elastic SAN может совместно использовать производительность пула между томами и сократить общую стоимость, но это как правило неэкономично для одной рабочей нагрузки базы данных. См. статью Критическая производительность. |
| У меня есть кластер NoSQL (например, Cassandra или MongoDB). | Премиум SSD | Azure disk storage SSD уровня "Премиум" обеспечивает согласованную низкую задержку, связанную с высоким числом операций ввода-вывода в секунду и пропускной способностью. |
| У меня есть контейнеры с постоянными томами, которые нуждаются в блочном хранилище. | SSD стандартного уровня, SSD класса Premium или Ultra Disk Storage или Хранилище контейнеров Azure | Параметры драйвера тома (ReadWriteOnce) доступны как для Azure Kubernetes Service, так и для пользовательских развертываний Kubernetes. Для полностью управляемого решения, которое беспрепятственно работает с Azure Kubernetes Service, рассмотрите использование Azure Container Storage. |
| У меня есть озеро данных (например, кластер Hadoop для данных HDFS). | Data Lake Storage Gen2 или Standard SSD или SSD класса Premium | Функция хранения данных Data Lake Storage Gen2 в Blob Storage обеспечивает совместимость с HDFS на уровне сервера и масштабирование до уровня петабайт для выполнения параллельной аналитики. Он также обеспечивает высокую доступность и надежность. Программное обеспечение, например Cloudera, может использовать твердотельные накопители премиум или стандартного класса на узлах 'контроллер' и 'рабочий' при необходимости. |
| У меня развернута система SAP или SAP HANA. | Premium SSD или Ultra Disk Storage | Ультра Диск Сторедж оптимизирован для обеспечения субмиллисекундной задержки для рабочих нагрузок уровня 1 для SAP. Премиум SSD, в сочетании с виртуальными машинами серии M, предлагает вариант с общедоступностью. Для максимальной пропускной способности с низкой задержкой используйте Azure NetApp Files для развертывания SAP и SAP HANA. |
| У меня есть сайт аварийного восстановления со строгим RPO/RTO, который синхронизируется с моими основными серверами. | Azure Page Blob | Страничные BLOB-объекты используются программным обеспечением репликации для обеспечения недорогой репликации в Azure без необходимости вычислительных виртуальных машин до тех пор, пока не произойдет переключение на резерв. Для получения дополнительной информации см. Резервное копирование и аварийное восстановление дисков Azure IaaS. Примечание: Страничные блобы поддерживают не более 8 ТиБ. |
Сценарии хранения файлов и объектов
| Сценарий | Предлагаемые службы Azure | Рекомендации по предлагаемым службам |
|---|---|---|
| Я использую файловый сервер Windows. | Azure Files с или без Azure File Sync | С помощью Azure File Sync вы можете хранить редко используемые данные в Azure общих папках при кэшировании наиболее часто используемых файлов в локальной среде. Вы также можете синхронизировать файлы на нескольких серверах. Для крупных развертываний с строгими требованиями к высокой пропускной способности и низкой задержке рекомендуется использовать Azure NetApp Files. |
| У меня есть корпоративное сетевое хранилище, такое как NetApp или Dell-EMC Isilon. | Azure NetApp Files или Azure Files (premium) | Если у вас есть локальное развертывание NetApp, попробуйте использовать Azure NetApp Files для переноса развертывания в Azure. Если вы используете или выполняете миграцию на сервер Windows или Linux, рассмотрите возможность использования Azure Files. Для продолжения локального доступа используйте Azure File Sync для синхронизации общих файловых ресурсов SMB с локальными файловыми ресурсами с помощью механизма многоуровневого облачного хранения. Многоуровневое облачное хранение использует локальный сервер Windows в качестве кэша для файлов с частым доступом, перемещая менее востребованные данные в облачные общие ресурсы Azure. |
| У меня есть общий файловый ресурс SMB или NFS. | Azure Files или Azure NetApp Files | Выбор уровней "Премиум" или "Стандартный" для Azure Files зависит от IOPS, пропускной способности и от того, насколько важна для вас согласованность задержки. Если у вас есть локальное развертывание NetApp, рассмотрите возможность использования Azure NetApp Files. Если вам нужно перенести списки управления доступом и временные метки в облако, Azure File Sync может перенести эти настройки в файловые ресурсы SMB Azure. |
| У меня есть локальная система объектного хранения для петабайт данных, например Dell-EMC ECS. | Хранилище BLOB-объектов | Azure Blob Storage предоставляет уровни "Премиум", "горячий", "холодный" и "архив" в соответствии с потребностями в производительности и затратах рабочей нагрузки. |
| У меня настроена система репликации файлов в распределенной файловой системе или я использую другой способ управления филиалами. | Azure Files или Azure File Sync | Azure File Sync предоставляет многосайтовую синхронизацию для нескольких серверов и собственных файловых ресурсов Azure. Перейдите к фиксированному месту для хранения данных на локальных серверах с помощью облачного уровня. |
| У меня есть ленточная библиотека для резервного копирования и аварийного восстановления или долгосрочного хранения данных. | Хранилище BLOB-объектов | Уровень архива Blob Storage имеет наименьшую возможную стоимость. Чтобы предоставить доступ, может потребоваться несколько часов для копирования офлайн-данных в холодный, горячий или премиум-уровень. Тарифы для холодного хранения обеспечивают мгновенный доступ по низкой стоимости. |
| У меня настроено файловое или объектное хранилище для получения моих резервных копий. | Blob Storage или Azure File Sync | Чтобы создать резервную копию данных для долгосрочного хранения с минимальными затратами на хранилище данных, переместите данные в Blob Storage и используйте холодные и архивные уровни. Чтобы обеспечить быстрое аварийное восстановление данных файлов на сервере, синхронизируйте общие папки с отдельными общими папками Azure с помощью Azure File Sync. С помощью снимков файловой доли Azure можно восстановить более ранние версии. Синхронизируйте их обратно с подключенными серверами или используйте их напрямую в общей папке Azure. |
| Я запускаю репликацию данных на площадке аварийного восстановления. | Azure Files, Azure NetApp Files или Azure File Sync | Azure File Sync удаляет потребность в сервере аварийного восстановления и сохраняет файлы в собственных общих папках SMB Azure. Быстрое аварийное восстановление позволяет быстро восстанавливать любые данные на неисправном локальном сервере. Можно даже хранить несколько расположений серверов в синхронизации или использовать распределение по уровням в облаке для хранения только соответствующих данных в локальной среде. Azure NetApp Files предоставляет функцию хранения данных с именем Межрегиональная репликация, который можно использовать для репликации данных в другие регионы Azure, не используя ресурсы виртуальных машин или серверов приложений, и высоко оптимизирована для репликации только изменённых блоков данных между обновлениями. |
| Я управляю передачей данных в сценариях без подключения к сети. | Azure Stack Edge или Data Box Gateway | Используя Data Stack Edge или Шлюз Data Box можно копировать данные в сценариях без подключения к сети. Если шлюз находится в автономном режиме, он сохраняет все файлы, скопированные в кэш, а затем отправляет их при подключении. |
| Я управляю непрерывной передачей данных в облако. | Azure Stack Edge или Data Box Gateway | Перемещайте данные в облако из систем, которые постоянно генерируют данные, заставляя их копировать эти данные на шлюз хранения. |
| У меня есть всплески данных, поступающие одновременно. | Azure Stack Edge или Data Box Gateway | Управляйте большими объемами данных, поступающих в одно и то же время. Некоторые примеры: когда автономный автомобиль заезжает в гараж или машина секвенирования генов завершает свой анализ. Копируйте все эти данные в шлюз Data Box с высокой локальной скоростью. Затем позвольте шлюзу загрузить его, когда это позволяет ваша сеть. |
| У меня есть контейнеры с постоянными томами, которым требуется файловое хранилище. | Файлы Azure | Параметры драйвера томов (ReadWriteMany) доступны как для Azure Kubernetes Service, так и для настраиваемых развертываний Kubernetes. |
| У меня есть локальная параллельная файловая система для петабайт данных, таких как Lustre, Gluster или BeeGFS. | Управляемый Lustre в Azure | Azure Managed Lustre предоставляет полностью управляемую файловую систему Lustre в Azure с такими функциями, как объем хранилища до 12,5 PiB по запросу, низкое время отклика (~2 мс) и возможность быстрого создания новых кластеров. |
Планирование на основе данных рабочих нагрузок
| Сценарий | Предлагаемые службы Azure | Рекомендации по предлагаемым службам |
|---|---|---|
| Я хочу разработать новое облачное приложение, которое должно сохранять неструктурированные данные. | Хранилище BLOB-объектов | |
| Мне нужно перенести данные из локального экземпляра NetApp в Azure. | Azure NetApp Files | |
| Мне нужно перенести данные из локальных экземпляров файлового сервера Windows или Linux в Azure. | Файлы Azure | |
| Мне нужно переместить данные файлов в облако, но продолжать в основном получать доступ к данным из локальной среды. | Azure Files или Azure File Sync | |
| Мне нужно переместить локальное приложение, использующее локальный диск или iSCSI. | Azure disk storage или Azure Elastic SAN | Используйте дисковое хранилище Azure для локально подключаемого блочного хранилища. Для рабочих нагрузок на основе iSCSI или локальных миграций SAN Azure Elastic SAN предоставляет облачную сеть SAN с подключением iSCSI, что может снизить потребность в рефакторинге архитектуры приложения. |
| Мне нужно мигрировать контейнерное приложение с постоянными томами. | Azure disk storage или Azure Files | |
| Мне нужно перенести в облако общие файловые ресурсы, отличные от Windows Server или NetApp. | Azure Files или Azure NetApp Files | Поддержка протокола, который обеспечивает региональную доступность, требования к производительности, возможности создания моментальных снимков и клонирования, а также чувствительность к цене. |
| Мне нужно полностью управляемое, облачно-родное блочное хранилище (ReadWriteOnce) для кластеров Azure Kubernetes Service (AKS). | Azure Хранилище для Контейнеров | |
| Мне нужно передать данные от терабайт до петабайт из локальной среды в Azure. | Azure Stack Edge | |
| Перед передачей данных в Azure мне нужно обработать данные. | Azure Stack Edge | |
| Мне необходима поддержка непрерывного приема данных в автоматическом режиме с помощью локального кэша. | шлюз Data Box |
Дополнительные сведения о службах Azure storage
После определения средств Azure, которые лучше всего соответствуют вашим требованиям, используйте эту документацию, чтобы узнать больше об этих службах:
| Служба | Описание |
|---|---|
| Хранилище BLOB-объектов Azure | Blob Storage — это решение для объектного хранения данных в облачных технологиях. Blob Storage оптимизировано для хранения больших объемов неструктурированных данных. Неструктурированные данные — это данные, которые не соответствуют конкретной модели или определению данных, например текстовые или двоичные данные. Используйте Blob Storage для следующих потребностей: — передача изображений или документов непосредственно в браузер. — хранение файлов для распределенного доступа. — Потоковая передача видео и звука. — запись в файлы журнала. — хранение данных для резервного копирования и восстановления, аварийного восстановления и архивации. — хранение данных для анализа службой, размещенной на локальном сервере или в Azure. |
| Data Lake Storage 2-го поколения | Blob Storage поддерживает Data Lake Storage Gen2 корпоративное решение аналитики больших данных Майкрософт для облака. Data Lake Storage Gen2 предлагает иерархическую файловую систему с преимуществами Blob Storage. Она также включает низкозатратное многоуровневое хранилище, высокий уровень доступности, высокую надежность согласованности и возможности аварийного восстановления. |
| Хранилище дисков Azure | Azure дисковое хранилище предлагает постоянное, высокопроизводительное блочное хранилище для питания виртуальных машин Azure. Azure диски являются высокоустойчивыми, безопасными и предлагают единственное в своем роде соглашение об уровне обслуживания (SLA) для виртуальных машин, которые используют Azure Premium SSD или Azure Ultra Disk Storage. Azure диски обеспечивают высокий уровень доступности с группами доступности и зонами доступности для доменов сбоя виртуальных машин Azure. Azure управляет дисками в качестве ресурса верхнего уровня. Возможности Azure Resource Manager предоставляются, такие как контроль доступа на основе ролей Azure (Azure RBAC), политики и тегирование, по умолчанию. |
| Azure Elastic SAN | Azure Elastic SAN — это сеть хранения данных Azure, которая предоставляет сетевое блочное хранилище по протоколу iSCSI. Он позволяет настраивать SAN, организовывать тома в группы томов и распределять совокупную производительность между всеми томами. Elastic SAN подключается к Azure Virtual Machines, Azure Kubernetes Service и Azure VMware Solution. Elastic SAN поддерживает локально избыточное хранилище (LRS) и хранилище с избыточностью между зонами (ZRS), шифрование данных в состоянии покоя и частные конечные точки. |
| Файлы Azure | Azure Files предоставляет полностью управляемые, собственные общие папки SMB и NFS без необходимости запуска виртуальной машины. Вы можете подключить общую папку Azure как сетевой диск к любой Azure виртуальной машине или локальному компьютеру. |
| Синхронизация файлов Azure | Используйте Azure File Sync для централизации общих папок в Azure Files. Azure File Sync обеспечивает гибкость, производительность и совместимость локального файлового сервера. |
| Azure NetApp Files | Служба Azure NetApp Files — это услуга хранения файлов корпоративного уровня с высокой производительностью и оплатой за фактическое использование. Azure NetApp Files поддерживает любой тип рабочей нагрузки и по умолчанию имеет высокий уровень доступности. С помощью службы можно выбрать уровни обслуживания и производительности, а также настроить моментальные снимки. |
| Azure Хранилище для Контейнеров | Azure Container Storage — это полностью управляемая, облачная служба управления томами, развертывания и оркестрации, разработанная нативно для контейнеров. Она интегрируется с Kubernetes, позволяя динамически и автоматически подготавливать постоянные тома для хранения данных для приложений с отслеживанием состояния, работающих в кластерах Kubernetes. |
| Управляемый Lustre в Azure | Высокопроизводительное распределенное решение распределенной файловой системы, идеально подходит для рабочих нагрузок HPC, требующих высокой пропускной способности и низкой задержки. |
| Azure Data Box | Azure Data Box — это решение, которое позволяет выполнять оффлайн, массовую передачу данных в и из Azure с помощью физического устройства хранения. Временные ограничения, доступность сети или затраты являются ограничивающими факторами, которые препятствуют передаче данных по сети. |
| Azure Stack Edge | Azure Stack Edge — это локальное сетевое устройство, которое перемещает данные в Azure и из него. Data Stack Edge имеет пограничные вычисления с поддержкой ИИ для предварительной обработки данных во время отправки. Шлюз Data Box — виртуальная версия устройства с теми же возможностями передачи данных. |
| шлюз Data Box | Шлюз Data Box — это решение storage, которое позволяет легко отправлять данные в Azure. Это виртуальное устройство на основе виртуальной машины, развернутой в вашей виртуализированной среде или гипервизоре. Виртуальное устройство находится в локальной среде, и данные записываются на него с помощью протоколы NFS и SMB. Затем устройство передает данные в Azure блочные BLOB-объекты, страничные BLOB-объекты или в Azure Files. |
Избыточность и доступность данных
Azure Storage имеет различные варианты избыточности, чтобы обеспечить устойчивость и высокий уровень доступности в зависимости от ваших потребностей.
- Локально избыточное хранилище
- Хранилище с избыточностью между зонами
- Геоизбыточное хранилище данных (GRS)
- Доступ для чтения GRS (RA-GRS)*
- Доступ только для чтения GZRS (RA-GZRS)*
* Недоступно для Azure Files.
Azure Elastic SAN поддерживает LRS и ZRS, но не поддерживает геоизбыточные параметры. Если для рабочей нагрузки требуется избыточность между регионами, используйте управляемые диски Azure или другую службу хранилища, которая поддерживает GRS.
Дополнительные сведения об этих возможностях и о том, как выбрать оптимальный вариант резервирования для ваших сценариев использования, см. в статье Azure Storage резервирование и Azure Files резервирование.
Соглашения об уровне обслуживания для служб хранения предоставляют финансовые обязательства. Дополнительные сведения см. в соглашениях об уровне служб для Microsoft Online Services.
Для получения помощи в планировании подходящего решения для дисков Azure см. статью Резервное копирование и аварийное восстановление для хранилища дисков Azure.
Безопасность
Чтобы защитить данные в облаке, Azure предлагает несколько рекомендаций по обеспечению безопасности и шифрованию данных:
- Обезопасьте учетную запись хранилища с помощью Azure RBAC и Microsoft Entra ID.
- Защита передаваемых данных между приложением и Azure с помощью шифрования на стороне клиента, HTTPS или SMB 3.1.1.
- Настройте шифрование данных при их записи в Azure Storage с использованием шифрования Azure Storage.
- Предоставьте делегированный доступ к объектам данных в Azure Storage с помощью подписей с общим доступом.
- Используйте аналитику для отслеживания используемого человеком метода аутентификации при доступе к хранилищу в Azure.
Эти функции безопасности применяются к Azure Blob Storage (блоку и странице) и к Azure Files. Дополнительные сведения см. в рекомендациях по безопасности для использования Blob Storage.
Azure Storage обеспечивает шифрование неактивных данных и защищает данные. Шифрование в Azure Storage включено по умолчанию для управляемых дисков, моментальных снимков и изображений во всех регионах Azure. Все новые управляемые диски, моментальные снимки, образы и новые данные, записанные в существующие управляемые диски, шифруются в состоянии покоя с помощью ключей, управляемых корпорацией Майкрософт. Дополнительные сведения см. в разделе шифрование Azure Storage и управляемые диски и шифрование службы хранения.
Encryption на уровне узла обеспечивает сквозное шифрование данных виртуальной машины. Это гарантирует, что временные диски, кэши дисков и поток данных между вычислительными ресурсами и хранилищем шифруются. В отличие от шифрования на стороне сервера Azure Disk Storage, которое шифрует только неактивные данные в кластерах storage, шифрование на узле шифрует данные из виртуальной машины до уровня storage. Вы можете использовать управляемые платформой ключи или ключи, управляемые клиентом, с Azure Key Vault. Дополнительные сведения см. в разделе Overview параметров шифрования управляемых дисков.
Это важно
Azure Disk Encryption (ADE), который использует BitLocker в Windows и dm-crypt в Linux, планируется выйти на пенсию 15 сентября 2028 года. Используйте шифрование на узле для новых виртуальных машин. Существующие виртуальные машины с поддержкой ADE должны мигрировать для шифрования на узле до этой даты.
Azure Elastic SAN поддерживает шифрование неактивных данных, но не поддерживает шифрование при передаче. Если рабочей нагрузке требуется транзитное шифрование для блочного хранилища, оцените вместо этого управляемые диски Azure. Дополнительные сведения см. в поддерживаемые функции Elastic SAN в Azure.
Доступность в регионах
Вы можете использовать Azure для доставки масштабируемых служб для доступа к клиентам и партнерам, где бы они ни находились. Предварительная проверка доступности услуги в регионе может помочь в принятии правильного решения для вашей рабочей нагрузки и потребностей клиентов. Для проверки доступности см. разделы Managed disks доступны по регионам и Azure Storage доступны по регионам.
Управляемые диски доступны во всех регионах Azure, где предлагаются Azure Premium SSD и Standard SSD. Azure Ультра Дисковое хранилище предлагается в нескольких зонах доступности. Проверьте доступность региона в процессе планирования критически важных рабочих нагрузок высшего уровня, требующих Ультра-Дискового Хранилища.
Горячие и холодные Blob Storage, Data Lake Storage Gen2 и Azure Files доступны во всех Azure регионах. Хранилище блобов архивного уровня, премиальные общие папки и премиальные блоки хранилища блобов ограничены определенными регионами.
Доступность ZRS для Elastic SAN ограничена подмножеством этих регионов, а целевые показатели максимального масштаба (IOPS, пропускная способность и базовая емкость хранилища) различаются в зависимости от региона.
Дополнительные сведения о глобальной инфраструктуре Azure см. в разделе регионы Azure. Ознакомьтесь с Продукты, доступные по регионам для вариантов хранения, доступных в каждом регионе Azure.
Местонахождение данных и соответствие требованиям
Юридические и договорные требования, связанные с хранением данных, часто применяются для рабочих нагрузок. Эти требования зависят от местоположения организации, юрисдикции физических ресурсов, в которых размещены хранилища данных, и вашего бизнес-сектора. Учитывайте классификацию данных, расположение данных и соответствующие обязанности для защиты данных в соответствии с моделью общей ответственности. Дополнительные сведения см. в разделе Обеспечение территориальной принадлежности данных и их защиты в регионах Microsoft Azure.
Процесс обеспечения соответствия может включать контроль физического расположения ресурсов базы данных. Регионы Azure организованы в группы, которые называются географиями. География Azure гарантирует, что требования к местонахождению данных, суверенитету, соответствию и устойчивости соответствуют географическим и политическим границам. Если ваши рабочие нагрузки подлежат суверенитету данных или другим требованиям к нормативному соответствию, разверните ресурсы хранения в регионах, которые соответствуют географии Azure. Дополнительные сведения см. в разделе регионы Azure.