Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Файлы Azure — это решение хранилища файлов Майкрософт для облака. Файлы Azure предоставляют файловые хранилища с использованием протоколов SMB и NFS, которые можно подключить к клиентам в облаке, локальной среде или к обоим средам. Служба Azure File Sync также может использоваться для кэширования файлов SMB на локальном сервере Windows и перемещения редко используемых файлов в облако.
В этой статье предполагается, что в качестве архитектора вы ознакомились с параметрами хранилища и выбрали Azure Files в качестве службы хранилища для выполнения ваших рабочих нагрузок. В этой статье приведены рекомендации по архитектуре, связанные с принципами столпов Well-Architected фреймворка Azure.
Это важно
Как использовать это руководство
Каждый раздел содержит контрольный список проектирования, который включает архитектурные аспекты, вызывающие обеспокоенность, а также стратегии проектирования, адаптированные к конкретным технологиям.
Также включены рекомендации по возможностям технологий, которые помогут реализовать эти стратегии. Рекомендации не представляют исчерпывающий список всех конфигураций, доступных для файлов Azure и его зависимостей. Вместо этого они перечисляют ключевые рекомендации, сопоставленные с перспективами проектирования. Используйте рекомендации для создания подтверждения концепции или оптимизации существующих сред.
Надежность
Цель компонента надежности заключается в обеспечении непрерывной функциональности путем создания достаточной устойчивости и возможности быстрого восстановления после сбоев.
Принципы проектирования надежности обеспечивают высокоуровневую стратегию проектирования, применяемую для отдельных компонентов, рабочих нагрузок, системных потоков и системы в целом.
Контрольный список проектирования
Начните стратегию проектирования на основе контрольного списка для проверки надежности.
Используйте анализ режима сбоя: свести к минимуму точки сбоя, учитывая внутренние зависимости, такие как доступность виртуальных сетей, Azure Key Vault или сеть доставки содержимого Azure или конечные точки Azure Front Door. Сбои могут возникать, если вам нужны учетные данные для доступа к файлам Azure, а учетные данные отсутствуют в Key Vault. Или у вас может возникнуть сбой, если рабочие нагрузки используют конечную точку, основанную на отсутствующих сетях доставки содержимого. В этих случаях может потребоваться настроить рабочие нагрузки для подключения к альтернативной конечной точке. Общие сведения об анализе режима сбоя см. в рекомендациях по выполнению анализа режима сбоя.
Определите целевые показатели надежности и восстановления: ознакомьтесь ссоглашениями об уровне обслуживания Azure (SLA). Выведите цель показателя уровня обслуживания (SLO) для учетной записи хранения. Например, выбранная конфигурация избыточности может повлиять на SLO. Рассмотрим влияние регионального сбоя, потенциал для потери данных и время, необходимое для восстановления доступа после сбоя. Также рассмотрим доступность внутренних зависимостей, которые вы определили как часть анализа режима сбоя.
Настройка избыточности данных. Для обеспечения максимальной устойчивости выберите конфигурацию, которая копирует данные в зонах доступности или глобальных регионах. Для максимальной доступности выберите конфигурацию, которая позволяет клиентам считывать данные из дополнительного региона во время сбоя основного региона.
Проектирование приложений: Проектируйте ваши приложения так, чтобы они автоматически переключались на считывание данных из вторичного региона, если основной регион недоступен. Этот подход применяется только к геоизбыточным хранилищам (GRS) и гео-зонально-избыточным хранилищам (GZRS). Разработка приложений для правильной обработки сбоев, что сокращает время простоя для клиентов.
Ознакомьтесь с функциями, которые помогут вам достичь целевых объектов восстановления: сделайте файлы восстанавливаемыми, поврежденными, измененными или удаленными.
Создайте план восстановления: рассмотрите возможности защиты данных, операции резервного копирования и восстановления или процедуры отработки отказа. Подготовьтесь к потенциальным потерям данных и несогласованности данных и затратам времени и стоимости переключения на резервные системы. Дополнительные сведения см. в рекомендациях по разработке стратегии аварийного восстановления.
Отслеживайте потенциальные проблемы доступности: подпишитесь на панель мониторинга работоспособности служб Azure , чтобы отслеживать потенциальные проблемы с доступностью. Используйте метрики хранилища и журналы диагностики в Azure Monitor для изучения оповещений.
Рекомендации
Рекомендация | Преимущества |
---|---|
Настройте учетную запись хранения для резервирования. Для обеспечения максимальной доступности и устойчивости настройте учетную запись с хранилищем, избыточным между зонами (ZRS),GRS или GZRS. Поддержка ZRS для стандартных и премиальных общих папок доступна лишь в некоторых регионах Azure. Только стандартные учетные записи SMB поддерживают GRS и GZRS. Общие ресурсы SMB уровня "Премиум" и общие папки NFS не поддерживают GRS и GZRS. Файлы Azure не поддерживают геоизбыточное хранилище для чтения (RA-GRS) или геозонально избыточное хранилище для чтения (RA-GZRS). Если вы настроите учетную запись хранения для использования RA-GRS или RA-GZRS, общие папки настраиваются и выставляются как GRS или GZRS. |
Избыточность защищает данные от непредвиденных сбоев. Параметры конфигурации ZRS и GZRS реплицируются в различных зонах доступности и позволяют приложениям продолжать чтение данных во время сбоя. Дополнительные сведения см. в разделе "Устойчивость и доступность по сценариям сбоям" ипараметрам устойчивости и доступности. |
Прежде чем инициировать переключение или возврат к основному, проверьте значение свойства последнего времени синхронизации, чтобы оценить потенциал потери данных. Эта рекомендация применяется только к конфигурациям GRS и GZRS. | Это свойство помогает оценить, сколько данных может быть потеряно, если вы инициируете переключение учетной записи. Все данные и метаданные, записанные до последнего времени синхронизации, доступны в дополнительном регионе, но вы можете потерять данные и метаданные, записанные после последнего времени синхронизации, так как он не записывается в дополнительный регион. |
В рамках стратегии резервного копирования и восстановления включите мягкое удаление и используйте моментальные снимки данных для точечного восстановления. Azure Backup можно использовать для резервного копирования общих папок SMB. Вы также можете использовать синхронизацию файлов Azure для резервного копирования локальных общих папок SMB в общую папку Azure. Azure Backup также позволяет выполнять архивное резервное копирование файлов Azure для защиты данных от атак программ-шантажистов или потери исходных данных из-за злоумышленника или администратора-изгоя. Используя архивное резервное копирование, Azure Backup копирует и сохраняет данные в хранилище служб восстановления. При этом создается внесайтовая копия данных, которую можно хранить до 99 лет. Azure Backup создает точки восстановления и управляет ими в соответствии с расписанием и хранением, определенными в политике резервного копирования. Подробнее. |
Мягкое удаление выполняется на уровне файлового ресурса, чтобы защитить файловые ресурсы Azure от случайного удаления. Восстановление на определенный момент времени защищает от случайного удаления или повреждения, так как можно восстановить общие папки в более раннее состояние. Дополнительные сведения см. в статье Общие сведения о защите данных. |
Безопасность
Цель компонента "Безопасность" — обеспечить конфиденциальности, целостности и доступности гарантии рабочей нагрузки.
Принципы проектирования безопасности предоставляют высокоуровневую стратегию проектирования для достижения этих целей, применяя подходы к технической разработке конфигурации хранилища файлов.
Требования к безопасности и рекомендации зависят от того, использует ли рабочая нагрузка протокол SMB или NFS для доступа к общим папкам. Поэтому в следующих разделах содержатся отдельные контрольные списки проектирования и рекомендации для общих папок SMB и NFS.
Рекомендуется хранить общие папки SMB и NFS в отдельных учетных записях хранения, так как они имеют разные требования к безопасности. Используйте этот подход, чтобы обеспечить рабочую нагрузку с высокой безопасностью и высокой гибкостью.
Контрольный список для общих папок SMB
Начните стратегию дизайна на основе контрольного списка обзора дизайна для безопасности. Выявление уязвимостей и элементов управления для улучшения состояния безопасности. Расширьте стратегию, чтобы включить дополнительные подходы по мере необходимости.
Просмотрите базовые показатели безопасности для службы хранилища Azure. Чтобы приступить к работе, просмотрите базовые показатели безопасности для хранилища.
Рассмотрите возможность использования сетевых элементов управления для ограничения входящего трафика и исходящего трафика: вы можете быть комфортно предоставлять учетную запись хранения общедоступному Интернету в определенных условиях, например, если вы используете проверку подлинности на основе удостоверений для предоставления доступа к общим папкам. Но мы рекомендуем использовать сетевые элементы управления для предоставления минимального требуемого уровня доступа пользователям и приложениям. Дополнительные сведения см. в статье "Как приблизиться к сетевой безопасности для учетной записи хранения".
Уменьшите область атаки: используйте шифрование при передаче и предотвратите доступ через небезопасные подключения (HTTP), чтобы уменьшить область атаки. Требовать от клиентов отправлять и получать данные с помощью последней версии протокола TLS.
Свести к минимуму использование ключей учетной записи хранения: проверка подлинности на основе удостоверений обеспечивает более высокую безопасность по сравнению с использованием ключа учетной записи хранения. Но необходимо использовать ключ учетной записи хранения, чтобы получить полный административный контроль над общей папкой, включая возможность владения файлом. Предоставьте субъектам безопасности только необходимые разрешения, необходимые для выполнения своих задач.
Защита конфиденциальной информации: защита конфиденциальной информации, например ключей учетной записи хранения и паролей. Мы не рекомендуем использовать эти формы авторизации, но если вы всё-таки решите это сделать, необходимо обновлять, завершать срок действия и хранить их в безопасности.
Обнаружение угроз. Включите Microsoft Defender для хранилища , чтобы обнаружить потенциально опасные попытки доступа к общим папкам Azure или использовать их через протоколы SMB или FileREST. Администраторы подписок получают оповещения электронной почты с подробными сведениями о подозрительных действиях и рекомендациях по изучению и устранению угроз. Defender для хранилища не поддерживает возможности антивирусной программы для общих папок Azure. Если вы используете Defender for Storage, общие папки, имеющие высокую нагрузку транзакций, несут значительные затраты, поэтому можно рассмотреть возможность отключения Defender for Storage для определенных учетных записей хранения.
Рекомендации по общим папкам SMB
Рекомендация | Преимущества |
---|---|
Примените блокировку Azure Resource Manager к учетной записи хранения. | Блокировка учетной записи, чтобы предотвратить случайное или вредоносное удаление учетной записи хранения, что может привести к потере данных. |
Откройте TCP-порт 445 для исходящего трафика или настройте VPN-шлюз или подключение Azure ExpressRoute для клиентов за пределами Azure для доступа к общей папке. | SMB 3.x — это интернет-безопасный протокол, но у вас может не быть возможности изменять политики организации или поставщика услуг. Vpn-шлюз или подключение ExpressRoute можно использовать как альтернативный вариант. |
Если вы открываете порт 445, обязательно отключите SMBv1 в клиентах Windows и Linux . Файлы Azure не поддерживают SMB 1, но вы по-прежнему должны отключить его на клиентах. | SMB 1 — это устаревший, неэффективный и небезопасный протокол. Отключите его на клиентских устройствах, чтобы повысить уровень безопасности. |
Рассмотрите возможность отключения общедоступного сетевого доступа к вашей учетной записи хранения. Включите доступ к общедоступной сети, только если клиентам и службам SMB, которые находятся за пределами Azure, требуется доступ к вашей учетной записи хранения. Если вы отключите доступ к общедоступной сети, создайте частную конечную точку для учетной записи хранения. Применяются стандартные скорости обработки данных для частных конечных точек. Частная конечная точка не блокирует подключения к общедоступной конечной точке. Вы по-прежнему должны отключить доступ к общедоступной сети, как описано ранее. Если для файлового ресурса не требуется статический IP-адрес и вы хотите избежать затрат на частные конечные точки, можно ограничить доступ общедоступной конечной точки до определенных виртуальных сетей и IP-адресов. |
Сетевой трафик перемещается по магистральной сети Майкрософт вместо общедоступного Интернета, что устраняет риск воздействия из общедоступного Интернета. |
Включите правила брандмауэра, ограничивающие доступ к определенным виртуальным сетям. Начните с полного отсутствия доступа, а затем методично и постепенно предоставляйте минимально необходимый доступ для клиентов и служб. | Свести к минимуму риск создания открытий для злоумышленников. |
По возможности используйте аутентификацию на основе удостоверения личности с шифрованием билетов AES-256 Kerberos для разрешения доступа к общим папкам SMB Azure. | Используйте проверку подлинности на основе удостоверений, чтобы уменьшить вероятность того, что злоумышленник использует ключ учетной записи хранения для доступа к общим папкам. |
Если вы используете ключи учетной записи хранения, сохраните их в Key Vault и периодически повторно создайте их. Вы можете полностью запретить доступ по ключу учетной записи к хранилищу к общему доступу к файлам, удалив NTLMv2 из параметров безопасности SMB. Но обычно не следует удалять NTLMv2 из параметров безопасности SMB общего ресурса, так как администраторы по-прежнему должны использовать ключ учетной записи для некоторых задач. |
Используйте Key Vault, чтобы получить ключи во время выполнения, а не сохранять их с помощью приложения. Key Vault также упрощает смену ключей без прерывания работы с приложениями. Периодически поворачивайте ключи учетной записи, чтобы снизить риск предоставления данных вредоносным атакам. |
В большинстве случаев необходимо включить необходимый параметр безопасной передачи для всех учетных записей хранения, чтобы включить шифрование при передаче для общих папок SMB. Не включите этот параметр, если вам нужно разрешить очень старым клиентам доступ к общей папке. Если отключить безопасную передачу, обязательно используйте сетевые элементы управления для ограничения трафика. |
Этот параметр гарантирует, что все запросы, сделанные в учетной записи хранения, выполняются через безопасные подключения (HTTPS). Все запросы, выполненные по протоколу HTTP, завершатся ошибкой. |
Настройте учетную запись хранения таким образом, чтобы протокол TLS 1.2 был минимальной версией для клиентов для отправки и получения данных. | TLS 1.2 является более безопасным и быстрым, чем TLS 1.0 и 1.1, что не поддерживает современные алгоритмы шифрования и наборы шифров. |
Используйте только последнюю поддерживаемую версию протокола SMB (в настоящее время 3.1.1.) и используйте только AES-256-GCM для шифрования каналов SMB. Файлы Azure предоставляют параметры, которые можно использовать для управления протоколом SMB, делая его более совместимым или более безопасным в зависимости от требований вашей организации. По умолчанию разрешены все версии SMB. Однако SMB 2.1 запрещен, если вы включите Требовать безопасную передачу данных, так как SMB 2.1 не поддерживает шифрование данных при передаче. Если эти параметры ограничены высоким уровнем безопасности, некоторые клиенты могут не подключаться к общей папке. |
SMB 3.1.1, выпущенная в Windows 10, содержит важные обновления безопасности и производительности. AES-256-GCM обеспечивает более безопасное шифрование каналов. |
Дизайнерский контрольный список для разделяемых файлов NFS
Просмотрите базовые показатели безопасности для хранилища. Чтобы приступить к работе, просмотрите базовые показатели безопасности для хранилища.
Сведения о требованиях к безопасности вашей организации: общие папки NFS Azure поддерживают только клиенты Linux, использующие протокол NFSv4.1, с поддержкой большинства функций из спецификации протокола 4.1. Некоторые функции безопасности не поддерживаются, такие как проверки подлинности Kerberos и списки управления доступом (ACL).
Используйте безопасность и элементы управления на уровне сети, чтобы ограничить входящий и исходящий трафик: проверка подлинности на основе удостоверений недоступна для общих папок Azure NFS, поэтому необходимо использовать безопасность и элементы управления на уровне сети для предоставления минимального требуемого уровня доступа пользователям и приложениям. Дополнительные сведения см. в статье "Как приблизиться к сетевой безопасности для учетной записи хранения".
Рекомендации по общим папкам NFS
Рекомендация | Преимущества |
---|---|
Примените блокировку Resource Manager к учетной записи хранения. | Блокировка учетной записи, чтобы предотвратить случайное или вредоносное удаление учетной записи хранения, что может привести к потере данных. |
Необходимо открыть порт 2049 на клиентах, к которым требуется подключить общую папку NFS. | Откройте порт 2049, чтобы клиенты взаимодействовали с общей папкой NFS Azure. |
Общие папки Azure NFS доступны только через ограниченные сети. Поэтому необходимо создать частную конечную точку для учетной записи хранения или ограничить доступ общедоступной конечной точки к выбранным виртуальным сетям и IP-адресам. Рекомендуется создать частную конечную точку. Рекомендуется настроить безопасность на уровне сети для общих папок NFS. Вы также можете включить шифрование во время передачи. Стандартные скорости обработки данных применяются для частных конечных точек. Если для общей папки не требуется статический IP-адрес и вы хотите избежать затрат на частные конечные точки, можно ограничить доступ к общедоступной конечной точке. |
Сетевой трафик перемещается по магистральной сети Майкрософт вместо общедоступного Интернета, что устраняет риск воздействия из общедоступного Интернета. |
Подумайте о запрете доступа к ключам учетной записи хранения на уровне учетной записи хранения. Вам не нужен этот доступ для монтирования NFS-общих папок. Но помните, что полный административный контроль над общей папкой, включая возможность владения файлом, требует использования ключа учетной записи хранения. | Запретить использование ключей учетной записи хранения для повышения ее безопасности. |
Оптимизация затрат
Оптимизация затрат фокусируется на обнаружении шаблонов расходов, приоритете инвестиций в критически важные области и оптимизации в других в соответствии с бюджетом организации при выполнении бизнес-требований.
Принципы проектирования оптимизации затрат обеспечивают высокоуровневую стратегию проектирования для достижения этих целей и обеспечения компромиссов в техническом проектировании, связанном с хранилищем файлов и его средой.
Контрольный список проектирования
Начните стратегию проектирования на основе контрольного списка оценки для оптимизации затрат при инвестициях. Точно настройте структуру, чтобы рабочая нагрузка соответствовала бюджету, выделенному для рабочей нагрузки. Проект должен использовать правильные возможности Azure, отслеживать инвестиции и находить возможности для оптимизации с течением времени.
Определите, требуется ли для рабочей нагрузки производительность общих папок уровня "Премиум" (SSD Azure premium) или достаточно ли достаточно хранилища HDD уровня "Стандартный": определите тип учетной записи хранения и модель выставления счетов в зависимости от типа хранилища, необходимого для хранения. Если требуется большое количество операций ввода-вывода в секунду (IOPS), очень быстрые скорости передачи данных или очень низкая задержка, то следует выбрать общие папки Azure уровня "Премиум". Общие папки Azure NFS доступны только на тарифе "Премиум". Общие папки NFS и SMB на уровне "Премиум" имеют такую же цену.
Создайте учетную запись хранения для общей папки и выберите уровень избыточности: выберите стандартную учетную запись (GPv2) или premium (FileStorage). Уровень избыточности, который вы выбираете, влияет на стоимость. Чем больше избыточности, тем выше стоимость. Локально избыточное хранилище (LRS) является самым доступным. GRS доступен только для стандартных общих папок SMB. Стандартные общие папки отображают только сведения о транзакциях на уровне учетной записи хранения данных, поэтому мы рекомендуем развертывать только одну общую папку в каждой учетной записи для обеспечения полной видимости выставления счетов.
Узнайте, как вычисляется счет: стандартные общие файлы Azure предоставляют модель оплаты по мере использования. Акции уровня премиум используют подготовленную модель, при которой вы заранее указываете и оплачиваете общий объем емкости, количество операций ввода-вывода в секунду и пропускную способность. В модели оплаты по мере использования счетчики отслеживают объем данных, хранящихся в учетной записи, или емкость, а также количество и тип транзакций на основе использования этих данных. Модель оплаты по мере использования может быть экономичной, так как вы платите только за то, что вы используете. При использовании модели оплаты по факту использования вам не нужно избыточного предоставления или отмены хранения на основе требований к производительности или колебаний спроса.
Однако может быть трудно запланировать хранение в процессе бюджетирования, поскольку именно потребление конечных пользователей влияет на затраты. С подготовленной моделью транзакции не влияют на выставление счетов, поэтому затраты легко прогнозировать. Но вы платите за подготовленную емкость хранилища независимо от того, используете ли вы его или нет. Подробные сведения о расчете затрат см. в статье "Общие сведения о выставлении счетов за файлы Azure".
Оцените стоимость емкости и операций. Вы можете использовать калькулятор цен Azure для моделирования затрат, связанных с хранилищем данных, входящего трафика и исходящего трафика. Сравните затраты, связанные с различными регионами, типами учетных записей и конфигурациями избыточности. Дополнительные сведения см. в разделе о ценах на файлы Azure.
Выберите самый экономичный уровень доступа: общие папки Azure уровня "Стандартный" SMB предлагают три уровня доступа: оптимизированный для транзакций, горячий и холодный. Все три уровня хранятся на одном и том же стандартном оборудовании хранилища. Основное различие для этих трех уровней заключается в ценах на хранение данных в режиме покоя, которые ниже на более холодных уровнях, и в ценах на транзакции, которые выше на более холодных уровнях. Дополнительные сведения см. в разделе "Различия в стандартных уровнях".
Определите, какие дополнительные услуги вам необходимы: Службы Azure Files поддерживают интеграцию с услугами с добавленной стоимостью, такими как резервное копирование, Azure File Sync и Defender для защиты хранилища. Эти решения имеют собственные затраты на лицензирование и продукты, но часто считаются частью общей стоимости владения для хранилища файлов. Рассмотрите другие аспекты затрат , если используется синхронизация файлов Azure.
Создание ограничений: создание бюджетов на основе подписок и групп ресурсов. Используйте политики управления для ограничения типов ресурсов, конфигураций и расположений. Кроме того, используйте управление доступом на основе ролей (RBAC) для блокировки действий, которые могут привести к перерасходу.
Мониторинг затрат: обеспечение того, чтобы затраты оставались в бюджетах, сравнивали затраты с прогнозами и видели, где происходит перерасход. С помощью области анализа затрат на портале Azure можно отслеживать затраты. Вы также можете экспортировать данные о затратах в учетную запись хранения и использовать Excel или Power BI для анализа данных.
Мониторинг использования: непрерывно отслеживайте шаблоны использования для обнаружения неиспользуемых или неиспользуемых учетных записей хранения и общих папок. Проверьте непредвиденное увеличение емкости, что может указывать на то, что вы собираете многочисленные файлы журнала или обратимо удаленные файлы. Разработайте стратегию удаления файлов или перемещения файлов на более экономичные уровни доступа.
Рекомендации
Рекомендация | Преимущества |
---|---|
При миграции на стандартные файловые ресурсы Azure рекомендуется начать на уровне , оптимизированном для транзакций , во время начальной миграции. Использование транзакций во время миграции обычно не указывает на обычное использование транзакций. Это не относится к общим папкам класса Premium, так как подготовленная модель выставления счетов не взимает плату за транзакции. | Миграция в файлы Azure — это временная, тяжелая для транзакций рабочая нагрузка. Оптимизируйте ценообразование для высоконагруженных транзакциями рабочих задач, чтобы снизить затраты на миграцию. |
После переноса рабочей нагрузки, если вы используете стандартные общие папки, тщательно выберите наиболее экономичный уровень доступа для общей папки: горячий, холодный или оптимизированный для транзакций. После работы в течение нескольких дней или недель с регулярным использованием вы можете вставить количество транзакций в калькулятор цен , чтобы выяснить, какой уровень лучше всего подходит вашей рабочей нагрузке. Большинство клиентов должны выбрать прохладный, даже когда они активно используют общую функцию. Если необходимо, следует изучить каждую акцию и сравнить баланс объема хранилища с осуществляемыми транзакциями, чтобы определить ваш уровень. Если затраты на транзакции составляют значительный процент счета, экономия от использования холодного уровня доступа часто компенсирует эту стоимость и сводит к минимуму общую стоимость. Рекомендуется перемещать стандартные общие папки между уровнями доступа только при необходимости для оптимизации изменений в шаблоне рабочей нагрузки. Каждое перемещение вызывает транзакции. Дополнительные сведения см. в разделе "Переключение между стандартными уровнями". |
Выберите соответствующий уровень доступа для стандартных файловых ресурсов, чтобы значительно сократить затраты. |
Если вы используете акции премиум-класса, убедитесь, что вы подготавливаете достаточно емкости и производительности для вашей рабочей нагрузки, но не настолько, чтобы понести ненужные расходы. Рекомендуется дополнительное резервирование в два-три раза. Вы можете динамически увеличивать или уменьшать размер файловых хранилищ уровня Премиум в зависимости от характеристик производительности вашего хранилища и ввода-вывода. | Перепроектируйте ресурсы файлового уровня "Премиум" с небольшим запасом, чтобы сохранить производительность и учитывать будущие потребности в росте и производительности. |
Используйте резервирования файлов Azure, которые также называются зарезервированными экземплярами, для предварительного обращения к использованию хранилища и получения скидки. Используйте резервирования для рабочих нагрузок или рабочих нагрузок разработки и тестирования с согласованной нагрузкой. Дополнительные сведения см. в разделе "Оптимизация затрат с резервированием хранилища". Резервирования не включают расходы на транзакции, пропускную способность, передачу данных и хранилище метаданных. |
Трехлетние подписки могут предоставлять скидку до 36% от общей стоимости хранения файлов. Резервирования не влияют на производительность. |
Мониторинг использования моментальных снимков. За моментальные снимки взимается плата, но она основывается на разнице в использовании хранилища каждым из моментальных снимков. Вы платите только за разницу в каждом снапшоте. Дополнительные сведения см. в разделе о моментальных снимках. Синхронизация файлов Azure принимает моментальные снимки уровня общего доступа и файлового уровня в рамках регулярного использования, что может увеличить общий счет за файлы Azure. |
Разностные моментальные снимки обеспечивают, что взимание платы за хранение одних и тех же данных не происходит несколько раз. Однако вы по-прежнему должны отслеживать использование моментальных снимков, чтобы сократить счет за файлы Azure. |
Задайте сроки хранения для функции обратимого удаления, особенно при первом запуске ее использования. Попробуйте начать с короткого периода хранения, чтобы лучше понять, как функция влияет на ваш счет. Минимальный рекомендуемый срок хранения составляет семь дней. При мягком удалении файловых ресурсов уровня "Стандартный" и "Премиум" они тарифицируются как используемая емкость, а не зарезервированная емкость. Плата за общие папки уровня "Премиум" взимается по скорости моментального снимка в режиме мягкого удаления. Стандартные общие папки оплачиваются по обычной ставке даже в состоянии мягкого удаления. |
Установите период хранения, чтобы мягко удаленные файлы не скапливались и не увеличивали затраты на емкость. После настроенного периода хранения безвозвратно удаленные данные не несут расходов. |
Операционное превосходство
Операционное совершенство в основном сосредоточено на процедурах, касающихся практик разработки , наблюдаемости и управления релизами.
Принципы проектирования операционной эффективности обеспечивают высокоуровневую стратегию проектирования для достижения этих целей в соответствии с операционными требованиями рабочей нагрузки.
Контрольный список проектирования
Запустите стратегию проектирования на основе контрольного списка проверки разработки для операционного превосходства для определения процессов для наблюдения, тестирования и развертывания, связанных с конфигурацией хранилища файлов.
Создание планов обслуживания и аварийного восстановления. Учитывайте функции защиты данных, операции резервного копирования и восстановления, а также процедуры отказоустойчивости. Подготовьтесь к потенциальным потерям данных и несогласованности данных и затратам времени и стоимости переключения на резервные системы.
Мониторинг работоспособности учетной записи хранения: создание панелей мониторинга аналитики хранилища для мониторинга доступности, производительности и метрик устойчивости. Настройте оповещения для выявления и устранения проблем в системе перед тем, как клиенты заметят их. Используйте параметры диагностики для маршрутизации журналов ресурсов в рабочую область журналов Azure Monitor. Затем журналы можно запрашивать для более глубокого изучения оповещений.
Периодически просматривайте активность файлового обмена: активность общего доступа может меняться с течением времени. Переместите стандартные файловые ресурсы на более холодные уровни доступа или вы можете подготовить или отменить подготовку емкости для ресурсов класса Premium. При перемещении стандартных общих папок на другой уровень доступа взимается плата за транзакцию. Перемещайте стандартные файловые ресурсы только при необходимости, чтобы сократить ваши ежемесячные расходы.
Рекомендации
Рекомендация | Преимущества |
---|---|
Используйте инфраструктуру в качестве кода (IaC), чтобы определить сведения о учетных записях хранения в шаблонах Azure Resource Manager (шаблоны ARM),Bicep или Terraform. | Вы можете использовать существующие процессы DevOps для развертывания новых учетных записей хранения и использования политики Azure для применения их конфигурации. |
Используйте аналитику хранилища для отслеживания работоспособности и производительности учетных записей хранения. Аналитика хранилища предоставляет единое представление о сбоях, производительности, доступности и емкости для всех учетных записей хранения. | Вы можете отслеживать работоспособность и операцию каждой учетной записи. Легко создавать панели мониторинга и отчеты, которые заинтересованные лица могут использовать для отслеживания работоспособности учетных записей хранения. |
Используйте Монитор для анализа метрик, таких как доступность, задержка и использование, а также создание оповещений. | Монитор предоставляет представление о доступности, производительности и устойчивости общих папок. |
Эффективность производительности
Эффективность производительности заключается в поддержании пользовательского опыта даже в условиях увеличения нагрузки за счёт управления ресурсами. Стратегия включает масштабирование ресурсов, определение потенциальных узких мест и оптимизацию для достижения пиковой производительности.
Принципы проектирования эффективности производительности предлагают высокоуровневую стратегию для достижения этих целей по емкости с учетом ожидаемого использования.
Контрольный список проектирования
Начните стратегию проектирования на основе контрольного списка проектирования для эффективности производительности. Определите базовые показатели, основанные на ключевых показателях производительности конфигурации хранилища файлов.
Планирование масштабирования. Общие сведения о целевых показателях масштабируемости и производительности учетных записей хранения, файлов Azure и синхронизации файлов Azure.
Поймите ваше приложение и характер его использования для достижения прогнозируемой производительности: определите чувствительность к задержке, требования к операциям ввода-вывода в секунду (IOPS) и пропускной способности, длительность и частоту нагрузки, а также параллелизацию нагрузки. Используйте файлы Azure для многопоточных приложений, чтобы обеспечить максимальное ограничение производительности службы. Если большинство запросов ориентированы на метаданные, такие как createfile, openfile, closefile, queryinfo или querydirectory, запросы создают высокую задержку, которая хуже операций чтения и записи. При возникновении этой проблемы рекомендуется разделить общую папку на несколько общих папок в одной учетной записи хранения.
Выберите оптимальный тип учетной записи хранения: если для рабочей нагрузки требуется большое количество операций ввода-вывода в секунду, очень быстрая скорость передачи данных или очень низкая задержка, то следует выбрать учетные записи хранения класса Premium (FileStorage). Для большинства рабочих нагрузок общей папки SMB можно использовать стандартную учетную запись общего назначения версии 2. Основной компромисс между двумя типами учетных записей хранения — это выбор между стоимостью и производительностью.
Размер выделенной доли, такие как количество операций ввода-вывода в секунду, исходящий и входящий трафик, а также ограничения на один файл, определяют производительность ресурса класса Premium. Дополнительные сведения см. в разделе "Общие сведения о подготовке для общих папок уровня "Премиум". Общие папки уровня "Премиум" также предлагают временные кредиты в качестве страховой политики, если вам нужно временно превысить базовый лимит операций ввода-вывода в секунду.
Создайте учетные записи хранения в том же регионе, что и подключение клиентов для уменьшения задержки. Чем дальше вы находитесь в службе файлов Azure, тем больше задержки и сложнее достичь ограничений масштабирования производительности. Это особенно важно при доступе к файлам Azure из локальных сред. По возможности убедитесь, что ваша учетная запись хранения и клиенты находятся в одном регионе Azure. Оптимизируйте локальные клиенты, минимизируя задержку сети или используя подключение ExpressRoute для расширения локальных сетей в облако Майкрософт через частное подключение.
Сбор данных о производительности: мониторинг производительности рабочей нагрузки, включая задержку, доступность и метрики использования . Анализ журналов для диагностики таких проблем, как тайм-ауты и ограничение скорости. Создайте оповещения, чтобы уведомлять вас, если файловый ресурс ограничивается, собирается быть ограничен или испытывает высокую задержку.
Оптимизация для гибридных развертываний. Если вы используете синхронизацию файлов Azure, производительность синхронизации зависит от многих факторов: Windows Server и базовой конфигурации диска, пропускной способности сети между сервером и хранилищем Azure, размером файла, общим размером набора данных и действием набора данных. Чтобы оценить производительность решения, основанного на синхронизации файлов Azure, определите количество объектов, таких как файлы и каталоги, которые обрабатываются в секунду.
Рекомендации
Рекомендация | Преимущества |
---|---|
Включите SMB Multichannel для общих папок SMB уровня "Премиум". SMB Multichannel позволяет клиенту SMB 3.1.1 установить несколько сетевых подключений к общей папке SMB Azure. SMB Multichannel работает только в том случае, если эта функция включена как на стороне клиента , так и на стороне службы (Azure). В клиентах Windows SMB Multichannel включен по умолчанию, но его необходимо включить в учетной записи хранения. |
Увеличьте пропускную способность и количество операций ввода-вывода в секунду, уменьшая общую стоимость владения. Преимущества производительности увеличиваются с числом файлов, которые распределяют нагрузку. |
Используйте параметр подключения на стороне клиента nconnect с общими папками NFS Azure на клиентах Linux. Nconnect позволяет использовать больше TCP-подключений между клиентом и службой Azure Files premium для NFSv4.1. | Увеличьте производительность в больших масштабах и уменьшите общую стоимость владения для сетевых файловых ресурсов NFS. |
Убедитесь, что ваша общая папка или учетная запись хранения не ограничивается, что может приводить к увеличению задержки, снижению пропускной способности или уменьшению количества операций ввода-вывода в секунду (IOPS). Запросы ограничиваются при достижении ограничений IOPS, входящего трафика или исходящего трафика. Для стандартных учетных записей хранения регулирование происходит на уровне учетной записи. Для премиум файловых ресурсов регулирование обычно происходит на уровне общего ресурса. |
Избегайте регулирования, чтобы обеспечить оптимальный интерфейс клиента. |
Политики Azure
Azure предоставляет широкий набор встроенных политик, связанных с файлами Azure. Некоторые из предыдущих рекомендаций можно проверять с помощью политик Azure. Например, можно проверить, можно ли:
- Принимаются только запросы от безопасных подключений, таких как HTTPS.
- Авторизация общего ключа отключена.
- Правила брандмауэра сети применяются к учетной записи.
- Настройки диагностики для Azure Files установлены для передачи журналов ресурсов в рабочую область Azure Monitor Logs.
- Доступ к общедоступной сети отключен.
- Синхронизация файлов Azure настроена с частными конечными точками для использования частных зон DNS.
Для комплексного управления ознакомьтесь со встроенными определениями политики Azure для хранилища и других политик, которые могут повлиять на безопасность вычислительного слоя.
Рекомендации Помощника по Azure
Помощник по Azure — это персонализированный облачный консультант, который поможет вам следовать рекомендациям по оптимизации развертываний Azure. Ниже приведены некоторые рекомендации, которые помогут повысить надежность, безопасность, эффективность затрат, производительность и эффективность работы файлов Azure.
Следующий шаг
Для получения дополнительной информации см. документацию Azure Files.