Prospettiva di Azure Well-Architected Framework su Archiviazione BLOB di Azure
Archiviazione BLOB di Azure è una soluzione di archiviazione di oggetti Microsoft per il cloud. L'archiviazione BLOB è ottimizzata per archiviare enormi quantità di dati non strutturati. I dati non strutturati sono dati che non aderiscono a uno specifico modello di dati o a una specifica definizione, ad esempio dati di testo o binari.
Questo articolo presuppone che in qualità di architetto siano state esaminate le opzioni di archiviazione e sia stato scelto Blob Archiviazione come servizio di archiviazione in cui eseguire i carichi di lavoro. Le linee guida contenute in questo articolo forniscono raccomandazioni sull'architettura mappate ai principi dei pilastri di Azure Well-Architected Framework.
Importante
Come usare questa guida
Ogni sezione include un elenco di controllo di progettazione che presenta aree di interesse per l'architettura insieme alle strategie di progettazione.
Sono inoltre incluse raccomandazioni sulle funzionalità tecnologiche che possono aiutare a implementare tali strategie. Le raccomandazioni non rappresentano un elenco completo di tutte le configurazioni disponibili per l'Archiviazione BLOB e le relative dipendenze. Vengono invece elencate le raccomandazioni principali mappate alle prospettive di progettazione. Usare i consigli per creare il modello di verifica o ottimizzare gli ambienti esistenti.
Affidabilità
Lo scopo del pilastro Affidabilità è fornire funzionalità continue creando una resilienza sufficiente e la possibilità di recuperare rapidamente dagli errori.
I principi di progettazione dell'affidabilità forniscono una strategia di progettazione di alto livello applicata per singoli componenti, flussi di sistema e il sistema nel suo complesso.
Elenco di controllo della progettazione
Avviare la strategia di progettazione in base all'elenco di controllo di revisione della progettazione per l'affidabilità.
Usare l'analisi della modalità di errore: ridurre al minimo i punti di errore considerando le dipendenze interne, ad esempio la disponibilità di reti virtuali, Azure Key Vault o gli endpoint di Azure rete per la distribuzione di contenuti o Frontdoor di Azure. Gli errori possono verificarsi se le credenziali richieste dai carichi di lavoro per accedere al BLOB Archiviazione non sono presenti nell'insieme di credenziali delle chiavi o se i carichi di lavoro usano un endpoint basato su una rete per la distribuzione di contenuti rimossa. In questi casi, i carichi di lavoro potrebbero dover usare un endpoint alternativo per connettersi. Per informazioni generali sull'analisi della modalità di errore, vedere Consigli per l'esecuzione dell'analisi della modalità di errore.
Definire obiettivi di affidabilità e ripristino: esaminare i contratti di servizio di Azure. Derivare l'obiettivo del livello di servizio (SLO) per l'account di archiviazione. Ad esempio, l'SLO potrebbe essere interessato dalla configurazione di ridondanza scelta. Prendere in considerazione l'effetto di un'interruzione a livello di area, la potenziale perdita di dati e il tempo necessario per ripristinare l'accesso dopo un'interruzione. Considerare anche la disponibilità di eventuali dipendenze interne identificate come parte dell'analisi della modalità di errore.
Configurare la ridondanza dei dati: per la durabilità massima, scegliere una configurazione che copia i dati tra zone di disponibilità o aree globali. Per la disponibilità massima, scegliere una configurazione che consenta ai client di leggere i dati dall'area secondaria durante un'interruzione dell'area primaria.
Progettare applicazioni: progettare applicazioni per passare facilmente alla lettura dei dati dall'area secondaria se l'area primaria non è più disponibile per qualsiasi motivo. Questo vale solo per le configurazioni di archiviazione con ridondanza geografica e archiviazione con ridondanza geografica della zona.This only applies to geo-redundant storage (GRS) and geo-zone-redundant storage (GZRS) configurations. La progettazione di applicazioni per gestire le interruzioni riduce i tempi di inattività per gli utenti finali.
Esplorare le funzionalità per soddisfare le destinazioni di ripristino: rendere i BLOB ripristinabili in modo che possano essere ripristinati se sono danneggiati, modificati o eliminati per errore.
Creare un piano di ripristino: prendere in considerazione le funzionalità di protezione dei dati, le operazioni di backup e ripristino o le procedure di failover. Prepararsi per potenziali perdite di dati e incoerenze dei dati e il tempo e il costo del failover. Per altre informazioni, vedere Consigli per la progettazione di una strategia di ripristino di emergenza.
Monitorare i potenziali problemi di disponibilità: sottoscrivere il dashboard integrità dei servizi di Azure per monitorare i potenziali problemi di disponibilità. Usare le metriche di archiviazione in Monitoraggio di Azure e nei log di diagnostica per analizzare gli avvisi.
Consigli
Elemento consigliato | Vantaggio |
---|---|
Configurare l'account per la ridondanza. Per garantire la massima disponibilità e durabilità, configurare l'account usando l'archiviazione con ridondanza della zona (ZRS) o archiviazione con ridondanza della zona. |
La ridondanza protegge i dati da errori imprevisti. Le opzioni di configurazione di archiviazione con ridondanza della zona e archiviazione con ridondanza geografica della zona vengono replicate in zone di disponibilità diverse e consentono alle applicazioni di continuare a leggere i dati durante un'interruzione. Per altre informazioni, vedere Durabilità e disponibilità in base a scenari di interruzione e parametri di durabilità e disponibilità. |
Prima di avviare un failover o un failback, valutare la potenziale perdita di dati controllando il valore della proprietà dell'ora dell'ultima sincronizzazione . Questa raccomandazione si applica solo alle configurazioni di archiviazione con ridondanza geografica e archiviazione con ridondanza geografica e archiviazione con ridondanza geografica. | Questa proprietà consente di stimare la quantità di dati che si potrebbero perdere avviando un failover dell'account. Tutti i dati e i metadati scritti prima dell'ora dell'ultima sincronizzazione sono disponibili nell'area secondaria, ma i dati e i metadati scritti dopo l'ora dell'ultima sincronizzazione potrebbero andare persi perché non vengono scritti nell'area secondaria. |
Come parte della strategia di backup e ripristino, abilitare l'eliminazione temporanea del contenitore, l'eliminazione temporanea del BLOB, il controllo delle versioni e le opzioni di ripristino temporizzato. | L'opzione di eliminazione temporanea consente a un account di archiviazione di ripristinare i contenitori e i BLOB eliminati. L'opzione di controllo delle versioni tiene automaticamente traccia delle modifiche apportate ai BLOB. Questa opzione consente di ripristinare uno stato precedente di un BLOB. L'opzione di ripristino temporizzato protegge dall'eliminazione accidentale o dal danneggiamento dei BLOB e consente di ripristinare i dati blob in blocchi a uno stato precedente. Per altre informazioni, vedere Panoramica della protezione dati. |
Sicurezza
Lo scopo del pilastro Sicurezza è fornire garanzie di riservatezza, integrità e disponibilità al carico di lavoro.
I principi di progettazione della sicurezza forniscono una strategia di progettazione di alto livello per raggiungere questi obiettivi applicando approcci alla progettazione tecnica del BLOB Archiviazione configurazione.
Elenco di controllo della progettazione
Avviare la strategia di progettazione in base all'elenco di controllo per la revisione della progettazione per la sicurezza. Identificare vulnerabilità e controlli per migliorare il comportamento di sicurezza. Estendere la strategia per includere altri approcci in base alle esigenze.
Esaminare la baseline di sicurezza per Archiviazione di Azure: per iniziare, esaminare prima di tutto la baseline di sicurezza per Archiviazione.
Usare i controlli di rete per limitare il traffico in ingresso e in uscita: disabilitare tutto il traffico pubblico per l'account di archiviazione. Usare i controlli di rete dell'account per concedere il livello minimo di accesso richiesto da utenti e applicazioni. Per altre informazioni, vedere Come affrontare la sicurezza di rete per l'account di archiviazione.
Ridurre la superficie di attacco: impedire l'accesso anonimo, l'accesso alla chiave dell'account o l'accesso tramite connessioni HTTP non sicure può ridurre la superficie di attacco. Richiedere ai client di inviare e ricevere dati usando la versione più recente del protocollo TLS (Transport Layer Security).
Autorizzare l'accesso senza usare password o chiavi: Microsoft Entra ID offre maggiore sicurezza e facilità d'uso rispetto alle chiavi condivise e alle firme di accesso condiviso. Concedere alle entità di sicurezza solo le autorizzazioni necessarie per eseguire le attività.
Proteggere le informazioni riservate: proteggere informazioni riservate, ad esempio chiavi dell'account e token di firma di accesso condiviso. Anche se queste forme di autorizzazione in genere non sono consigliate, è consigliabile assicurarsi di ruotare, scadere e archiviarle in modo sicuro.
Abilitare l'opzione trasferimento sicuro obbligatorio: l'abilitazione di questa impostazione per tutti gli account di archiviazione garantisce che tutte le richieste effettuate sull'account di archiviazione debbano essere eseguite tramite connessioni sicure. Tutte le richieste effettuate su HTTP hanno esito negativo.
Proteggere gli oggetti critici: applicare criteri di immutabilità per proteggere gli oggetti critici. I criteri proteggono i BLOB archiviati per scopi legali, di conformità o di altro tipo da modificare o eliminare. Configurare i blocchi per i periodi di tempo impostati o fino a quando le restrizioni non vengono revocate da un amministratore.
Rilevare le minacce: abilitare Microsoft Defender per Archiviazione per rilevare le minacce. Gli avvisi di sicurezza vengono attivati quando si verifica un'anomalia nell'attività. Gli avvisi notificano agli amministratori delle sottoscrizioni tramite posta elettronica i dettagli delle attività sospette e le raccomandazioni su come analizzare e correggere le minacce.
Consigli
Elemento consigliato | Vantaggio |
---|---|
Disabilitare l'accesso in lettura anonimo a contenitori e BLOB. | Quando l'accesso anonimo è consentito per un account di archiviazione, un utente con le autorizzazioni appropriate può modificare l'impostazione di accesso anonimo di un contenitore per consentire l'accesso anonimo ai dati in tale contenitore. |
Applicare un blocco di Azure Resource Manager all'account di archiviazione. | Il blocco di un account impedisce l'eliminazione e la perdita di dati. |
Disabilitare il traffico verso gli endpoint pubblici dell'account di archiviazione. Creare endpoint privati per i client eseguiti in Azure. Abilitare l'endpoint pubblico solo se i client e i servizi esterni ad Azure richiedono l'accesso diretto all'account di archiviazione. Abilitare le regole del firewall che limitano l'accesso a reti virtuali specifiche. | Iniziare con zero accesso e quindi autorizzare in modo incrementale i livelli di accesso più bassi necessari per i client e i servizi per ridurre al minimo il rischio di creare aperture non necessarie per gli utenti malintenzionati. |
Autorizzare l'accesso usando il controllo degli accessi in base al ruolo di Azure. | Con il controllo degli accessi in base al ruolo non sono presenti password o chiavi che possono essere compromesse. L'entità di sicurezza (utente, gruppo, identità gestita o entità servizio) viene autenticata da Microsoft Entra ID per restituire un token OAuth 2.0. Il token viene usato per autorizzare una richiesta al servizio Blob Archiviazione. |
Non consentire l'autorizzazione della chiave condivisa. Ciò disabilita non solo l'accesso alla chiave dell'account, ma anche i token di firma di accesso condiviso dell'account e del servizio perché sono basati sulle chiavi dell'account. | Sono consentite solo le richieste protette autorizzate con l'ID Microsoft Entra. |
È consigliabile non usare una chiave dell'account. Se è necessario usare le chiavi dell'account, archiviarle in Key Vault e assicurarsi di rigenerarle periodicamente. | Key Vault consente di recuperare le chiavi in fase di esecuzione, anziché salvarle usando l'applicazione. Key Vault semplifica anche la rotazione delle chiavi senza interruzioni nelle applicazioni. La rotazione periodica delle chiavi dell'account riduce il rischio di esporre i dati ad attacchi dannosi. |
È consigliabile non usare token di firma di accesso condiviso. Valutare se sono necessari token di firma di accesso condiviso per proteggere l'accesso alle risorse blob Archiviazione. Se è necessario crearne uno, esaminare questo elenco di procedure consigliate per la firma di accesso condiviso prima di crearlo e distribuirlo. | Le procedure consigliate consentono di impedire la perdita di un token di firma di accesso condiviso e di ripristinare rapidamente se si verifica una perdita. |
Configurare l'account di archiviazione in modo che i client possano inviare e ricevere dati usando la versione minima di TLS 1.2. | TLS 1.2 è più sicuro e più veloce di TLS 1.0 e 1.1, che non supporta algoritmi di crittografia moderni e suite di crittografia. |
Prendere in considerazione l'uso della propria chiave di crittografia per proteggere i dati nell'account di archiviazione. Per altre informazioni, vedere Chiavi gestite dal cliente per la crittografia di archiviazione di Azure. | Le chiavi gestite dal cliente offrono maggiore flessibilità e controllo. Ad esempio, è possibile archiviare le chiavi di crittografia in Key Vault e ruotarle automaticamente. |
Ottimizzazione dei costi
L'ottimizzazione dei costi è incentrata sul rilevamento dei modelli di spesa, sulla definizione delle priorità degli investimenti in aree critiche e sull'ottimizzazione in altri casi per soddisfare i requisiti aziendali e del budget dell'organizzazione.
I principi di progettazione di Ottimizzazione costi forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi e fare compromessi in base alle esigenze nella progettazione tecnica relativa all'Archiviazione BLOB e al relativo ambiente.
Elenco di controllo della progettazione
Avviare la strategia di progettazione in base all'elenco di controllo della revisione della progettazione per l'ottimizzazione dei costi per gli investimenti. Ottimizzare la progettazione in modo che il carico di lavoro sia allineato al budget allocato per il carico di lavoro. La progettazione deve usare le funzionalità di Azure appropriate, monitorare gli investimenti e trovare opportunità per ottimizzare nel tempo.
Identificare i contatori usati per calcolare la fattura: i contatori vengono usati per tenere traccia della quantità di dati archiviati nell'account (capacità dati) e il numero e il tipo di operazioni eseguite per scrivere e leggere i dati. Esistono anche contatori associati all'uso di funzionalità facoltative, ad esempio tag di indice BLOB, inventario BLOB, supporto feed di modifiche, ambiti di crittografia e supporto SFTP (SSH File Transfer Protocol). Per altre informazioni, vedere Come vengono addebitati i costi per Archiviazione BLOB.
Informazioni sul prezzo di ogni contatore: assicurarsi di usare la pagina dei prezzi appropriata e di applicare le impostazioni appropriate in tale pagina. Per altre informazioni, vedere Ricerca del prezzo unitario per ogni contatore. Prendere in considerazione il numero di operazioni associate a ogni prezzo. Ad esempio, il prezzo associato alle operazioni di scrittura e lettura si applica a 10.000 operazioni. Per determinare il prezzo di una singola operazione, dividere il prezzo elencato per 10.000.
Stimare il costo della capacità e delle operazioni: è possibile modellare i costi associati all'archiviazione dei dati, all'ingresso e all'uscita usando il calcolatore prezzi di Azure. Usare i campi per confrontare il costo associato a varie aree, tipi di account, tipi di spazio dei nomi e configurazioni di ridondanza. Per determinati scenari, è possibile usare calcoli di esempio e fogli di lavoro disponibili nella documentazione Microsoft. Ad esempio, è possibile stimare il costo dell'archiviazione dei dati o stimare il costo dell'uso del comando AzCopy per trasferire i BLOB.
Scegliere un modello di fatturazione per la capacità: valutare se l'uso di un modello basato sull'impegno è più conveniente rispetto all'uso di un modello basato sul consumo. Se non si è certi della capacità necessaria, è possibile iniziare con un modello basato sul consumo, monitorare le metriche della capacità e quindi valutare in un secondo momento.
Scegliere un tipo di account, un livello di ridondanza e un livello di accesso predefinito: è necessario selezionare un valore per ognuna di queste impostazioni quando si crea un account di archiviazione. Tutti i valori influiscono sugli addebiti delle transazioni e sulla capacità. Tutte queste impostazioni, ad eccezione del tipo di account, possono essere modificate dopo la creazione dell'account.
Scegliere il livello di accesso predefinito più conveniente: a meno che non venga specificato un livello con ogni caricamento BLOB, i BLOB deducono il livello di accesso dall'impostazione predefinita del livello di accesso. Una modifica dell'impostazione predefinita del livello di accesso per un account di archiviazione si applica a tutti i BLOB nell'account per cui non è stato impostato in modo esplicito un livello di accesso. Questo costo può essere significativo se è stato raccolto un numero elevato di BLOB. Per altre informazioni su come una modifica del livello influisce su ogni BLOB esistente, vedere Modifica del livello di accesso di un BLOB.
Caricare i dati direttamente nel livello di accesso più conveniente: ad esempio, se l'impostazione predefinita del livello di accesso dell'account è attiva, ma si caricano file a scopo di archiviazione, specificare un livello più sporadico come archivio o un livello ad accesso sporadico come parte dell'operazione di caricamento. Dopo il caricamento dei BLOB, usare i criteri di gestione del ciclo di vita per spostare i BLOB nei livelli più convenienti in base alle metriche di utilizzo, ad esempio l'ultimo tempo di accesso. La scelta del livello più ottimale in primo piano può ridurre i costi. Se si modifica il livello di un BLOB in blocchi già caricato, si paga il costo di scrittura nel livello iniziale quando si carica prima il BLOB e quindi si paga il costo di scrittura nel livello desiderato.
Pianificare la gestione del ciclo di vita dei dati: ottimizzare i costi delle transazioni e della capacità sfruttando i livelli di accesso e la gestione del ciclo di vita. I dati usati meno spesso devono essere posizionati nei livelli di accesso più sporadico, mentre i dati a cui si accede spesso devono essere posizionati nei livelli di accesso più caldi.
Decidere quali funzionalità sono necessarie: alcune funzionalità, ad esempio il controllo delle versioni e l'eliminazione temporanea del BLOB, comportano costi aggiuntivi di transazione e capacità, nonché altri addebiti. Assicurarsi di esaminare le sezioni relative ai prezzi e alla fatturazione negli articoli che descrivono tali funzionalità quando si scelgono le funzionalità da aggiungere all'account.
Ad esempio, se si abilita la funzionalità di inventario BLOB, viene addebitato il numero di oggetti analizzati. Se si usano tag di indice BLOB, viene addebitato il numero di tag di indice. Se si abilita il supporto SFTP, viene addebitato un addebito orario, anche se non sono presenti trasferimenti SFTP. Se si decide di usare una funzionalità, verificare che la funzionalità sia disabilitata perché alcune funzionalità vengono abilitate automaticamente quando si crea l'account.
Creare protezioni: creare budget basati su sottoscrizioni e gruppi di risorse. Usare i criteri di governance per limitare tipi di risorse, configurazioni e posizioni. Inoltre, usare il controllo degli accessi in base al ruolo per bloccare le azioni che possono causare sovraccariche.
Monitorare i costi: assicurarsi che i costi rimangano all'interno dei budget, confrontare i costi rispetto alle previsioni e verificare dove si verificano eccedenze. È possibile usare il riquadro analisi dei costi nel portale di Azure per monitorare i costi. È anche possibile esportare i dati dei costi in un account di archiviazione e analizzare tali dati usando Excel o Power BI.
Monitorare l'utilizzo: monitorare continuamente i modelli di utilizzo e rilevare gli account e i contenitori inutilizzati o sottoutilizzati. Usare Archiviazione informazioni dettagliate per identificare gli account senza uso o senza uso ridotto. Abilitare i report di inventario BLOB e usare strumenti come Azure Databricks o Azure Synapse Analytics e Power BI per analizzare i dati sui costi. Prestare attenzione a un aumento imprevisto della capacità, che potrebbe indicare che si raccolgono numerosi file di log, versioni blob o BLOB eliminati soft. Sviluppare una strategia per la scadenza o la transizione di oggetti a livelli di accesso più convenienti. Disporre di un piano per gli oggetti in scadenza o lo spostamento di oggetti in livelli di accesso più convenienti.
Consigli
Elemento consigliato | Vantaggio |
---|---|
Comprimere file di piccole dimensioni in file di dimensioni maggiori prima di spostarli in livelli più sporadici. È possibile usare formati di file come TAR o ZIP. | I livelli di raffreddamento hanno costi di trasferimento dei dati più elevati. Con un minor numero di file di grandi dimensioni, è possibile ridurre il numero di operazioni necessarie per trasferire i dati. |
Usare la riattivazione con priorità standard per riattivare i BLOB dall'archiviazione di archiviazione. Usare la riattivazione ad alta priorità solo per situazioni di ripristino dei dati di emergenza. Per altre informazioni, vedere Riattivare un BLOB archiviato in un livello online | La riattivazione ad alta priorità dal livello archivio può comportare fatture più elevate rispetto alle normali. |
Ridurre il costo dell'uso dei log delle risorse scegliendo il percorso di archiviazione dei log appropriato e gestendo i periodi di conservazione dei log. Se si prevede di eseguire query sui log solo occasionalmente, ad esempio per eseguire query sui log per il controllo della conformità, è consigliabile inviare i log delle risorse a un account di archiviazione anziché inviarli a un'area di lavoro Log di Monitoraggio di Azure. È possibile usare una soluzione di query serverless, ad esempio Azure Synapse Analytics, per analizzare i log. Per altre informazioni, vedere Ottimizzare i costi per le query poco frequenti. Usare i criteri di gestione del ciclo di vita per eliminare o archiviare i log. | L'archiviazione dei log delle risorse in un account di archiviazione per un'analisi successiva può essere un'opzione più economica. L'uso dei criteri di gestione del ciclo di vita per gestire la conservazione dei log in un account di archiviazione impedisce la creazione di un numero elevato di file di log nel tempo, che può comportare addebiti per la capacità non necessari. |
Se si abilita il controllo delle versioni, usare un criterio di gestione del ciclo di vita per eliminare automaticamente le versioni precedenti del BLOB. | Ogni operazione di scrittura in un BLOB crea una nuova versione. In questo modo si aumentano i costi di capacità. È possibile mantenere i costi sotto controllo rimuovendo le versioni non più necessarie. |
Se si abilita il controllo delle versioni, posizionare i BLOB che vengono spesso sovrascritti in un account in cui il controllo delle versioni non è abilitato. | Ogni volta che un BLOB viene sovrascritto, viene aggiunta una nuova versione che comporta un aumento dei costi di capacità di archiviazione. Per ridurre i costi di capacità, archiviare i dati sovrascritti di frequente in un account di archiviazione separato con il controllo delle versioni disabilitato. |
Se si abilita l'eliminazione temporanea, posizionare i BLOB che vengono spesso sovrascritti in un account in cui non è abilitata l'eliminazione temporanea. Impostare i periodi di conservazione. Prendere in considerazione l'avvio con un breve periodo di conservazione per comprendere meglio il modo in cui la funzionalità influisce sulla fattura. Il periodo di conservazione minimo consigliato è di sette giorni. | Ogni volta che un BLOB viene sovrascritto, viene creato un nuovo snapshot. La causa di un aumento dei costi di capacità potrebbe essere difficile da accedere perché la creazione di questi snapshot non viene visualizzata nei log. Per ridurre i costi di capacità, archiviare i dati sovrascritti di frequente in un account di archiviazione separato con eliminazione temporanea disabilitata. Un periodo di conservazione mantiene i BLOB eliminati continuamente dall'accumulo e dall'aggiunta al costo della capacità. |
Abilitare il supporto SFTP solo quando viene usato per trasferire i dati. | L'abilitazione dell'endpoint SFTP comporta un costo orario. Disabilitando in modo ponderato il supporto SFTP e abilitandolo in base alle esigenze, è possibile evitare addebiti passivi da accumulare nell'account. |
Disabilitare gli ambiti di crittografia non necessari per evitare addebiti non necessari. | Gli ambiti di crittografia comportano un addebito mensile. |
Eccellenza operativa
L'eccellenza operativa si concentra principalmente sulle procedure per le procedure di sviluppo, l'osservabilità e la gestione del rilascio.
I principi di progettazione dell'eccellenza operativa forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi per i requisiti operativi del carico di lavoro.
Elenco di controllo della progettazione
Avviare la strategia di progettazione in base all'elenco di controllo della revisione della progettazione per l'eccellenza operativa per definire i processi per l'osservabilità, i test e la distribuzione correlati alla configurazione del BLOB Archiviazione.
Creare piani di manutenzione e ripristino di emergenza: prendere in considerazione le funzionalità di protezione dei dati, le operazioni di backup e ripristino e le procedure di failover. Prepararsi per potenziali perdite di dati e incoerenze dei dati e il tempo e il costo del failover.
Monitorare l'integrità dell'account di archiviazione: creare dashboard Archiviazione insights per monitorare le metriche di disponibilità, prestazioni e resilienza. Configurare gli avvisi per identificare e risolvere i problemi nel sistema prima che i clienti li notino. Usare le impostazioni di diagnostica per instradare i log delle risorse a un'area di lavoro Log di Monitoraggio di Azure. È quindi possibile eseguire query sui log per analizzare gli avvisi in modo più approfondito.
Abilitare i report di inventario BLOB: abilitare i report di inventario BLOB per esaminare la conservazione, il blocco legale o lo stato di crittografia del contenuto dell'account di archiviazione. È anche possibile usare i report di inventario BLOB per comprendere le dimensioni totali dei dati, l'età, la distribuzione a livelli o altri attributi dei dati. Usare strumenti come Azure Databricks o Azure Synapse Analytics e Power BI per visualizzare meglio i dati di inventario e creare report per gli stakeholder.
Configurare criteri che eliminano i BLOB o li spostano in livelli di accesso convenienti: creare criteri di gestione del ciclo di vita con un set iniziale di condizioni. I criteri vengono eseguiti automaticamente per eliminare o impostare il livello di accesso dei BLOB in base alle condizioni definite. Analizzare periodicamente l'uso del contenitore usando Monitorare le metriche e i report di inventario BLOB in modo da ottimizzare le condizioni per ottimizzare l'efficienza dei costi.
Consigli
Elemento consigliato | Vantaggio |
---|---|
Usare l'infrastruttura come codice (IaC) per definire i dettagli degli account di archiviazione nei modelli di Azure Resource Manager (modelli arm), Bicep o Terraform. | È possibile usare i processi DevOps esistenti per distribuire nuovi account di archiviazione e usare Criteri di Azure per applicare la configurazione. |
Usare Archiviazione informazioni dettagliate per tenere traccia dell'integrità e delle prestazioni degli account di archiviazione. Archiviazione informazioni dettagliate offre una visualizzazione unificata degli errori, delle prestazioni, della disponibilità e della capacità per tutti gli account di archiviazione. | È possibile tenere traccia dell'integrità e del funzionamento di ogni account. Creare facilmente dashboard e report che gli stakeholder possono usare per tenere traccia dell'integrità degli account di archiviazione. |
Efficienza delle prestazioni
L'efficienza delle prestazioni riguarda la gestione dell'esperienza utente anche quando si verifica un aumento del carico gestendo la capacità. La strategia include il ridimensionamento delle risorse, l'identificazione e l'ottimizzazione dei potenziali colli di bottiglia e l'ottimizzazione delle prestazioni massime.
I principi di progettazione dell'efficienza delle prestazioni forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi di capacità rispetto all'utilizzo previsto.
Elenco di controllo della progettazione
Avviare la strategia di progettazione in base all'elenco di controllo di revisione della progettazione per l'efficienza delle prestazioni. Definire una linea di base basata su indicatori di prestazioni chiave per la configurazione del BLOB Archiviazione.
Pianificare la scalabilità: comprendere le destinazioni di scalabilità per gli account di archiviazione.
Scegliere il tipo di account di archiviazione ottimale: se il carico di lavoro richiede frequenze di transazioni elevate, oggetti più piccoli e una latenza delle transazioni costantemente bassa, è consigliabile usare account di archiviazione BLOB in blocchi Premium. Un account standard per utilizzo generico v2 è più appropriato nella maggior parte dei casi.
Ridurre la distanza di viaggio tra il client e il server: posizionare i dati nelle aree più vicine ai client di connessione (idealmente nella stessa area). Ottimizzare i client in aree lontane usando la replica di oggetti o una rete per la distribuzione di contenuti. Le configurazioni di rete predefinite offrono prestazioni ottimali. Modificare le impostazioni di rete solo per migliorare la sicurezza. In generale, le impostazioni di rete non riducono la distanza di viaggio e non migliorano le prestazioni.
Scegliere uno schema di denominazione efficiente: ridurre la latenza delle operazioni di elenco, elenco, query e lettura usando i prefissi di tag hash più vicino all'inizio della chiave di partizione BLOB (account, contenitore, directory virtuale o nome BLOB). Questo schema trae vantaggio principalmente da account con uno spazio dei nomi flat.
Ottimizzare le prestazioni dei client di dati: scegliere uno strumento di trasferimento dati più appropriato per le dimensioni dei dati, la frequenza di trasferimento e la larghezza di banda dei carichi di lavoro. Alcuni strumenti, ad esempio AzCopy , sono ottimizzati per le prestazioni e richiedono un intervento minimo. Prendere in considerazione i fattori che influenzano la latenza e ottimizzare le prestazioni esaminando le linee guida per l'ottimizzazione delle prestazioni pubblicate con ogni strumento.
Ottimizzare le prestazioni del codice personalizzato: è consigliabile usare Archiviazione SDK anziché creare wrapper personalizzati per le operazioni REST BLOB. Gli SDK di Azure sono ottimizzati per le prestazioni e forniscono meccanismi per ottimizzare le prestazioni. Prima di creare un'applicazione, esaminare l'elenco di controllo delle prestazioni e della scalabilità per l'Archiviazione BLOB. Prendere in considerazione l'uso dell'accelerazione delle query per filtrare i dati indesiderati durante la richiesta di archiviazione e impedire ai client di trasferire i dati in rete inutilmente.
Raccogliere dati sulle prestazioni: monitorare l'account di archiviazione per identificare i colli di bottiglia delle prestazioni che si verificano dalla limitazione. Per altre informazioni, vedere Monitoraggio del servizio di archiviazione con Monitoraggio Archiviazione informazioni dettagliate. Usare sia le metriche che i log. Le metriche forniscono numeri, ad esempio errori di limitazione. I log descrivono l'attività. Se vengono visualizzate le metriche di limitazione, è possibile usare i log per identificare i client che ricevono errori di limitazione. Per altre informazioni, vedere Controllo delle operazioni del piano dati.
Consigli
Elemento consigliato | Vantaggio |
---|---|
Effettuare il provisioning degli account di archiviazione nella stessa area in cui vengono inserite le risorse dipendenti. Per le applicazioni non ospitate in Azure, ad esempio app per dispositivi mobili o servizi aziendali locali, individuare l'account di archiviazione in un'area più vicina a tali client. Per altre informazioni, vedere Aree geografiche di Azure. Se i client di un'area diversa non richiedono gli stessi dati, creare un account separato in ogni area. Se i client di un'area diversa richiedono solo alcuni dati, prendere in considerazione l'uso di criteri di replica di oggetti per copiare in modo asincrono gli oggetti pertinenti in un account di archiviazione nell'altra area. |
La riduzione della distanza fisica tra l'account di archiviazione e le macchine virtuali, i servizi e i client locali può migliorare le prestazioni e ridurre la latenza di rete. La riduzione della distanza fisica riduce anche i costi per le applicazioni ospitate in Azure perché l'utilizzo della larghezza di banda all'interno di una singola area è gratuito. |
Per un utilizzo ampio da parte dei client Web (streaming di contenuti video, audio o statici di siti Web), è consigliabile usare una rete per la distribuzione di contenuti tramite Frontdoor di Azure. | Il contenuto viene distribuito ai client più velocemente perché usa la rete perimetrale globale Microsoft con centinaia di punti di presenza globali e locali in tutto il mondo. |
Aggiungere una sequenza di caratteri hash (ad esempio tre cifre) il prima possibile nella chiave di partizione di un BLOB. La chiave di partizione è il nome dell'account, il nome del contenitore, il nome della directory virtuale e il nome del BLOB. Se si prevede di usare i timestamp nei nomi, è consigliabile aggiungere un valore di secondi all'inizio di tale timbro. Per altre informazioni, vedere Partizionamento. | L'uso di un codice hash o di un valore di secondi più vicino all'inizio di una chiave di partizione riduce il tempo necessario per elencare le query e leggere i BLOB. |
Quando si caricano BLOB o blocchi, usare un BLOB o una dimensione di blocco maggiore di 256 KiB. | Le dimensioni dei BLOB o dei blocchi superiori a 256 KiB sfruttano i miglioramenti delle prestazioni nella piattaforma realizzati specificamente per BLOB e dimensioni dei blocchi di dimensioni maggiori. |
Criteri di Azure
Azure offre un set completo di criteri predefiniti correlati alle Archiviazione BLOB e alle relative dipendenze. È possibile controllare alcune delle raccomandazioni precedenti tramite i criteri di Azure. Ad esempio, è possibile verificare se:
- L'accesso in lettura pubblico anonimo ai contenitori e ai BLOB non è abilitato.
- Le impostazioni di diagnostica per i Archiviazione BLOB sono impostate per trasmettere i log delle risorse a un'area di lavoro Log di Monitoraggio di Azure.
- Vengono accettate solo le richieste provenienti da connessioni sicure (HTTPS).
- È abilitato un criterio di scadenza della firma di accesso condiviso.
- La replica di oggetti tra tenant è disabilitata.
- L'autorizzazione con chiave condivisa è disabilitata.
- Le regole del firewall di rete vengono applicate all'account.
Per una governance completa, esaminare le definizioni predefinite Criteri di Azure per Archiviazione e altri criteri che potrebbero influire sulla sicurezza del livello di calcolo.
Consigli di Azure Advisor
Azure Advisor è un consulente cloud personalizzato che facilita l'applicazione delle procedure consigliate per ottimizzare le distribuzioni di Azure. Ecco alcune raccomandazioni che consentono di migliorare l'affidabilità, la sicurezza, l'efficacia dei costi, le prestazioni e l'eccellenza operativa dei Archiviazione BLOB.
Passaggio successivo
Per altre informazioni sui Archiviazione BLOB, vedere la documentazione relativa alle Archiviazione BLOB.