Azure 架構完善的架構檢視 Azure 檔案儲存體
Azure 檔案儲存體 是雲端Microsoft檔案記憶體解決方案。 Azure 檔案儲存體 提供伺服器訊息塊 (SMB) 和網路檔案系統 (NFS) 檔案共用,您可以掛接至雲端、內部部署或兩者中的用戶端。 您也可以使用 Azure 檔案同步,在本機 Windows 伺服器上快取 SMB 檔案共用,並將不常使用的檔案層快取至雲端。
本文假設身為架構設計人員,您已檢閱記憶體選項,並選擇 Azure 檔案儲存體 作為執行工作負載的記憶體服務。 本文中的指引提供架構建議,這些建議會對應至 Azure 妥善架構架構要素的原則。
重要
如何使用本指南
每個區段都有一個 設計檢查清單 ,可呈現關注的架構區域,以及當地語系化至技術範圍的設計策略。
此外, 也包含可協助實作這些策略的技術功能建議 。 建議並不代表可供 Azure 檔案儲存體 及其相依性使用的所有設定完整清單。 相反地,他們會列出對應至設計檢視方塊的主要建議。 使用建議來建置概念證明或優化現有的環境。
可靠性
可靠性支柱的目的是要藉由 建立足夠的復原能力和從失敗中快速復原的能力,來提供持續的功能。
可靠性設計原則提供適用於個別元件、工作負載、系統流程和整個系統的高階設計策略。
設計檢查清單
根據 可靠性的設計檢閱檢查清單,啟動您的設計策略。
使用失敗模式分析:考慮內部相依性,例如虛擬網路、Azure 金鑰保存庫 或 Azure 內容傳遞網路 或 Azure Front Door 端點等內部相依性,將失敗點降至最低。 如果您需要認證來存取 Azure 檔案儲存體,而且認證從 金鑰保存庫 遺失,就會發生失敗。 或者,如果您的工作負載使用以遺漏的內容傳遞網路為基礎的端點,可能會發生失敗。 在這些情況下,您可能需要設定工作負載以連線到替代端點。 如需失敗模式分析的一般資訊,請參閱 執行失敗模式分析的建議。
定義可靠性和復原目標:檢閱 Azure 服務等級協定 (SLA) 。 衍生記憶體帳戶的服務等級目標 (SLO)。 例如,您選擇的備援設定可能會影響 SLO。 請考慮區域性中斷、數據遺失的可能性,以及中斷后還原存取所需的時間。 也請考慮您識別為失敗模式分析一部分的內部相依性可用性。
設定資料備援:若要達到最大持久性,請選擇跨可用性區域或全域區域複製數據的設定。 如需最大可用性,請選擇可讓用戶端在主要區域中斷期間從次要區域讀取數據的組態。
設計應用程式:設計您的應用程式以順暢地轉移,以便在主要區域無法使用時,從次要區域讀取數據。 此設計考慮僅適用於異地備援記憶體 (GRS) 和異地區域備援記憶體 (GZRS) 組態。 設計應用程式以正確處理中斷,進而減少客戶的停機時間。
探索可協助您符合復原目標的功能:讓檔案可還原,以便復原損毀、編輯或刪除的檔案。
建立復原方案:考慮數據保護功能、備份和還原作業或故障轉移程式。 準備潛在的 數據遺失和數據不一致 ,以及 故障轉移的時間和成本。 如需詳細資訊,請參閱 設計災害復原策略的建議。
監視潛在的可用性問題:訂閱 Azure 服務健康狀態儀錶板 ,以監視潛在的可用性問題。 使用 Azure 監視器中的記憶體計量和診斷記錄來調查警示。
建議
| 建議 | 優點 |
|---|---|
| 設定記憶體帳戶以進行備援。 如需最大可用性和持久性,請使用區域備援記憶體 (ZRS)、GRS 或 GZRS 來設定您的帳戶。 有限的 Azure 區域支援標準和進階檔案共用的 ZRS。 只有標準 SMB 帳戶支援 GRS 和 GZRS。 進階 SMB 共用和 NFS 共用不支援 GRS 和 GZRS。 Azure 檔案儲存體不支援讀取權限異地備援儲存體 (RA-GRS) 或讀取權限異地區域備援儲存體 (RA-GZRS)。 如果您將記憶體帳戶設定為使用RA-GRS或RA-GZRS,則檔案共用會設定並計費為 GRS 或 GZRS。 |
備援可保護您的數據免於發生非預期的失敗。 ZRS 和 GZRS 設定選項會跨各種可用性區域複寫,並讓應用程式在中斷期間繼續讀取數據。 如需詳細資訊,請參閱 中斷案例 的持久性和可用性,以及 持久性和可用性參數。 |
| 在起始故障轉移或容錯回復之前,請檢查上次同步處理時間屬性的值,以評估數據遺失的可能性。 此建議僅適用於 GRS 和 GZRS 設定。 | 此屬性可協助您預估起始帳戶故障轉移時可能會遺失的數據量。 在上次同步處理時間之前寫入的所有數據和元數據都可在次要區域上使用,但您可能會遺失上次同步處理時間之後寫入的數據和元數據,因為它不會寫入次要區域。 |
| 作為備份和復原策略的一部分, 請啟用虛刪除 ,並使用 快照 集進行時間點還原。 您可以使用 Azure 備份 來備份 SMB 檔案共用。 您也可以使用 Azure 檔案同步 將內部部署 SMB 檔案共享備份至 Azure 檔案共用。 Azure 備份 也可讓您執行保存庫備份(預覽)Azure 檔案儲存體,以保護您的數據免於勒索軟體攻擊或源數據遺失,因為惡意執行者或流氓系統管理員。藉由使用保存庫備份,Azure 備份 複製數據並將其儲存在復原服務保存庫中。 這會建立最多 99 年的數據異地複本。 Azure 備份 根據備份原則中定義的排程和保留,建立和管理恢復點。 深入了解。 |
虛刪除在檔案共用層級上運作,保護 Azure 檔案共用免遭意外刪除。 時間點還原可防止意外刪除或損毀,因為您可以將檔案共用還原到先前的狀態。 如需詳細資訊,請參閱資料保護概觀。 |
安全性
安全性支柱的目的是為工作負載提供機密性、完整性和可用性保證。
安全性 設計原則 提供高階設計策略,可藉由將方法套用至檔案記憶體組態的技術設計,以達成這些目標。
安全性需求和建議會因工作負載使用SMB或NFS通訊協定來存取檔案共用而有所不同。 因此,下列各節針對SMB和NFS檔案共用有不同的設計檢查清單和建議。
最佳做法是,您應該將SMB和NFS檔案共用保留在不同的記憶體帳戶中,因為它們有不同的安全性需求。 使用此方法為您的工作負載提供強大的安全性和高彈性。
SMB 檔案共享的設計檢查清單
根據 安全性的設計檢閱檢查清單,開始您的設計策略。 識別弱點和控件,以改善安全性狀態。 擴充策略,以視需要包含更多方法。
檢閱 Azure 儲存體 的安全性基準:若要開始使用,請檢閱記憶體的安全性基準。
請考慮使用網路控制來限制輸入和輸出流量:在某些情況下,您可能願意將記憶體帳戶公開至公用因特網,例如,如果您使用身分識別型驗證來授與檔案共用的存取權。 但我們建議您使用網路控制來授與用戶和應用程式的最低必要存取層級。 如需詳細資訊,請參閱 如何處理記憶體帳戶的網路安全性。
減少受攻擊面:在傳輸中使用加密,並防止透過不安全的 (HTTP) 連線進行存取,以減少受攻擊面。 要求用戶端使用最新版的傳輸層安全性 (TLS) 通訊協議來傳送和接收數據。
將記憶體帳戶金鑰的使用降到最低: 身分識別型驗證 相較於使用記憶體帳戶密鑰,可提供更高的安全性。 但是您必須使用記憶體帳戶密鑰來取得檔案共用的完整系統管理控制權,包括取得檔案擁有權的能力。 只授與安全性主體執行其工作所需的必要許可權。
保護敏感性資訊:保護敏感性資訊,例如記憶體帳戶密鑰和密碼。 我們不建議您使用這些形式的授權,但如果您這麼做,請務必安全地輪替、過期及儲存它們。
偵測威脅:啟用 適用於記憶體 的Defender Microsoft,以偵測透過SMB或FileREST通訊協定存取或惡意探索 Azure 檔案共用的潛在有害嘗試。 訂用帳戶管理員會取得電子郵件警示,其中包含可疑活動的詳細數據,以及有關如何調查和補救威脅的建議。 適用於記憶體的 Defender 不支援 Azure 檔案共用的防病毒軟體功能。 如果您使用適用於記憶體的 Defender,大量交易的檔案共用會產生大量成本,因此請考慮退出宣告適用於記憶體的 Defender 以取得特定記憶體帳戶。
SMB 檔案共享的建議
| 建議 | 優點 |
|---|---|
| 在記憶體帳戶上套用 Azure Resource Manager 鎖定 。 | 鎖定帳戶以防止意外或惡意刪除記憶體帳戶,這可能會導致數據遺失。 |
| 開啟 TCP 連接埠 445 輸出或設定 VPN 閘道或 Azure ExpressRoute 連線,讓 Azure 外部的用戶端存取檔案共用。 | SMB 3.x 是因特網安全的通訊協定,但您可能無法變更組織或 ISP 原則。 您可以使用 VPN 閘道或 ExpressRoute 連線作為替代選項。 |
| 如果您開啟埠 445,請務必在 Windows 和 Linux 用戶端上停用 SMBv1。 Azure 檔案儲存體 不支援SMB 1,但您仍應在用戶端上停用它。 | SMB 1 已過時、沒有效率,而且是不安全的通訊協定。 在用戶端上將其停用,以改善您的安全性狀態。 |
| 請考慮停用記憶體帳戶的公用網路存取。 只有在 Azure 外部的 SMB 用戶端和服務需要存取記憶體帳戶時,才能啟用公用網路存取。 如果您停用公用網路存取,請為您的記憶體帳戶建立私人端點 。 套用適用於私人端點的標準資料處理速率。 私人端點不會封鎖公用端點的連線。 您仍應如先前所述停用公用網路存取。 如果您不需要檔案共享的靜態 IP 位址,而且想要避免私人端點的成本,您可以改為 限制對特定虛擬網路和 IP 位址的公用端點存取 。 |
網路流量會透過Microsoft骨幹網路傳輸,而不是公用因特網,從而消除來自公用因特網的風險暴露。 |
| 啟用防火牆規則,以限制對特定虛擬網路的存取。 從零存取開始,然後以有條不紊的方式和累加方式提供客戶端和服務所需的最少存取權。 | 將為攻擊者建立開放的風險降到最低。 |
| 可能的話,請使用 身分識別型驗證 搭配 AES-256 Kerberos 票證加密,以授權存取 SMB Azure 檔案共用。 | 使用身分識別型驗證來減少攻擊者使用記憶體帳戶密鑰存取檔案共用的可能性。 |
| 如果您使用記憶體帳戶金鑰,請將金鑰儲存在 金鑰保存庫 中,並確定定期重新產生它們。 您可以從共用的SMB安全性設定中移除NTLMv2,完全不允許記憶體帳戶金鑰存取檔案共用。 但您通常不應該從共用的SMB安全性設定中移除NTLMv2,因為系統管理員仍然需要使用帳戶密鑰來執行某些工作。 |
使用 金鑰保存庫 在運行時間擷取金鑰,而不用您的應用程式儲存密鑰。 金鑰保存庫 也可讓您輕鬆地輪替密鑰,而不會中斷應用程式。 定期輪替帳戶密鑰,以降低將數據公開至惡意攻擊的風險。 |
| 在大部分情況下,您應該在所有儲存體帳戶上啟用 [安全傳輸] 選項,以啟用SMB檔案共享傳輸中的加密。 如果您需要允許非常舊的用戶端存取共用,請勿啟用此選項。 如果您停用安全傳輸,請務必使用網路控制來限制流量。 |
此設定可確保針對記憶體帳戶提出的所有要求都會透過安全連線 (HTTPS) 進行。 透過 HTTP 提出的任何要求都會失敗。 |
| 設定記憶體帳戶 ,讓TLS 1.2是用戶端傳送和接收數據的最低版本。 | TLS 1.2 比不支援新式密碼編譯演算法和加密套件的 TLS 1.0 和 1.1 更安全且更快。 |
| 只使用最近支援的SMB通訊協定版本(目前為3.1.1.1.),並只使用AES-256-GCM進行SMB通道加密。 Azure 檔案儲存體 公開您可以用來切換SMB通訊協議的設定,並根據組織的需求,使其更相容或更安全。 根據預設,允許所有SMB版本。 不過,如果您啟用 [需要安全傳輸 ],則不允許SMB 2.1,因為SMB 2.1不支援傳輸中的數據加密。 如果您將這些設定限制為高階安全性,某些用戶端可能無法連線到檔案共用。 |
使用 Windows 10 發行的 SMB 3.1.1 包含重要的安全性和效能更新。 AES-256-GCM 提供更安全的通道加密。 |
NFS 檔案共用的設計檢查清單
NFS 檔案共享的建議
| 建議 | 優點 |
|---|---|
| 在記憶體帳戶上套用 Resource Manager 鎖定。 | 鎖定帳戶以防止意外或惡意刪除記憶體帳戶,這可能會導致數據遺失。 |
| 您必須在要掛接 NFS 共用的用戶端上開啟埠 2049。 | 開啟埠 2049,讓用戶端與 NFS Azure 檔案共享通訊。 |
| NFS Azure 檔案共用只能透過受限制的網路存取。 因此,您必須 為記憶體帳戶建立私人端點 ,或 限制對所選虛擬網路和IP位址的公用端點存取 。 建議您建立私人端點。 您必須設定 NFS 共用的網路層級安全性,因為 Azure 檔案儲存體 不支援使用 NFS 通訊協定進行傳輸中的加密。 您必須停用記憶體帳戶上的 [需要安全傳輸] 設定,才能使用 NFS Azure 檔案共用。 標準數據處理速率適用於私人端點。 如果您不需要檔案共享的靜態 IP 位址,而且想要避免私人端點的成本,您可以改為限制公用端點存取。 |
網路流量會透過Microsoft骨幹網路傳輸,而不是公用因特網,從而消除來自公用因特網的風險暴露。 |
| 請考慮在記憶體帳戶層級不允許記憶體帳戶金鑰存取。 您不需要此存取權即可掛接 NFS 檔案共用。 但請記住,檔案共用的完整系統管理控制權,包括取得檔案擁有權的能力,需要使用記憶體帳戶密鑰。 | 不允許使用記憶體帳戶密鑰,讓您的記憶體帳戶更安全。 |
成本最佳化
成本優化著重於 偵測支出模式、將投資放在重要領域,以及優化其他人 以符合組織預算,同時符合商務需求。
成本 優化設計原則 提供高階設計策略,以達成這些目標,並在與檔案儲存及其環境相關的技術設計中在必要時進行取捨。
設計檢查清單
根據 投資成本優化 的設計檢閱檢查清單,開始您的設計策略。 微調設計,讓工作負載符合為工作負載配置的預算。 您的設計應該使用正確的 Azure 功能、監視投資,以及尋找經過一段時間優化的機會。
決定您的工作負載是否需要進階檔案共用的效能(Azure 進階 SSD)或 Azure 標準 HDD 記憶體是否足夠:根據您需要的記憶體類型來判斷您的記憶體帳戶類型和計費模型。 如果您需要每秒大量的輸入/輸出作業(IOPS)、極快的數據傳送速率或非常低的延遲,則您應該選擇進階 Azure 檔案共用。 NFS Azure 檔案共用僅適用於進階層。 NFS 和 SMB 檔案共用在進階層上的價格相同。
為您的檔案共用建立記憶體帳戶,然後選擇備援層級:選擇標準 (GPv2) 或進階 (FileStorage) 帳戶。 您選擇的備援層級會影響成本。 備援越多,成本就越高。 本地備援記憶體 (LRS) 是最實惠的。 GRS 僅適用於標準 SMB 檔案共用。 標準檔案共用只會在記憶體帳戶層級顯示交易資訊,因此我們建議您在每個記憶體帳戶中只部署一個檔案共用,以確保完整的計費可見度。
了解帳單的計算方式:標準 Azure 檔案共用提供 隨用隨付模型。 進階共用會使用布 建的模型, 您可以在其中指定並支付一定數量的容量、IOPS 和輸送量。 在隨用隨付模型中,計量會追蹤儲存在帳戶或容量中的數據量,以及根據您使用該數據的使用量來追蹤交易的數目和類型。 隨用隨付模型可以符合成本效益,因為您只需支付所使用的費用。 使用隨用隨付模型,您不需要根據效能需求或需求波動過度布建或取消布建記憶體。
但您可能會發現很難在預算程式中規劃記憶體,因為使用者耗用量會驅動成本。 透過布建的模型,交易不會影響計費,因此成本很容易預測。 但無論您是否使用它,您都需支付布建的記憶體容量。 如需如何計算成本的詳細明細,請參閱瞭解 Azure 檔案儲存體 計費。
預估容量和作業成本:您可以使用 Azure 定價計算機 ,將與資料記憶體、輸入和輸出相關聯的成本模型化。 比較與各種區域、帳戶類型和備援設定相關聯的成本。 如需詳細資訊,請參閱 Azure 檔案儲存體 定價。
選擇最符合成本效益的存取層:標準 SMB Azure 檔案共用提供三個存取層: 交易優化、 經常性存取和 非經常性存取層。 這三個層都會儲存在相同的標準記憶體硬體上。 這三層的主要差異在於其待用記憶體價格的數據,在冷卻層中較低,而交易價格則較高。 如需詳細資訊,請參閱 標準層的差異。
決定您需要哪些增值服務:Azure 檔案儲存體 支援與備份、Azure 檔案同步 和適用於記憶體的Defender等增值服務整合。 這些解決方案有自己的授權和產品成本,但通常被視為檔案記憶體總擁有成本的一部分。 如果您使用 Azure 檔案同步,請考慮其他成本層面。
建立護欄:根據訂用帳戶和資源群組建立 預算 。 使用治理原則來限制資源類型、組態和位置。 此外,使用角色型訪問控制 (RBAC) 來封鎖可能導致超支的動作。
監視成本:確保成本保持在預算內、比較成本與預測,並查看發生超支的位置。 您可以使用 Azure 入口網站 中的成本分析窗格來監視成本。 您也可以將成本數據匯出至記憶體帳戶,並使用 Excel 或 Power BI 分析該數據。
監視使用量:持續監視使用模式,以偵測未使用或未使用的記憶體帳戶和檔案共用。 檢查是否有非預期的容量增加,這可能表示您正在收集許多記錄檔或虛刪除的檔案。 開發刪除檔案或將檔案移至更具成本效益存取層的策略。
建議
| 建議 | 優點 |
|---|---|
| 當您移轉至標準 Azure 檔案共享時,建議您在初始移轉期間於交易優化層中啟動。 移轉期間的交易使用量通常不表示一般交易使用量。 此考慮不適用於進階檔案共享,因為布建的計費模型不會收取交易費用。 | 移轉至 Azure 檔案儲存體 是暫時且大量交易的工作負載。 將高交易工作負載的價格優化,以協助降低移轉成本。 |
| 移轉工作負載之後,如果您使用標準檔案共用,請仔細為您的檔案共享選擇最符合成本效益的存取層:經常性存取、非經常性存取或交易優化。 使用一般使用量操作數天或數周之後,您可以在定價計算機中插入交易計數,以找出哪一層最符合您的工作負載。 大部分的客戶都應該選擇 非經常 性存取,即使他們主動使用共用也一樣。 但您應該檢查每個共用,並將記憶體容量的平衡與交易進行比較,以判斷您的階層。 如果交易成本占帳單的顯著百分比,使用 非 經常性存取層所節省的成本通常會抵消此成本,並將總整體成本降到最低。 建議您只在需要時,才能在存取層之間移動標準檔案共用,以針對工作負載模式中的變更進行優化。 每個移動都會產生交易。 如需詳細資訊,請參閱 在標準層之間切換。 |
為標準檔案共享選取適當的存取層,以大幅降低成本。 |
| 如果您使用進階共用,請確定您已為工作負載布建足夠的容量和效能,但不會產生不必要的成本。 我們建議過度布建兩到三次。 您可以根據記憶體和輸入/輸出 (IO) 效能特性,動態地相應增加或減少進階檔案共用。 | 透過合理的數量過度布建進階檔案共用,以協助維護效能,並考慮未來的成長和效能需求。 |
| 使用 Azure 檔案儲存體 保留,也稱為保留實例,預先認可記憶體使用量並取得折扣。 針對生產工作負載或具有一致使用量的開發/測試工作負載使用保留。 如需詳細資訊,請參閱 使用記憶體保留將成本優化。 保留不包含交易、頻寬、數據傳輸和元數據記憶體費用。 |
三年期保留可提供最多 36% 的檔案儲存總成本折扣。 保留不會影響效能。 |
| 監視快照集使用量。 快照集會產生費用,但會根據每個快照集的差異記憶體使用量來計費。 您只需支付每個快照集的差異。 如需詳細資訊,請參閱快照集。 Azure 檔案同步 採用共用層級和檔案層級快照集作為一般使用量的一部分,這會增加總 Azure 檔案儲存體 帳單。 |
差異快照集可確保您不會針對儲存相同數據多次計費。 不過,您仍應監視快照集使用量,以協助減少 Azure 檔案儲存體 帳單。 |
| 設定虛刪除功能的保留期間,特別是當您第一次開始使用此功能時。 請考慮從短期保留期間開始,以進一步瞭解此功能如何影響您的帳單。 建議的最小保留期限為七天。 當您虛刪除標準和進階檔案共享時,會以已使用容量而非布建的容量計費。 進階檔案共用會以快照集速率計費,同時處於虛刪除狀態。 標準檔案共用會以一般費率計費,同時處於虛刪除狀態。 |
設定保留期間,讓虛刪除的檔案不會堆積並增加容量成本。 在設定的保留期間之後,永久刪除的數據不會產生成本。 |
卓越營運
卓越營運主要著重於開發實務、可觀察性和發行管理的程式。
營運卓越設計原則提供高階設計策略,以達成工作負載作業需求的目標。
設計檢查清單
根據 Operational Excellence 的設計檢閱檢查清單,開始您的設計策略,以定義與檔案記憶體組態相關的可觀察性、測試和部署程式。
建立維護和緊急復原計劃:考慮數據保護功能、備份和還原作業,以及故障轉移程式。 準備潛在的 數據遺失和數據不一致 ,以及 故障轉移的時間和成本。
監視記憶體帳戶的健康情況:建立 記憶體深入解析 儀錶板來監視可用性、效能和復原計量。 設定警示,以在客戶注意到問題之前,先識別並解決系統中的問題。 使用診斷設定將資源記錄路由傳送至 Azure 監視器記錄工作區。 然後您可以查詢記錄,以更深入地調查警示。
定期檢閱檔案共享活動:共享活動可能會隨著時間而變更。 將標準檔案共用移至較冷的存取層,或者您可以布建或取消布建進階共用的容量。 當您將標準檔案共用移至不同的存取層時,會產生交易費用。 只有在需要減少每月帳單時,才移動標準檔案共用。
建議
| 建議 | 優點 |
|---|---|
| 使用基礎結構即程序代碼 (IaC) 在 Azure Resource Manager 範本 (ARM 範本)、Bicep 或 Terraform 中定義記憶體帳戶的詳細數據。 | 您可以使用現有的 DevOps 程式來部署新的記憶體帳戶,並使用 Azure 原則 來強制執行其設定。 |
| 使用記憶體深入解析來追蹤記憶體帳戶的健康情況和效能。 記憶體深入解析提供所有記憶體帳戶失敗、效能、可用性和容量的統一檢視。 | 您可以追蹤每個帳戶的健康情況和作業。 輕鬆建立儀錶板和報表,項目關係人可用來追蹤記憶體帳戶的健康情況。 |
| 使用監視器來 分析計量,例如可用性、延遲和使用量,以及 建立警示。 | 監視可讓您檢視檔案共用的可用性、效能和復原能力。 |
效能效率
效能效率是維護用戶體驗, 即使藉由管理容量增加負載 也一定。 此策略包括調整資源、識別和優化潛在的瓶頸,以及優化尖峰效能。
效能效率設計原則提供針對預期使用量達成這些容量目標的高階設計策略。
設計檢查清單
根據 效能效率的設計檢閱檢查清單,開始您的設計策略。 定義以檔案記憶體組態的關鍵效能指標為基礎的基準。
瞭解您的應用程式和使用模式以達到可預測的效能:判斷延遲敏感度、IOPS 和輸送量需求、工作負載持續時間和頻率,以及工作負載平行處理。 針對多線程應用程式使用 Azure 檔案儲存體,協助您達到服務的效能上限。 如果您的大部分要求都是以元數據為中心的,例如 createfile、openfile、closefile、queryinfo 或 querydirectory,則要求會建立高於讀取和寫入作業的低延遲。 如果您發生此問題,請考慮將檔案共用分成相同記憶體帳戶內的多個檔案共用。
選擇最佳的記憶體帳戶類型:如果您的工作負載需要大量的 IOPS、極快的數據傳輸速度或非常低的延遲,則您應該選擇進階 (FileStorage) 儲存體帳戶。 您可以針對大部分SMB檔案共用工作負載使用標準一般用途 v2 帳戶。 這兩種記憶體帳戶類型之間的主要取捨是成本與效能。
布建的共用大小,例如 IOPS、輸出和輸入,以及單一檔案限制會決定進階共用效能。 如需詳細資訊,請參閱 瞭解進階檔案共用的布建。 如果您需要暫時超過進階檔案共用的基準 IOPS 限制,進階檔案共用也會提供 高載信用額度 作為保險單。
在與連線用戶端相同的區域中建立記憶體帳戶以減少延遲:您離 Azure 檔案儲存體 服務越遠,延遲就越大,而且達到效能調整限制越困難。 當您從內部部署環境存取 Azure 檔案儲存體 時,此考慮尤其如此。 可能的話,請確定您的記憶體帳戶和用戶端共置於相同的 Azure 區域中。 將網路等待時間降到最低,或使用 ExpressRoute 連線透過私人連線將內部部署網路延伸至Microsoft雲端,以優化內部部署用戶端。
收集效能數據:監視工作負載效能,包括延遲、可用性和使用計量。 分析記錄 以診斷逾時和節流等問題。 建立警示 ,以在檔案共享進行節流、即將進行節流或遇到高延遲時通知您。
針對混合式部署進行優化:如果您使用 Azure 檔案同步,同步效能取決於許多因素:您的 Windows Server 和基礎磁碟設定、伺服器與 Azure 記憶體之間的網路頻寬、檔案大小、數據集大小總計,以及數據集上的活動。 若要測量以 Azure 檔案同步 為基礎的解決方案效能,請判斷您每秒處理的檔案和目錄等物件數目。
建議
| 建議 | 優點 |
|---|---|
| 為進階 SMB 檔案共用啟用 SMB 多重通道 。 SMB 多重通道可讓SMB 3.1.1用戶端建立SMB Azure檔案共用的多個網路連線。 SMB 多重通道僅適用於在用戶端 (您的用戶端) 和服務端 (Azure) 上啟用此功能時。 在 Windows 用戶端上,預設會啟用 SMB 多重通道,但您必須在記憶體帳戶上啟用它。 |
增加輸送量和 IOPS,同時降低總擁有成本。 效能優點會隨著分散負載的檔案數目而增加。 |
| 在 Linux 用戶端上使用 nconnect 用戶端掛接選項搭配 NFS Azure 檔案共用。 Nconnect 可讓您在用戶端與 NFSv4.1 的 Azure 檔案儲存體 進階服務之間使用更多 TCP 連線。 | 大規模提升效能,並降低NFS檔案共用的總擁有成本。 |
| 請確定您的檔案共享或記憶體帳戶未 受到節流,這可能會導致高延遲、低輸送量或低 IOPS。 達到 IOPS、輸入或輸出限制時,會節流要求。 針對標準記憶體帳戶,節流會在帳戶層級進行。 針對進階檔案共享,節流通常發生在共用層級。 |
避免節流以提供最佳的客戶端體驗。 |
Azure 原則
Azure 提供一組與 Azure 檔案儲存體 相關的大量內建原則。 您可以透過 Azure 原則稽核上述一些建議。 例如,您可以檢查是否:
- 只接受來自安全連線的要求,例如 HTTPS。
- 共用金鑰授權已停用。
- 網路防火牆規則會套用至帳戶。
- Azure 檔案儲存體 的診斷設定會設定為將資源記錄串流至 Azure 監視器記錄工作區。
- 公用網路存取已停用。
- Azure 檔案同步 已設定私人端點以使用私人 DNS 區域。
如需完整的治理,請檢閱 Azure 原則 內建定義,以取得可能會影響計算層安全性的記憶體和其他原則。
Azure Advisor 建議
Azure Advisor 是個人化的雲端顧問,可協助您遵循最佳做法來將 Azure 部署最佳化。 以下是一些建議,可協助您改善 Azure 檔案儲存體的可靠性、安全性、成本效益、效能和營運卓越。
後續步驟
如需詳細資訊,請參閱 Azure 檔案儲存體 檔。