你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure NetApp Files 是一种 Azure 原生的企业级服务,可用于在云中运行文件工作负荷和存储文件。 使用这种完全托管的云服务可以:
- 选择服务和性能级别。
- 管理数据保护。
- 创建 Azure NetApp 文件帐户。
- 创建容量池。
- 创建卷。
- 创建和管理具有高性能、低延迟、高可用性和可扩展性的文件共享。
使用与本地企业应用程序相同的熟悉协议和工具。 Azure NetApp 文件支持服务器消息块 (SMB)、网络文件系统 (NFS) 和双协议卷。 可以将 Azure NetApp 文件用于文件共享、高性能计算、主目录和数据库。
本文假定你作为架构师,已评估文件存储选项并选择 Azure NetApp 文件作为工作负荷的服务。 本文中的指导提供了与架构良好的框架支柱原则相对应的架构建议。
技术范围
本次评估重点关注以下 Azure 资源的相互关联决策:
- Azure NetApp 文件
Reliability
可靠性支柱的目的是通过生成足够的弹性和快速从故障中恢复的能力来提供持续功能。
可靠性设计原则提供了适用于各个组件、工作负荷、系统流和整个系统的高级设计策略。
工作负荷设计清单
根据可靠性设计评审核对清单开始实施你的设计策略。 确定其与业务需求的相关性,同时牢记工作负荷的可扩展性和性能。 根据需要扩展策略以包含更多方法。
设计工作负荷,使其符合业务目标,并避免不必要的复杂性或开销。 采用经过实践检验的平衡方法来做出反映工作负荷需求的决策。 Azure NetApp 文件部署选择可能会影响其他组件。 例如,Azure NetApp 文件部署的子网大小决定可用 IP 地址的数量。 而网络功能设置决定可用的网络和功能。
识别用户流和系统流。 了解客户需求和业务需求,以便有效规划可靠性并优化安全性。 要限制与必要网络之间的访问,在分配权限时使用最小权限原则。 要授权对 Azure NetApp 文件数据的访问,使用网络安全组 (NSG)、Microsoft Entra ID 混合标识、Microsoft Entra 域服务、Active Directory 域服务 (AD DS) 和轻量级目录访问协议 (LDAP) 等功能或服务。 要限制对 Azure NetApp 文件卷的默认访问,使用文件锁定等功能。
定义可靠性目标和恢复目标。 可视化恢复目标并推动行动以实现工作负荷的可靠性目标和可恢复性目标。 要提高可靠性和恢复能力,定义这些目标并了解 Azure NetApp 文件解决方案。 目标有助于优化快照、可用性区域之间的高可用性、跨区域和跨区域复制以及受支持应用程序的 SMB 持续可用性。
生成冗余。 跨可用性区域和区域部署工作负荷,以在工作负荷和支持基础结构中生成冗余。 这种方法确保你可以从故障中快速恢复。 主动-被动部署只能在主要区域处理生产负载,但在必要时会故障转移到次要被动区域。
配置建议
| Recommendation | Benefit |
|---|---|
| 使用 面向未来的尺寸规划 来合理地确定分配的子网大小。 | 适当调整子网大小,以确保设计的长期弹性以及应用程序和工作负荷的可扩展性。 |
| 在委派子网上启用标准网络功能,以增强弹性和额外连接模式。 | 选择标准网络功能,以便拥有高 IP 限制和标准虚拟网络功能,包括委派子网上的额外连接模式以及 NSG 和用户定义路由。 |
| 使用 Azure NetApp 文件内置功能生成冗余并确保恢复目标的可靠性。 使用空间高效的快照,为业务关键数据提供主要数据保护,并通过缩短恢复时间目标(RTO)和恢复点目标(RPO)来增强数据恢复能力。 使用 Azure NetApp 文件备份添加长期保留。 使用 Azure NetApp 文件可用性区域卷放置功能在特定可用性区域部署卷,使其与同一区域中的 Azure 计算和其他服务保持一致。 使用跨区域或跨区域复制来设计本地或远程灾难恢复。 要保护数据免受区域或区域性故障的影响,使用快照技术在特定 Azure 可用性区域或区域之间复制 Azure NetApp 文件实例。 |
快照可增加稳定性、可扩展性和快速恢复能力,且不会影响性能。 它们为其他冗余解决方案(包括备份、跨区域复制和跨可用性区域复制)提供基础。 Azure 可用性区域具有高可用性、容错能力和比传统单个或多个数据中心基础结构更强的可伸缩性。 要设计弹性解决方案,使用支持可用性区域的 Azure 服务。 跨区域和跨区域复制可最大限度地减少数据传输(从而降低成本),并且仅跨区域复制已更改的块(从而形成较低的还原点目标)。 |
| 确保应用程序在服务维护事件(例如平台、服务或软件升级)期间的弹性。 有关更多信息,请参阅解决应用程序中断。 | 某些应用程序可能需要优化以处理长达 30-45 秒的输入/输出暂停。 要维持应用程序性能和连续性,熟悉应用程序的弹性设置,以便能够处理存储服务维护事件。 |
| 对于 SMB 或双协议工作负荷,启用 SMB 的持续可用性以确保维护事件期间的可用性。 | 创建 SMB 卷时,持续可用性可实现 SMB 透明故障转移,从而在维护期间也不会中断将数据存储在该卷上的服务器应用程序。 此功能仅适用于某些工作负荷。 |
| 使用适当的性能层、卷大小和服务质量 (QoS) 设置以确保适当的性能。 对于具有自动 QoS 设置的卷,分配给卷的配额和选定的服务级别决定吞吐量限制。 对于具有手动 QoS 设置的卷,你可以单独定义吞吐量限制。 了解工作负荷需求与 Azure NetApp 文件产品的匹配情况。 有关详细信息,请参阅 性能注意事项。 |
选择正确的性能层以避免不必要的复杂性和开销,并帮助管理总拥有成本 (TCO)。 |
| 为防火墙正确配置应用程序筛选。 要确保使用正确的配置,请参阅以下资源: - 了解网络附加存储 (NAS) 协议 - 网络规划指南 - 了解 AD DS 站点设计和规划指南 |
正确配置应用程序筛选,以防止在尝试搜索目录或创建项目时出现连接断开等问题。 Windows Server Active Directory、LDAP 和 SMB 筛选通常会出现这些问题。 使用应用程序筛选以确保无缝连接和高效的网络操作。 |
安全性
安全支柱的目的是为工作负荷提供机密性、完整性和可用性保证。
安全设计原则通过将方法应用于文件存储配置的技术设计,提供实现这些目标的高级设计策略。
工作负荷设计清单
根据安全性性设计评审核对清单开始实施你的设计策略。 识别漏洞和控制措施以改进安全态势。 根据需要扩展策略以包含更多方法。
跨入口流和出口流隔离、筛选和控制网络流量。 控制网络流量以缓解潜在的安全事件。 可以使用 NSG 筛选 Azure 资源之间的流量。 或者在 Azure NetApp 文件委派子网上使用用户定义路由来限制流量。
实施严格、有条件且可审计的身份和访问管理。 对资源的严格访问提供第一道防线。 要保护数据资源,使用自定义基于角色的访问控制 (RBAC) 角色、基于协议的锁定工具和内置存储策略。
建立与合规要求、行业标准和平台建议一致的安全基线。 存储策略和密钥管理可以帮助你使用行业标准工具建立安全基线。 Azure NetApp 文件还支持许多针对 NFS、SMB 和双协议卷的内置安全建议。
使用现代的行业标准方法对数据进行加密。 确保数据保持安全。 Azure NetApp 文件提供确保数据安全的解决方案和功能,包括静态双重加密。 对于 Windows Server Active Directory 用户,Azure NetApp 文件支持高级加密标准 (AES) 加密。
制定安全策略。 Azure NetApp 文件支持 NFS、SMB 和双协议卷。 如果使用双协议卷,了解这些卷的安全需求并确定哪种安全样式适合工作负荷需求。 如果需要用于 SMB、NFSv4.1 Kerberos 或 LDAP 查找的 Windows Server Active Directory 连接,应使该安全基线与合规要求、行业标准和平台建议保持一致。 Azure NetApp 文件使用标准 CryptoMod 生成 AES-256 加密密钥,你可以将其应用于 SMB 服务器。 要制定适当的安全策略,启用基于 TLS 的 LDAP、加密与域控制器的 SMB 连接、为 SMB 卷分配管理员特权用户,并确保有备份策略和安全协议。
设置适当的访问和所有权配置。 设置用户特权和受限角色以帮助减少错误和不当操作。 要维持安全性,为共享、文件和文件夹设置适当的共享访问权限、所有权角色和所有权模式。 要实现最佳安全性并减少错误,识别并了解用于 NFS、SMB 和双协议共享的各种访问管理解决方案。
配置建议
| Recommendation | Benefit |
|---|---|
| 实施访问管理。 为 Azure NetApp 文件使用自定义 RBAC 角色以限制操作访问。 有关详细信息,请参阅 Azure 自定义角色。 查看 Azure NetApp 文件资源提供程序操作的列表。 限制对 Azure NetApp 文件卷的默认访问。 锁定 Azure 订阅、资源组和资源,以保护它们免受用户意外删除和修改。 |
锁定资源,以防止用户意外创建或删除新卷。 你还可以防止用户创建快照或备份。 |
| 设置适当的特定于协议的访问控制。 如果创建 NFSv4.1 或双协议卷,在 NFSv4.1 卷上启用访问控制列表 (ACL)。 限制挂载路径更改权限。 有关更多信息,请参阅配置 Unix 权限并更改 NFS 和双协议卷的所有权模式。 对于 SMB 或双协议卷,使用 ACL 和 SMB 控制通过 SMB 对共享的挂载和访问。 有关更多信息,请参阅使用 Microsoft 管理控制台修改共享级 ACL 和管理 SMB 共享 ACL。 将新技术文件系统(NTFS)安全样式与 SMB 共享配合使用。 有关详细信息,请参阅访问控制概述。 |
ACL 在 NFSv4.1 和 SMB 中提供精细的文件安全性。 对于 NTFS,你可以使用 NTFS ACL。 使用 ACL 限制对必要用户的访问。 |
| 为 NFS 共享设置适当的共享访问权限、所有权和所有权模式。 NFS 使用导出策略通过 IP 地址控制卷访问权限。 有关详细信息,请参阅以下资源: - 了解 NAS 共享权限 - 为 NFS 或双协议卷配置导出策略 - 配置 Unix 权限并更改所有权模式 所有者和所有权模式规定谁拥有卷以及谁可以更改卷的所有权。 为 NFS 共享中的文件和文件夹设置适当的文件访问权限。 有关更多信息,请参阅了解 NAS 文件权限和了解模式位。 |
共享访问权限限制谁可以挂载 NFS 卷、卷权限以及谁可以更改卷所有者。 文件权限控制文件系统中特定文件和文件夹的访问,并且比共享权限更精细。 |
| 使用内置或自定义存储策略限制不安全的卷或快照。 有关更多信息,请参阅 Azure Policy 定义。 | 限制不安全的卷并使用策略创建快照,以维持应用程序的可靠性和完整性。 |
| 在 Azure NetApp 文件委托子网上配置标准网络功能和 NSG ,以筛选传入或传出 Azure NetApp 文件终结点的网络流量。 考虑限制路由并在 Azure NetApp 文件委派子网或网络上部署用户定义路由,以仅允许必要的流量。 |
NSG 和用户定义路由防止不必要或潜在的恶意流量访问 Azure NetApp 文件。 用户定义路由有助于仅将流量定向到需要的位置并丢弃不必要的流量。 |
| 采用有效的帐户密钥策略。 要降低风险,请定期轮换帐户密钥。 为了管理卷的自有密钥,请使用 客户管理密钥。 对于使用平台管理密钥的现有卷,可以利用内置功能迁移至客户管理密钥,从而尽可能减少操作中断。 有关详细信息,请参阅将 Azure NetApp 文件卷转换为客户管理的密钥。 |
轮换帐户密钥有助于阻止恶意行为者的访问。 如果有自我管理密钥的安全要求或法规,请使用客户管理的密钥。 |
| 减少资源的可见性。 如果配置快照策略或创建快照,请隐藏 NFSv3 和 SMB 卷的快照路径。 默认情况下,快照目录路径对 NFSv4.1 客户端隐藏。 对于 NFSv4.1 和双协议卷,禁用 showmount 功能。 在 SMB 中,启用 基于访问的枚举 和 不可浏览 SMB 共享。 |
限制资源的可见性以限制访问。 隐藏快照路径时,会对 NFSv3 和 SMB 客户端隐藏目录路径,这增加了额外的保护层。 目录仍可访问。 NFS 客户端上的 showmount 功能允许用户查看 NFS 服务器上导出的文件系统,但此功能可能会将安全探测标记为漏洞。 某些应用程序必须启用 showmount 功能。 在 SMB 部署中,基于访问的枚举在数据上创建边界,防止对共享的不必要访问。 不可浏览的 SMB 共享防止 Windows 客户端浏览 SMB 共享。 运行 net view \\server /all 命令时,该共享不会显示在 Windows 文件浏览器中或共享列表中。 |
| 为 Azure NetApp 文件卷(SMB、NFSv4.1、双协议)启用文件访问日志,并将其导出到集中式监视。 范围到业务关键卷,并应用保留和筛选策略。 | 文件级遥测(用户、作、路径、时间戳)提供符合性的可审核证据、检测异常活动(突然枚举、大规模读取/删除、特权滥用),并验证最低特权配置。 集中日志可加速事件调查和威胁检测。 确定收集和设置显式保留范围可避免不必要的存储成本。 |
| 在具有双协议卷时,确定要实施的安全样式。 SMB 和 NFS 对用户访问和组访问使用不同的权限模型。 对于双协议卷,将 Azure NetApp 文件配置为使用 UNIX 或 NTFS 安全样式。 只能有一种安全样式处于活动状态。 | 了解双协议工作负荷的需求以帮助优化安全性。 |
| 对静态敏感数据使用双重加密。 默认情况下,Azure NetApp 文件对静态数据进行加密。 若要配置 双重加密,请在创建容量池时将加密类型设置为 double 。 | 双重加密在硬件级别(加密的 SSD 驱动器)和卷级别的软件层对数据进行加密。 |
| 如果建立与 Windows Server Active Directory 服务器的连接,启用 AES 加密。 此选项为 Windows Server Active Directory 连接的管理员帐户启用 AES 加密身份验证支持。 有关更多信息,请参阅创建和管理 Windows Server Active Directory 连接。 | AES 加密是一种原生的行业标准平台加密方法,有助于保护数据。 |
| 如果建立与 Windows Server Active Directory 服务器的连接并使用 LDAP,启用基于 TLS 的 LDAP。 有关更多信息(包括关于何时可以使用 LDAP 的限制),请参阅以下资源: - LDAP 加密 - 创建和管理 Windows Server Active Directory 连接 - 配置 AD DS 基于 TLS 的 LDAP |
基于 TLS 的 LDAP 保护 Azure NetApp 文件卷与 Windows Server Active Directory LDAP 服务器之间的通信。 |
| 加密与域控制器的 SMB 连接。 有关更多信息,请参阅创建和管理 Windows Server Active Directory 连接。 | 加密的域控制器连接仅使用 SMB3 协议。 |
| 确定并配置备份策略用户、安全特权用户和管理员。 如果建立与 Windows Server Active Directory 服务器的连接,添加备份策略用户、安全特权用户和管理员。 有关更多信息,请参阅创建和管理 Windows Server Active Directory 连接。 | 此选项向 AD DS 域用户或组授予额外的安全特权。 |
| 为 NFSv4.1 和双协议卷启用 NFSv4.1 Kerberos。 | 根据加密级别,Kerberos 通过 Kerberos 票证交换提供初始身份验证、完整性检查和隐私保护。 有关更多信息,请参阅了解传输中数据加密。 |
| 为传输中的 SMB3 数据启用 SMB3 协议加密。 有关详细信息,请参阅以下资源: - SMB 共享 - 了解传输中数据加密 - SMB 加密 |
不使用 SMB3 加密的 SMB 客户端无法访问启用此设置的卷。 无论此设置如何,静态数据都会加密。 |
成本优化
成本优化侧重于检测支出模式、优先投资关键领域以及在其他领域进行优化,以在满足业务需求的同时符合组织预算。
成本优化设计原则提供高层设计策略,用于实现这些目标并在与 Azure NetApp 文件及其环境相关的技术设计中进行必要的权衡。
工作负荷设计清单
根据投资的成本优化设计评审核对清单开始实施你的设计策略。 微调设计,使工作负荷与为工作负荷分配的预算保持一致。 你的设计应使用适当的 Azure 功能、监视投资并寻找随时间优化的机会。
- 优化组件成本。 确定存储帐户的详细信息并相应设计 Azure NetApp 文件容量池,以优化成本并降低 TCO。 要提高性能并防止不必要的成本,根据需求适当调整容量池大小,并将卷整合到具有适当 QoS 设置和性能层的更大容量池中。 使用 Azure NetApp 文件冷却访问功能将不常访问的数据分层到成本更低的 Azure 存储。
- 优化数据成本。 使用 Azure NetApp 文件冷却访问功能将不常访问的数据分层到成本更低的 Azure 存储。 Azure NetApp 文件提供冷存储访问成本节省估算器,可帮助预估潜在的成本节省。
- 使使用情况与计费增量保持一致。 使用 Azure NetApp 文件 预留 大幅降低在 Azure NetApp 文件卷中存储数据的容量成本。 Azure NetApp 文件预留可在你承诺预留一年或三年时为存储成本提供容量折扣。
- 优化环境成本。 生产工作负荷需要适当的数据保护和灾难恢复。 Azure NetApp 文件提供多种内置选项,包括提供空间优化还原点的快照、在成本更低的 Azure 存储层上有效保护数据的备份,以及跨区域和跨可用性区域复制。 要帮助优化部署成本并确保灾难准备,了解每个选项如何适合你的工作负荷。
- 了解并计算定价。 了解业务需求,以便了解定价。 Azure NetApp 文件提供多种工具(包括 Azure NetApp 文件性能计算器)来帮助你准确估算定价。
- 优化可扩展性成本。 使用 Azure NetApp 文件满足不断变化的业务需求并响应工作负荷变化。 例如,你可能移动卷以提高性能并降低成本。 你可以使用动态卷大小调整来根据需要高效扩展 Azure NetApp 文件卷,以满足性能和容量要求。
- 使用合作伙伴解决方案优化成本。 Azure NetApp 文件与 Azure VMware 解决方案和 Microsoft SQL Server 等产品集成,并针对 Oracle 和 SAP 工作负荷进行了优化。 了解 Azure NetApp 文件功能和优势,以优化部署并降低 TCO。 例如,你可以使用 Azure NetApp 文件数据存储来增加 Azure VMware 解决方案中的存储容量,而无需使用额外的 Azure VMware 解决方案节点。 还可以使用 TCO 估算器 来计算 Azure VMware 解决方案和 Azure NetApp 文件的估计成本。
配置建议
配置 Azure NetApp 文件帐户时,考虑以下优化成本的建议。
| Recommendation | Benefit |
|---|---|
| 使用适当的性能层、卷大小和 QoS 设置 来提高性能并防止不必要的成本。 对于具有手动 QoS 设置的卷,你可以单独定义吞吐量限制。 要规划 Azure NetApp 文件中的性能,了解性能层和 QoS 设置。 | 分配给卷的配额和选定的服务级别决定具有自动 QoS 设置的卷的吞吐量限制。 确保使用适当的性能层和 QoS 设置以帮助维持性能。 |
| 使用支持冷访问的 Azure NetApp 文件存储,以透明方式将不经常访问的数据分层到成本较低的 Azure 存储。 将“冷存期”配置为将不经常访问的数据块透明地从 Azure NetApp 文件移动到 Azure 存储帐户,并在访问时自动调回。 | 冷存储使用成本较低的存储层,可降低存储成本。 向冷却层的过渡对用户和应用程序而言是无缝的。 |
| 使用 Azure NetApp 文件 预留 节省预留的 Azure NetApp 文件的存储成本。 | Azure 预留可以显著降低在 Azure NetApp 文件卷中存储数据的容量成本。 节省多少取决于选择保留的总容量和所选 服务级别。 |
| 借助 Azure NetApp 文件的冷存储访问、空间高效快照和预留容量等复合优势,可降低 Azure NetApp 文件的实际使用成本。 | 这三个功能可以协同工作或独立工作,以显著降低 Azure NetApp 文件的有效价格。 有效的定价反映了在应用内置效率和折扣后为存储支付的实际成本。 这些节省直接降低了每月 GiB 的成本,使你能够更有效地管理存储费用。 |
| 适当调整容量池大小,不引入不必要的开销或空闲空间。 无需在容量池中维持空闲空间。 仅在需要增加卷大小或创建新卷时增加容量池大小。 删除卷或减小卷大小时减小容量池大小。 | 适当调整容量池大小,以确保仅为所需的存储付费。 |
| 在少数大型容量池中整合尽可能多的卷以共享资源。 利用手动 QoS 调整性能和容量。 使用 Azure NetApp 文件在不同工作负荷的多个卷之间共享单个容量池。 将容量池设置为手动 QoS,以便可以为每个卷配置自定义大小和吞吐量。 有关更多信息,请参阅手动 QoS 容量池中的卷吞吐量限制示例。 | 在同一容量池中合并尽可能多的卷,以优化资源和成本。 |
| 使用 本机快照 创建空间优化的还原点。 | 使用 Azure NetApp 文件快照创建空间高效且成本高效的还原点。 |
| 使用 Azure NetApp 文件备份在低成本 Azure 存储上有效保护数据。 Azure NetApp 文件支持用于长期恢复、存档和合规性的完全托管备份解决方案。 | 备份是增量的且完全托管的,以降低 TCO。 |
| 利用 跨区域 或 跨区域 复制作为成本优化的灾难恢复解决方案。 | Azure NetApp 文件提供完全托管且成本优化的灾难恢复解决方案,该解决方案具有高效的复制技术。 你可以在区域或区域之间复制数据,而无需部署基础结构。 |
| 实施动态卷调整以仅在需要时提供按需性能和容量。 有关静态卷整形和动态卷整形成本模型的比较,请参阅 成本模型。 要确定使用 Azure NetApp 文件数据存储是否可以降低 Azure VMware 解决方案的 TCO,请使用 Azure VMware 解决方案的 Azure NetApp 文件TCO 估算器。 | 动态卷调整提供无中断的卷大小调整和服务级别更改,以实时满足不断变化的性能要求。 确保仅在需要时为性能和容量付费。 |
| 部署 Azure VMware 解决方案时使用 Azure NetApp 文件数据存储。 | 使用 Azure VMware 解决方案,你可以将 Azure NetApp 文件卷添加到数据存储容量,从而扩展虚拟存储区域网络 (vSAN) 提供的容量。 你可以增加存储容量,而无需额外的 Azure VMware 解决方案节点。 |
| 部署 SQL Server 时,使用 Azure NetApp 文件部署小型虚拟机 (VM) 并利用高网络吞吐量限制。 你可以将 Azure NetApp 文件卷用作 SMB 共享来托管 SQL Server 数据库。 有关更多信息,请参阅将 Azure NetApp 文件用于 SQL Server 部署的优势。 | Azure VM 通常具有比磁盘吞吐量更高的网络吞吐量。 使用 Azure NetApp 文件,你可以使用小型 Azure VM 大小,从而降低 TCO。 |
| 部署 SAP 工作负荷时,使用 Azure NetApp 文件部署小型 VM 并利用高网络吞吐量限制。 这种方法降低 TCO。 有关更多信息,请参阅 Azure NetApp 文件上的 SAP 大小调整最佳实践。 | 将 Azure NetApp 文件卷与各种 SAP 工作负荷一起使用。 Azure VM 通常具有比磁盘吞吐量更高的网络吞吐量。 使用 Azure NetApp 文件,你可以使用小型 Azure VM 大小,从而降低 TCO。 |
| 部署 Oracle 数据库工作负荷时,使用 Azure NetApp 文件部署小型 VM 并利用更高的网络吞吐量限制。 这种方法降低 TCO。 有关更多信息,请参阅在 Azure 中运行高要求的 Oracle 工作负荷。 | 将 Azure NetApp 文件卷与各种 Oracle 数据库工作负荷一起使用。 Azure VM 通常具有比磁盘吞吐量更高的网络吞吐量。 使用 Azure NetApp 文件,你可以使用小型 Azure VM 大小,从而降低 TCO。 |
| 部署西门子 Teamcenter 产品生命周期管理 (PLM) 软件时使用 Azure NetApp 文件。 这种方法降低 TCO。 | 部署 Azure NetApp 文件作为西门子 Teamcenter PLM 的存储解决方案。 你可以使用多种成本优化功能来降低 TCO。 |
卓越运营
卓越运营主要侧重于开发实践、可观测性和发布管理等过程。
运营卓越设计原则提供高层设计策略,用于实现工作负荷运营要求的这些目标。
工作负荷设计清单
根据卓越运营设计评审清单来开始实施设计策略,以定义与文件存储配置相关的可观测性、测试和部署。
为工作负荷开发适当的体系结构和设计,以优化性能和安全性。 了解 LDAP、应用程序筛选和 Windows Server Active Directory 连接器,以成功部署 Azure NetApp 文件。 要确保保护数据,了解快照等其他功能。
充满信心地部署。 了解并管理限制,以帮助优化 Azure NetApp 文件体系结构。 Azure 资源管理器模板(ARM 模板)等解决方案可以帮助你自动化部署。 你可以使用从现有工作负荷克隆的测试环境来执行使用真实数据和场景的演练。 使用 Azure NetApp 文件内置工具增强对部署的信心。
监视日常操作,以帮助优化性能并更好地了解各种工作负荷。 Azure NetApp 文件提供性能和容量管理工具、Azure 原生监视功能以及用于管理区域配额和资源限制的工具。 定期测试生产环境以调整性能目标并优化性能。 使用 Azure NetApp 文件中的基于快照的克隆和其他功能来模拟生产工作负荷和环境并优化性能。
配置建议
配置 Azure NetApp 文件帐户时,考虑以下优化运营卓越的建议。
| Recommendation | Benefit |
|---|---|
| 了解 Windows Server Active Directory 连接器、其选项以及这些选项的作用。 使用 Azure NetApp 文件卷的解决方案体系结构需要适当的 AD DS 设计和规划。 | Azure NetApp 文件功能(如 SMB 卷、双协议卷和 NFSv4.1 Kerberos 卷)与 AD DS 集成。 了解 AD DS 部署以帮助优化 Azure NetApp 文件体验。 |
| 了解 LDAP。 LDAP 提供通用的基于网络的目录服务,你可以跨不同平台使用它来定位网络对象。 | LDAP 具有稳健性、可扩展性和安全性。 你可以使用 LDAP 包含数百万个用户对象和组对象。 使用 Windows Server Active Directory,你可以使用多个服务器跨多个站点进行复制,以提高性能和弹性。 Azure NetApp 文件支持的唯一 LDAP 服务器是 Windows Server Active Directory。 它支持 AD DS 和 Microsoft Entra 域服务。 |
| 使用原生监视功能监视应用程序卷、文件共享和数据库的性能和运行状况。 | 使用监视功能为关键事件(如文件系统容量和性能问题)设置警报和通知。 使用警报主动采取纠正措施。 |
| 管理性能。 Azure NetApp 文件提供不中断的按需 容量缩放 和 服务级别更改。 | 当应用程序、文件共享和数据库需要调整时,使用这些功能快速扩展或缩减。 要帮助管理应用程序的性能和可用性,将这些功能与卷大小调整或手动 QoS 设置相结合。 |
| 使用 Azure NetApp 文件存储搭配冷访问,以透明地将不常访问的数据块分层至低成本的 Azure 存储。 | 通过配置冷访问并将非活动数据从 Azure NetApp 文件存储移动到 Azure 存储帐户,可以优化成本,同时维护活动数据的可访问性和性能。 Azure NetApp 文件的冷存储访问功能通过将不常访问的数据块无缝分层至低成本的 Azure 存储,可显著优化存储成本。 此功能对冷数据管理尤为有利,这类数据通常是非结构化的,在许多环境中可占存储总容量的 60% 以上。 通过在服务中直接集成冷访问,无需使用其他工具,从而更轻松地优化成本。 此方法非常适合非活动数据、大量非结构化数据、快照数据、顺序读取作和元数据密集型工作负荷,例如芯片设计、版本控制系统和主目录。 |
| 使用高级 快照 数据保护和数据管理功能。 这些功能为数据保护解决方案(包括单文件恢复、卷恢复、克隆、跨区域复制和长期保留)提供基础。 | Azure NetApp 文件快照技术提供稳定性、可扩展性和快速恢复能力,且不会影响性能。 |
| 自动执行基础结构部署。 使用 ARM 模板 定义和部署支持应用程序的资源,例如文件共享、存储帐户、VM 和数据库。 另请考虑通过 Terraform 使用基础结构作为代码来配置和部署云基础结构。 有关更多信息,请参阅使用 Terraform 部署 Azure NetApp 文件以及 Terraform Azure 资源管理器和 Azure NetApp 文件帐户集成。 | 使用 Azure NetApp 文件自动化应用程序基础结构、文件共享和数据库的部署,这提高了部署效率并支持直接迁移方法。 |
| 测试部署。 使用通过快照恢复进行克隆来快速创建用于测试的新卷。 | Azure NetApp 文件提供可靠且可扩展的平台来部署应用程序代码、文件和数据库。 使用克隆确保应用程序保持最新和稳定,并轻松测试新版本或升级。 |
| 测试环境。 你可以使用 Azure NetApp 文件快速创建和管理测试环境。 使用快照恢复将生产数据克隆到新卷。 | 测试活动与生产环境分开。 进行测试以添加防护措施。 例如,你可以确保灾难恢复解决方案的有效性。 使用测试环境以无中断方式测试新版本或升级。 将测试环境与跨区域或跨区域复制相结合以进一步优化。 你可以重新利用通常仅为灾难恢复复制的数据。 |
| 使用 短期克隆 快速、空间高效的测试和开发工作流。 短期克隆提供具有自动清理功能的临时卷副本,从而减少临时数据副本的存储成本和管理开销。 | 短期克隆通过提供类似于生产的数据来提供更好的开发和测试工作流,而无需大量的存储资源。 自动生命周期管理可减少管理开销,同时确保团队能够访问新的数据进行测试方案,而不会影响生产系统。 |
| 管理区域配额 和资源限制。 随着工作负荷的发展,定期审查这些级别。 要增加区域配额,请请求增加区域容量配额。 要增加资源限制,请请求增加限制。 | 配额会影响成本和性能。 规划工作负荷所需的资源量。 随着工作负荷的发展,请定期查看该级别。 了解这些要求,以随着需求的变化维持性能和容量。 |
性能效率
性能效率就是通过管理容量来保持用户体验,即使负载增加也不例外。 该策略包括扩展资源、识别和优化潜在瓶颈以及针对峰值性能进行优化。
性能效率设计原则提供高层设计策略,用于根据预期使用情况实现这些容量目标。
工作负荷设计清单
根据性能效率设计评审清单开始设计策略。 基于 Azure NetApp 文件的关键绩效指标定义基线。
定义性能目标。 了解工作负荷需求并为性能目标分配数值。 Azure NetApp 文件提供量化这些需求的工具和资源,包括将吞吐量转换为每秒输入/输出操作数 (IOPS) 的计算器和公式。 你还应了解 Azure NetApp 文件服务级别和性能层如何影响部署并满足工作负荷需求。
执行容量计划。 了解数据集的容量要求,以便规划和优化性能。 部署应用程序之前,了解工作负荷的性质并了解 Azure NetApp 文件的资源限制。 确保 Azure NetApp 文件功能能够满足你的特定需求,以有效规划性能要求。 做出满足性能和容量需求的配置选择。
选择合适的服务。 定义 Azure NetApp 文件部署需求时,了解不同的性能、容量、数据保护和灾难恢复要求。 根据你的要求,校准 Azure NetApp 文件以满足特定的吞吐量和一般性能需求。 在某些情况下,你可以降低存储成本。
持续优化性能。 监视卷性能以了解生产工作负荷不断变化的需求。 使用这些监视见解优化和调整性能。
配置建议
| Recommendation | Benefit |
|---|---|
| 查看并了解 Azure NetApp 文件服务级别,这些级别为 Azure NetApp 文件卷提供性能限制。 | 当工作负荷的性能需求发生变化时,你可以动态且无缝地更改卷的服务级别以降低成本。 |
| 了解 Azure NetApp 文件 的资源限制 。 | 了解 Azure NetApp 文件的资源限制,以降低超量预配或过度使用卷的风险。 |
| 了解工作负荷的性质。 将吞吐量转换为 IOPS,以便深入了解性能。 有关更多信息,请参阅性能基准测试建议。 使用 Azure NetApp 文件性能计算器了解你的需求如何与 Azure NetApp 文件匹配。 |
了解工作负荷的 IOPS、吞吐量和延迟要求,以确定所需的服务级别和卷容量。 使用 Azure NetApp 文件性能计算器选择正确的容量和服务级别,以便调整卷大小以最大限度地提高性能和成本效率。 |
| 了解数据集的 容量要求 ,并确定适当的 QoS 类型。 | 卷配额和 QoS 设置会影响性能和卷容量。 如果数据集较小但性能要求较高,你可以使用手动 QoS 超量预配卷的性能。 |
| 了解常规卷与大型卷之间的差异,以及常规卷性能和大型卷性能之间的差异。 | 大型卷可以提供更多容量和性能,但有可能不适合你的工作负荷的最低要求。 在适当的情况下,大型卷可以简化操作。 |
| 根据工作负荷的容量、吞吐量和 QoS 策略配置容量池。 | Azure NetApp 文件卷默认使用自动 QoS 策略,并与卷容量相关联。 你可以使用手动 QoS 配置容量池并为卷提供高性能。 手动 QoS 使用容量池大小作为其性能级别。 了解容量池的工作方式,以便调整 Azure NetApp 文件以提供满足业务需求的最佳性能。 |
| 优化和调整 Azure NetApp 文件性能。 查看 Azure NetApp 文件的性能常见问题解答。 | 通过网络和 VM 配置优化性能。 |
| 考虑数据保护和灾难恢复选项。 | 数据保护和灾难恢复可以促进一致的性能,因为它们提供了在发生中断时能够适当满足工作负荷性能需求的辅助站点。 |
| 监视 Azure NetApp 文件卷性能。 | 监视 Azure NetApp 文件卷的性能,以深入了解工作负荷性能。 确定是否需要调整服务级别或 QoS 策略以获得更高或更低的性能。 |
Azure 策略
Azure 提供与 Azure NetApp 文件相关的大量内置策略。 可以通过 Azure 策略审核上述一些建议。 考虑以下与安全性相关的策略:
- Azure NetApp 文件SMB 卷应使用 SMB3 加密
- Azure NetApp 文件NFSv4.1 卷应使用 Kerberos 数据加密
- Azure NetApp 文件NFSv4.1 卷应使用 Kerberos 数据完整性或数据隐私
- Azure NetApp 文件卷不应使用 NFSv3 协议类型
Azure 顾问建议
Azure 顾问是一名个性化的云顾问,可帮助你遵循最佳做法来优化 Azure 部署。
有关详细信息,请参阅 Azure 顾问。
示例体系结构
展示关键建议的基础体系结构:使用 Azure NetApp 文件的 Moodle 部署。