Azure Storage 系列(八)儲存型別細化分類說明
一,引言
Azure 儲存賬戶功能經過官方改進迭代後,在建立的時候,儲存賬戶的型別被分為兩大類:
1)general-purpose v2 account(標準常規用途v2)
Blob 儲存,佇列儲存,表儲存,Azure File儲存
2)Premium
1,Blob 儲存:包含 塊儲存 & 追加儲存,用於事務率較高的方案
2,Azure File 儲存:僅適用於檔案共用的高階儲存帳戶型別。
3,Page Blob:正如名字所示,僅用於 頁Blob 的高階儲存
接下來,就讓我們詳細的學習一下其中的差異
二,正文
1,儲存賬戶型別(所有的儲存賬戶型別都通過使用儲存服務加密服務(SSE)對靜態資料加密)
| 儲存帳戶 | 支援的服務 | 建議用途 |
|---|---|---|
| 標準常規用途v2 | Blob 儲存(包括 Data Lake Storage)、佇列儲存、表儲存和 Azure 檔案儲存 | 大多數方案的標準儲存帳戶,包括 blob、檔案共用、佇列、表和磁碟(頁 blob)。 |
| 高階塊blob | Blob 儲存(包括 Data Lake Storage) | 塊 blob 和追加 blob 的高階儲存帳戶。 建議用於事務速率較高的應用程式。 如果處理較小的物件或需要持續較低的儲存延遲,請使用高階塊 blob。 此儲存可根據應用程式的需求縮放。 |
| 高階檔案共用 | Azure 檔案 | 僅適用於檔案儲存的高階儲存帳戶。 建議用於企業級應用程式或高效能級應用程式。 如果需要支援伺服器訊息區塊 (SMB) 和 NFS 檔案共用,請使用高階檔案共用。 |
| 高階頁blob | 僅頁 Blob |
高階高效能儲存帳戶僅 用於頁 blob。 頁 blob 非常適合用於儲存基於索引的結構和稀疏資料結構,例如作業系統、虛擬機器器和資料庫的資料磁碟。 |
注意:
1,建立儲存帳戶後,該帳戶型別不能進行修改。
2,常規用途型別的 Azure File 儲存只支援伺服器訊息區塊 SMB 型別的檔案共用,如果想要在 Azure File 儲存中支援網路檔案系統 (NFS),還請選擇 高階檔案共用。
3,Page Blob 只能使用 「熱」存取層,不能使用 「冷」 或者 「存檔層」
4,將 Blob 的層從「熱」存取層更改為「冷」層是即時的,從 「冷」 層或 「寒」 層更改為 」熱「 層也是即時的。 將 Blob 從存檔層解除凍結到聯機層(如熱層、冷層或寒層)可能需要長達 15 個小時。
2,Azure Storage Account 的安全儲存策略
1,加密:寫入 Azure 儲存的所有資料都使用 Azure 儲存加密自動加密。
2,身份驗證:Azure 儲存支援使用 Azure Active Directory (Azure AD) 和基於角色的存取控制 (RBAC) 進行資源管理操作和資料操作。
-
- 將作用域為 Azure 儲存帳戶的 RBAC 角色分配給安全主體,並使用 Azure AD 為金鑰管理之類的資源管理操作授權。
- 支援通過 Azure AD 整合在 Azure Blob 儲存和 Azure 佇列儲存上執行資料操作。
3,傳輸中的資料:在應用程式和 Azure 之間傳輸資料時,可以使用使用者端加密、HTTPS 或 SMB 3.0 來保護資料。
4,磁碟加密:可以使用 Azure 磁碟加密對 Azure 虛擬機器器使用的作業系統磁碟和資料磁碟進行加密。
5,共用存取簽名:共用存取簽名 (SAS) 是一種統一資源識別符號 (URI),可授予對 Azure 儲存資源的受限存取許可權。 SAS 可安全地共用儲存 資源,而不會危及帳戶金鑰。可向不該有權存取你的儲存帳戶金鑰的使用者端提供 SAS。 通過向這些使用者端分發 SAS URI,可授予它們在 一段指定時間記憶體取資源的許可權。
| 授權策略 | 說明 |
|---|---|
| Azure Active Directory | Azure AD 是 Microsoft 基於雲的標識和存取管理服務。 藉助 Azure AD,你可以使用基於角色的存取控制向用戶、組或應用程式分配細粒度存取許可權。 |
| 共用金鑰 | 共用金鑰授權依賴於 Azure 儲存帳戶存取金鑰和其他引數來生成加密的簽名字串。 該字串在授權檔頭中的請求上傳遞。 |
| 共用存取簽名 | SAS 以指定的許可權在指定的時間間隔內委託對 Azure 儲存帳戶中特定資源的存取許可權。 |
| 對容器和 blob 的匿名存取 | 可選擇在容器或 Blob 級別公開 Blob 資源。 任何使用者都可存取公共容器或 Blob 來實現匿名讀取存取。 針對公共容器和 blob 的讀取請求不需要授權。 |
3,Azure 儲存加密特徵
Azure Storage Account 的儲存加密主要用於靜態資料的 Azure 儲存加密可提供資料保護,確保滿足組織的安全性和合規性承諾。 加密和解密過程會自動執行。 資料預設受保護,因此無需修改程式碼或應用程式。
-
在將資料永久性儲存到 Azure 託管磁碟、Azure Blob 儲存、Azure 佇列儲存、Azure Cosmos DB、Azure 表儲存或 Azure 檔案儲存之前,資料會自動加密。
-
檢索資料之前,會自動對其進行解密。
-
Azure 儲存加密、靜態加密、解密和金鑰管理對使用者來說都是透明的。
-
寫入 Azure 儲存的所有資料均通過 256 位高階加密標準 (AES) 加密進行加密。 AES 是可用的最強分組加密技術之一。
-
Azure 儲存加密會針對所有新的和現有的儲存帳戶啟用,並且不能禁用。
4,Azure Storage Accunt 儲存型別的選擇
| Azure 檔案儲存(檔案共用) | Azure Blob 儲存 (blob) | Azure 磁碟(頁 blob) |
|---|---|---|
| Azure 檔案儲存提供 SMB 和 NFS 協定、使用者端庫和 REST 介面,允許從任何位置存取儲存的檔案。 | Azure Blob 儲存提供使用者端庫和 REST 介面,以便在塊 blob 中大規模儲存和存取非結構化資料。 | Azure 磁碟類似於 Azure Blob 儲存。 Azure 磁碟提供 REST 介面,用於在頁 blob 中儲存和存取基於索引或結構化的資料。 |
| - Azure 檔案儲存共用中的檔案是真正的 Directory 物件。 - 通過跨多個虛擬機器器的檔案共用存取 Azure 檔案儲存中的資料。 |
- Azure Blob 儲存中的 blob 是平面名稱空間。 - 通過容器存取 Azure Blob 儲存中的 blob 資料。 |
- Azure 磁碟中的頁 blob 被儲存為 512 位元組頁。 - 頁 blob 資料僅限於單個虛擬機器器。 |
| Azure 檔案儲存非常適合將應用程式直接遷移到已使用本機檔案系統 API 的雲。 在 Azure 中執行的應用和其他應用程式之間共用資料。 如果要儲存需要從許多虛擬機器器存取的開發和偵錯工具,Azure 檔案儲存是一個不錯的選擇。 |
Azure Blob 儲存非常適合需要支援流式處理和隨機存取方案的應用程式。 如果要從任意位置存取應用程式資料,Azure Blob 儲存是一個不錯的選擇。 |
當應用程式執行頻繁的隨機讀/寫操作時,Azure 磁碟解決方案將是理想之選。 如果要在 Azure 虛擬機器器和資料庫中儲存作業系統和資料磁碟的關係資料,Azure 磁碟是一個不錯的選擇。 |
1)開啟埠 445。 Azure 檔案使用 SMB 協定。 SMB 通過 TCP 埠 445 通訊。 確保埠 445 處於開啟狀態。
2)啟用安全傳輸。 使用 REST API 存取儲存帳戶的情況。 如果連線,並且啟用了所需的安全傳輸,則必須使用 HTTPS 進行連線。
Azure Blob 中的 Conatiner 下是建立資料夾
1,可以通過視覺化工具 「Azure Storage Explorer 」 進行操作
2,可以通過程式碼整合 SDK 進行操作
三,結尾
大家需要注意的是,Azure 儲存帳戶包含所有 Azure 儲存資料物件:Blob、檔案、佇列和表。 儲存帳戶為 Azure 儲存資料提供一個唯一的名稱空間,可通過 HTTP 或 HTTPS 從世界上的任何位置存取該資料。 Azure 儲存帳戶中的資料持久,高度可用、安全且可大規模縮放。而Azure Blob 儲存是 Microsoft 提供的適用於雲的物件儲存解決方案。 Blob 儲存最適合儲存巨量的非結構化資料。
作者:Allen
版權:轉載請在文章明顯位置註明作者及出處。如發現錯誤,歡迎批評指正。