Azure Storage
Azure 存储时一个可扩展、持久的、高可用的存储方案;它可以用自动分区系统,基于流量自动负载均衡数据;全世界可用,无论你用哪种设备,云、台式机、本地服务器。可支持跨平台、跨语言操作。
就是你Windows和Linux操作系统都可以用Azure存储,也可用支持多种编程语言,.NET Java…
Storage Service
存储服务包括以下五种:Blob、table、queue、file、disk(disk和file是IaaS,其他是PaaS)
- blob 存储非结构对象数据,比如文本、视频、应用程序安装包
blob其实有点像VHD,但是是没有存储量限制的VHD。Blob有blocks blob,page blob,append blob。 blocks blob适合顺序性输入输出的数据,比如媒体流。page blob时候随机型输入输出数据,比如VM的硬盘。支持的block blob限制为4.7TB,page blob为8TB。 - table 存储结构化数据集,NoSQL key-attribute数据存储,这允许数据可用高速暴增,并且高速读取。
大概简单说一下:SQL和NoSQL
数据库系统=数据库database+数据库管理系统database management system(DBMS)
SQL是关系型数据库,里面时有结构关系的数据,每个数据有自己的属性,属于一个结构里面,这样读写速度,能够用SQL语言,但是数据不能扩展,不能适应井喷的大数据。
NoSQL(Not Only SQL, non SQL, non relational SQL):非关系型数据库
可适应井喷数据,扩展性强,能够对付非结构化和不可预知的数据。
NoSQL类型:Key-Value型,文档型,图片形式
关于SQL 和NoSQL可读:
https://yq.aliyun.com/articles/670219 - Queue提供一种可靠的工作流消息传输,云服务组件之间的通讯。
在decoupled system之间提供一个可靠的通信连接,并且不需要VPN或者安全连接。 - file向前兼容,以SMBprotocal进行文件共享,在云上像本地一样进行共享文件夹。
- Disk不需费劲去管理存储账户,就可以用VHD磁盘进行存储,这样可用省去很多管理成本
mangoDB是面向文档的数据库,是非结构化的数据
doucumentDB,是一个存取并查询JSON文档的NoSQL数据,NoSQL是结构化数据,但是是非关系型数据库,两者不一样。JSON就是能够支持更结构化
REST API指向一个端口,端口里面包括container,里面有不同种类的blob类型,blob里面又有一个个个体文件。每一个图片或者视频必须要归属于一个container里面。
block blob
- 上传时一个block blob必须小于64MB,大于64MB的blob必须以好几个block blob的数据上传。
- 每个block会有个顺序ID,1.2.3.4…
page blob
- Page blob在创建的时候就要确定最大的size,支持的最大的size是8TB.
Append Blob
append blob是专门用来添加操作的,添加在数据尾端,不支持block的删除和更新,没有ID,每个block最多4MB,最多有五万个blcoks,
Blob命名规则
Hot Cool & archive 存储级别tier
Blob存储有三种存储级别,热、冷、存档
热存储:用于频繁访问的数据
冷存储:用于长期存储且不怎么经常访问的数据,但是存储至少得30天
归档存储:用于更长期存储,几乎不咋访问的数据存储,且数据存储至少180天(半年),而且可选择延迟。可用general purpose v2,只能用于blob storage
收费:四种操作要收费:数据存储要收费,数据读取要收费,数据转移要收费,存储账户级别要收费。
举个例子:热存储就是存储贵,但是读取便宜。冷存储就是存储便宜,读取贵。
归档存储:归档要存至少180天,而且取回数据至少要几个小时的延迟,要能忍。归档应用在blob级别,不能应用在container和存储账户级别。
如果一个blob处于归档级别,那么就意味着这个张图片处于不能读、不能复制、不能写、不能改的级别,处理metadata以外,元数据必须是在线且可用的。
归档的blob不能快照。
如果你想要读一个已归档的blob,那么你就要换存储账户的级别,换成冷或者热,这个过程叫rehydration(再水化),这个过程要花15个小时,而要要钱。
归档存储级别的应用场景
- 用于长期备份数据,本分副件,归档数据集
- 用于保存原始数据
- 存一些安全监控的数据,比如监控录像、医院的X光照片
软删除
当你误删或误改之后,软删除可以允许你回复原始数据。
就是数据删除之后,是出于一个软删除转换状态,而不是永久性删除。
当开启软删除之后,软删除快照是存储再写入的数据之前的状态(不然咋恢复)
目前,你可以取回1-365天内的软删除数据。
是按照未删除blob写入操作量来收费的,而不是基于自动生成快照收费
Table 存储
Table存储是用来在云上存储大量的非结构数据。
table存储包括以上所示的成分:
URL format
存储账户:要有一个账户
table:entity的集合
entity:一个实体里面有属性,最多1MB(大类)
property:属性是一个name-value对儿,每个实体最多有252个属性值(
小类)
Entity Property
一个entity最多252个属性,每个entit最多1MB
没咋看
表格里面的数据格式没有要求!!!啥样都行!!!
Queue
HTTP/HTTPS发送数据的存储格式,一个queue message最多64KB,一个queue可以有百万个message,可支持异步发送消息,无论在云上、台式机、本地服务器或者移动设备端。
Queue格式
URL
Storage account
Queue:包括一系列的消息,所有的消息必须属于queue里面,名称必须小写
message:最多64KB,一个消息最多可以存7天
Disk
有两种:
unmanaged disk:用VHD格式存储与VM相关的数据,这是最初的存储模式,需要你自己管理存储账户。
managed disk:用VHD格式存储与VM相关的数据,这是新的存储模式,存储账户有微软托管。
啥是managed disk
管理员不能访问managed disk storage account
注意:managed disk不能替代其他存储账户,比如blob、table、queue
托管磁盘有三种级别:
premium-SSD:8、16、32TB,IOPS 20000,900MBps吞吐
standard-SSD:8、16、32TB,IOPS 6000,570MBps吞吐
standard-HDD:8、16、32TB,IOPS 2000,500MBps吞吐
托管磁盘镜像&快照
镜像:可以把一个正在跑着的VM做一个镜像
托管快照:是托管磁盘的read-only副本。
Azure backup service:托管磁盘可用来备份。
收费模式:SSD贵,HDD便宜,磁盘大小,32T贵,8T便宜,转移次数,出站数据(入站免费),托管磁盘快照要钱。
Azure file
SMB协议的共享文件夹。
share access - 无缝替代本地共享文件
fully managed - 不需要管理硬件或者操作系统
scripting and tooling:可以用powershell CLI管理
resiliency -
familiar programmability -
Azure file sync
用来同步文件夹里面的内容
前提要求:file sync存储账户必须要在同一个区域,至少要有一个windows 服务器支持file sync, 用$PSVersionTable.PSVersion安装在每台需要sync的server上。
Azure file sync 过程
同步文件里的改动会实时上传到Azure files
在cloud endpoint的文件改动会用change detection来每24小时检测并复制一次,如果文件太大,会改动检测会超过24小时。数据的复制用HTTPS或者ExpressRoute
Azure存储账户
有三种存储账户:general purpose v1/v2,Blob
v1存储账户你可以选 blob、table、queue、files
Azure 虚机磁盘可以在一个存储账户下有两个性能级别:standard(HDD)、premium(SSD)
v2存储账户是在v1的基础上+可选冷热存储界别(一般默认选v2)
blob storage account:专门用来存储非结构的数据,只能支持block和append,不支持page
standard存储账户
每个存储账户最多500TB
每个地区最多200个存储账户
每个存储账户最多20000IOPS
默认加密
premium存储账户
只支持 locally redundant storage(LRS)
只支持Page blob
Azure data box
Data box让你可以在Azure上传输TB级别的数据,快、便宜、可靠
用于急得线下传输
根据数据量可选data box disk,data box,data box heavy,用物理线传输
存储复制
Azure的存储为了保证高可用性,总在复制,可以单区域复制也可以跨区域复制
存储复制术语
存储节点-是一个磁盘阵列
扩展单位-存储扩展单位是很多存储节点机架的集合
错误域FD-一起嗝屁的一个单位
升级域UD-一起升级的一个单位
存储复制的类型4种
- Locally redundant storage(同一个数据中心)
以scale unit为单位在一个区域内的同一个数据中心内复制三次
只有三个副本都写入成功之后,写请求才会返回成功值 - Zone redundant storage(同一个region不同数据中心)
在一个区域的不同数据中心复制三次 - Geo redundant Storage(在不同的区域进行复制)
在主区域复制三次,然后异步同步到第二个区域,然后又复制三次 - Read-access geo redundant storage(第二个区域是只读)
第二个区域只读,主区域和第二区域的access key 一样
存储安全
- Azure存储有简单的安全服务:HTTPS endpoint,一些优先级操作需要数字签名
- 512bit的对称加密
- shared access signature细颗粒度的安全级别
- 存储账户没有进行用户身份验证
Shared Access Signatures SAS(这个就是一个更安全赋予存储账户访问权限的方法,用SAS去访问,而不是用shared access key,key很关键,对安全至关重要,但是signature不重要)
- 细颗粒度访问权限
- 用URL和storage key访问
- 可以撤回访问权限:通过使用短期有效的权限,然后再重发访问权限。而且container 级别的policy可以删除
- 两种方法:ad hoc & policy-based
Ad hoc Signature
生成短期有效的SAS shared access signature
AccesPolicy Start, Expire, Permission
用URL+signature进行访问
Policy-Based Signature
生成container level的policy
AccesPolicy Start, Expire, Permission
在Azure上生成policy
用SAS+URL进行资源访问
policy可撤回,可删除
Azure Disk Encryption
可以用bitlocker去加密VM OS, data disk
集成Azure Key Vault来存储管理磁盘加密密钥和secret
确保所有的虚机磁盘都加密
Storage Service Encryption
在把数据永久地存在Azure 存储里面之前自动进行加密,然后取出的时候解密
所有的存储账户都要用storage service encryption
用256bit AES加密 微软托管密钥
不收钱,免费的加密
Storage Service Encryption with Customer Managed Key
允许你用自己的密钥加密,但是自己的密钥也是放在Key vault里面,客户自定义密钥更灵活,你可以删除、失效、定义访问权限,然后也可以监听加密密钥,从而达到保护数据的目的。
Storage account firewall
- Azure storage 用防护墙规则来控制网路访问,从而保护存储账户的安全。
- 当启用防火墙时,只有从合法的网络访问的存储账户进行访问,才能访问资源
- 网络合法,顺利穿过防火墙以后,也还要继续授权验证的,access key或者SAS
- 需要部署额外的虚拟网络服务终端来进行防火墙的网络设置。
