一,引言
Azure 存儲賬戶功能經過官方改進迭代後,在創建的時候,存儲賬戶的類型被分爲兩大類:
1)general-purpose v2 account(標準常規用途v2)
Blob 存儲,隊列存儲,表存儲,Azure File存儲
2)Premium
1,Blob 存儲:包含 塊存儲 & 追加存儲,用於事務率較高的方案
2,Azure File 存儲:僅適用於文件共享的高級存儲帳戶類型。
3,Page Blob:正如名字所示,僅用於 頁Blob 的高級存儲
接下來,就讓我們詳細的學習一下其中的差異
二,正文
1,存儲賬戶類型(所有的存儲賬戶類型都通過使用存儲服務加密服務(SSE)對靜態數據加密)
| 存儲帳戶 | 支持的服務 | 建議用途 |
|---|---|---|
| 標準常規用途v2 | Blob 存儲(包括 Data Lake Storage)、隊列存儲、表存儲和 Azure 文件存儲 | 大多數方案的標準存儲帳戶,包括 blob、文件共享、隊列、表和磁盤(頁 blob)。 |
| 高級塊blob | Blob 存儲(包括 Data Lake Storage) | 塊 blob 和追加 blob 的高級存儲帳戶。 建議用於事務速率較高的應用程序。 如果處理較小的對象或需要持續較低的存儲延遲,請使用高級塊 blob。 此存儲可根據應用程序的需求縮放。 |
| 高級文件共享 | Azure 文件 | 僅適用於文件存儲的高級存儲帳戶。 建議用於企業級應用程序或高性能級應用程序。 如果需要支持服務器消息塊 (SMB) 和 NFS 文件共享,請使用高級文件共享。 |
| 高級頁blob | 僅頁 Blob |
高級高性能存儲帳戶僅 用於頁 blob。 頁 blob 非常適合用於存儲基於索引的結構和稀疏數據結構,例如操作系統、虛擬機和數據庫的數據磁盤。 |
注意:
1,創建存儲帳戶後,該帳戶類型不能進行修改。
2,常規用途類型的 Azure File 存儲只支持服務器消息塊 SMB 類型的文件共享,如果想要在 Azure File 存儲中支持網絡文件系統 (NFS),還請選擇 高級文件共享。
3,Page Blob 只能使用 “熱”訪問層,不能使用 “冷” 或者 “存檔層”
4,將 Blob 的層從“熱”訪問層更改爲“冷”層是即時的,從 “冷” 層或 “寒” 層更改爲 ”熱“ 層也是即時的。 將 Blob 從存檔層解除凍結到聯機層(如熱層、冷層或寒層)可能需要長達 15 個小時。
2,Azure Storage Account 的安全存儲策略
1,加密:寫入 Azure 存儲的所有數據都使用 Azure 存儲加密自動加密。
2,身份驗證:Azure 存儲支持使用 Azure Active Directory (Azure AD) 和基於角色的訪問控制 (RBAC) 進行資源管理操作和數據操作。
-
- 將作用域爲 Azure 存儲帳戶的 RBAC 角色分配給安全主體,並使用 Azure AD 爲密鑰管理之類的資源管理操作授權。
- 支持通過 Azure AD 集成在 Azure Blob 存儲和 Azure 隊列存儲上執行數據操作。
3,傳輸中的數據:在應用程序和 Azure 之間傳輸數據時,可以使用客戶端加密、HTTPS 或 SMB 3.0 來保護數據。
4,磁盤加密:可以使用 Azure 磁盤加密對 Azure 虛擬機使用的操作系統磁盤和數據磁盤進行加密。
5,共享訪問簽名:共享訪問簽名 (SAS) 是一種統一資源標識符 (URI),可授予對 Azure 存儲資源的受限訪問權限。 SAS 可安全地共享存儲 資源,而不會危及帳戶密鑰。可向不該有權訪問你的存儲帳戶密鑰的客戶端提供 SAS。 通過向這些客戶端分發 SAS URI,可授予它們在 一段指定時間內訪問資源的權限。
| 授權策略 | 說明 |
|---|---|
| Azure Active Directory | Azure AD 是 Microsoft 基於雲的標識和訪問管理服務。 藉助 Azure AD,你可以使用基於角色的訪問控制向用戶、組或應用程序分配細粒度訪問權限。 |
| 共享密鑰 | 共享密鑰授權依賴於 Azure 存儲帳戶訪問密鑰和其他參數來生成加密的簽名字符串。 該字符串在授權標頭中的請求上傳遞。 |
| 共享訪問簽名 | SAS 以指定的權限在指定的時間間隔內委託對 Azure 存儲帳戶中特定資源的訪問權限。 |
| 對容器和 blob 的匿名訪問 | 可選擇在容器或 Blob 級別公開 Blob 資源。 任何用戶都可訪問公共容器或 Blob 來實現匿名讀取訪問。 針對公共容器和 blob 的讀取請求不需要授權。 |
3,Azure 存儲加密特徵
Azure Storage Account 的存儲加密主要用於靜態數據的 Azure 存儲加密可提供數據保護,確保滿足組織的安全性和合規性承諾。 加密和解密過程會自動執行。 數據默認受保護,因此無需修改代碼或應用程序。
-
在將數據永久性保存到 Azure 託管磁盤、Azure Blob 存儲、Azure 隊列存儲、Azure Cosmos DB、Azure 表存儲或 Azure 文件存儲之前,數據會自動加密。
-
檢索數據之前,會自動對其進行解密。
-
Azure 存儲加密、靜態加密、解密和密鑰管理對用戶來說都是透明的。
-
寫入 Azure 存儲的所有數據均通過 256 位高級加密標準 (AES) 加密進行加密。 AES 是可用的最強分組加密技術之一。
-
Azure 存儲加密會針對所有新的和現有的存儲帳戶啓用,並且不能禁用。
4,Azure Storage Accunt 存儲類型的選擇
| Azure 文件存儲(文件共享) | Azure Blob 存儲 (blob) | Azure 磁盤(頁 blob) |
|---|---|---|
| Azure 文件存儲提供 SMB 和 NFS 協議、客戶端庫和 REST 接口,允許從任何位置訪問存儲的文件。 | Azure Blob 存儲提供客戶端庫和 REST 接口,以便在塊 blob 中大規模存儲和訪問非結構化數據。 | Azure 磁盤類似於 Azure Blob 存儲。 Azure 磁盤提供 REST 接口,用於在頁 blob 中存儲和訪問基於索引或結構化的數據。 |
| - Azure 文件存儲共享中的文件是真正的 Directory 對象。 - 通過跨多個虛擬機的文件共享訪問 Azure 文件存儲中的數據。 |
- Azure Blob 存儲中的 blob 是平面命名空間。 - 通過容器訪問 Azure Blob 存儲中的 blob 數據。 |
- Azure 磁盤中的頁 blob 被存儲爲 512 字節頁。 - 頁 blob 數據僅限於單個虛擬機。 |
| Azure 文件存儲非常適合將應用程序直接遷移到已使用本機文件系統 API 的雲。 在 Azure 中運行的應用和其他應用程序之間共享數據。 如果要存儲需要從許多虛擬機訪問的開發和調試工具,Azure 文件存儲是一個不錯的選擇。 |
Azure Blob 存儲非常適合需要支持流式處理和隨機訪問方案的應用程序。 如果要從任意位置訪問應用程序數據,Azure Blob 存儲是一個不錯的選擇。 |
當應用程序運行頻繁的隨機讀/寫操作時,Azure 磁盤解決方案將是理想之選。 如果要在 Azure 虛擬機和數據庫中存儲操作系統和數據磁盤的關係數據,Azure 磁盤是一個不錯的選擇。 |
1)打開端口 445。 Azure 文件使用 SMB 協議。 SMB 通過 TCP 端口 445 通信。 確保端口 445 處於打開狀態。
2)啓用安全傳輸。 使用 REST API 訪問存儲帳戶的情況。 如果連接,並且啓用了所需的安全傳輸,則必須使用 HTTPS 進行連接。
Azure Blob 中的 Conatiner 下是創建文件夾
1,可以通過可視化工具 “Azure Storage Explorer ” 進行操作
2,可以通過代碼集成 SDK 進行操作
三,結尾
大家需要注意的是,Azure 存儲帳戶包含所有 Azure 存儲數據對象:Blob、文件、隊列和表。 存儲帳戶爲 Azure 存儲數據提供一個唯一的命名空間,可通過 HTTP 或 HTTPS 從世界上的任何位置訪問該數據。 Azure 存儲帳戶中的數據持久,高度可用、安全且可大規模縮放。而Azure Blob 存儲是 Microsoft 提供的適用於雲的對象存儲解決方案。 Blob 存儲最適合存儲巨量的非結構化數據。
作者:Allen
版權:轉載請在文章明顯位置註明作者及出處。如發現錯誤,歡迎批評指正。