微软Azure云平台技术介绍
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
微软Azure云平台技术介绍
Azure 基础服务和最佳实践—虚拟机
常规用途A 系列:基准CPU 计算能力,最高提供8 核心56G 内存以及16X500iops 的磁盘能力。适用开发测试、生成服务器、代码存储库、低流量网战和Web 应用程序、微服务、早期产品试验和小型数据库;
常规均衡D 系列:1.6 倍于A 系列VM,高CPU/ 内存比以及最多140G 内存和本地高速缓存SSD。适用于生产应用程序、需更多内存的应用程序、I/O 密集应用如高性能数据库;
计算机优化F 系列:2 倍于A 系列的CU,Inter Turbo Boost 技术、本地高速缓存SSD。适用于计算集中的服务如游戏、分析等,这也是最具性价比的虚拟机系列。
微软Azure 虚拟机提供了业界独有的高可用单实例SLA 和多种负载均衡方式,对于任何为所有磁盘使用高存储的单实例虚拟机,能保证有不少于99.9% 的时间内具有虚拟机的连接性。同时,Azure 启动计算资源提前预付计划,即EA 客户若拥有稳定并可预估的工作负载,且能够提前给出适用Azure 计算能力的承诺和计划,则可享受高折扣,这对于有意使用Azure 平台的用户来说可谓是一大利好消息!Azure 基础服务和最佳实践—网络和安全
对于用户而言,保证网络的安全性至关重,微软在这方面也做了大量的努力。Azure 平台采用了多个层次来确保用户的应用和数据安全,在Internet 流量进入Azure 虚拟网络之前,Azure 平台本身将实施两层安全性:DDoS 保护和公共IP 地址。
流量进入虚拟网络后,有许多功能将派上用场。Azure 虚拟网络是客户连接其工作负荷的基础,也是应用基本网络层安全性的所在之处。它是客户在Azure 中的专用网络(虚拟网络覆盖),并具有以下功能和特性:
流量隔离:虚拟网络是Azure 平台上的流量隔离边界。一个虚拟网络中的虚拟机(VM) 无法与不同虚拟网络中的VM 直接通信,即使这两个虚拟网络是由同一个客户所创建。隔离是一个非常关键的属性,可确保客户VM 与通信在虚拟网络中保持私密性。
多层拓扑:虚拟网络允许客户通过分配子网并为工作负荷的不同元素或“层”指定独立地址空间,来定义多层拓扑。这些逻辑分组和拓扑可让客户根据工作负荷类型来定义不同的访问策略,以及控制各层之间的流量。
跨界连接:客户可以在虚拟网络和多个本地站点或Azure 中的其他虚拟网络之间创建跨界连接。客户可以使用VNet 对等互连、Azure VPN 网关、第三方网络虚拟设备或ExpressRoute 来构造连接。Azure 支持使用标准IPsec/IKE 协议和ExpressRoute 专用连接的站点到站点(S2S) VPN。
NSG 允许客户根据所需的粒度(网络接口、单个VM 或虚拟子网)创建规则(ACL)。客户可以从客户网络上的系统,通过跨界连接或直接Internet 通信来允许或拒绝虚拟网络内的工作负荷,以控制访问。UDR 和IP 转发允许客户定义虚拟网络中不同层之间的通信路径。客户可以部署防火墙、IDS/IPS 和其他虚拟设备,并通过这些安全设备来路由网络流量,以实施安全边界策略、审核和检查。
Azure 应用商店中的网络虚拟设备:Azure 应用商店和VM 映像库中提供了防火墙、负载均衡器和IDS/IPS 等安全设备。客户可将这些设备部署到其虚拟网络,特别是安全边界(包括外围网络子网),以实现多层安全网络环境。
现场,云解决方案架构师魏衡演示了如何使用这些功能在Azure 中构造外围网络体系结构:
∙Block Blob:转为流处理优化,适合存储文件、媒体文件和备份文件
∙Append Blob:类似Block Blob,优化了追加操作
∙Page Blob:随机存取(磁盘)
表存储(Table):是给具结构化数据的应用程序存储与管理的一种存储服务,它在Windows Azure 存储区中会以Key-Value 键值对方式存储,并且由Partition 来切割在Windows Azure 存储区的存储
位置。Azure Table 的最大容量是存储账户的容量,每一行数据的最大容量为1MB,每个分区的吞吐量是2000 个实体每秒(1KB),其读取操作使用Partition Key+Row Key 效率最高。
队列存储(Queue):用于在应用程序组建之间进行云消息传送,消息大小不超过64KB 的实体对象,最长可保留7 天,拥有Peek Message 和Get Message 两种消息处理方式,目标吞吐量2000 消息每秒,存储账户限制20000 消息每秒,且消息数量和列队总大小仅受限于存储账户大小。
文件存储(File):Azure 存储服务中提供了基于(SMB 的) 文件共享方案,即基于云存储的SMB 2.1 和SMB 3.0 文件共享。每个共享(Share)最大5TB,目标吞吐量60MB/s,Azure 文件共享可以直接mount 到Azure VM 的Linux 和Windows 虚拟机上进行访问。
磁盘存储(Disk):Disk 基于页存储,单个磁盘最大能达到1TB,标准磁盘吞吐量为500IOPS*8KB,能限制存储账户中磁盘数量。
高级存储(SSD):高级存储具有大带宽、低延迟等性能,每个MV 最多达32TB 的存储容量拥有64000IOPS,每个磁盘最大5000IOPS,拥有低于1ms 的读延迟,是适用于Azure 虚拟机工作负荷的高性能存储。
设置多种保护机制为存储安全保驾护航
Azure 在存储的安全性方面也做到了一个极致,它设置了2 对512bit 的存储账户密钥,存储帐户可通过基于角色的访问控制和Azure Active Directory 实现安全保护。在应用程序和Azure 之间传输数据时,用户可使用客户端加密、HTTPS 或SMB 3.0 来保护数据。
Azure 的账户密钥、共享访问签名、容器级别访问策略、访问权限设置、客户端加密、跨源资源访问支持、以及服务端和虚拟机磁盘的加密设置,最大限度的保证用户的安全性设置,为程序的可持续性,做到无缝切换。