实验室 07 - 管理 Azure 存储

实验室简介

在本实验室中,你将了解如何为 Azure blob 和 Azure 文件创建存储帐户。 了解如何配置和保护 blob 容器。 还将了解如何使用存储浏览器配置和保护 Azure 文件共享。

本实验室需要 Azure 订阅。 订阅类型可能会影响此实验室中功能的可用性。 可更改区域,但这些步骤是使用“美国东部”编写的**

预计用时:50 分钟

实验室方案

你的组织当前正在本地数据存储中存储数据。 大多数这些文件都不会被频繁访问。 你希望将不经常访问的文件放在价格较低的存储层中,以最大程度地降低存储成本。 你还计划探索 Azure 存储提供的不同保护机制,包括网络访问、身份验证、授权和复制。 最后,你需要确定 Azure 文件存储有多适合用于托管本地文件共享。

交互式实验室模拟

你可能会发现一些交互式实验室模拟对本主题很有用。 通过模拟,可按照自己的节奏点击浏览类似的场景。 交互式模拟与本实验室之间存在差异,但许多核心概念是相同的。 不需要 Azure 订阅。

  • 创建 blob 存储。 创建存储帐户、管理 blob 存储以及监视存储活动。

  • 管理 Azure 存储。 创建存储帐户并查看配置。 管理 blob 存储容器。 配置存储网络。

体系结构关系图

任务关系图。

工作技能

  • 任务 1:创建和配置存储帐户。
  • 任务 2:创建和配置安全的 blob 存储。
  • 任务 3:创建和配置安全的 Azure 文件存储。

任务 1:创建和配置存储帐户。

在此任务中,你将创建和配置存储帐户。 存储帐户将使用异地冗余存储,并且不具有公共访问权限。

  1. 登录 Azure 门户 - https://portal.azure.com

  2. 搜索并选择 Storage accounts,然后单击“+创建”**

  3. 在“创建存储帐户”边栏选项卡的“基本设置”选项卡上,指定以下设置(其他设置则保留为默认值)****:

    设置
    订阅 Azure 订阅的名称
    资源组 az104-rg7(新建)**
    存储帐户名称 由字母和数字组成、长度介于 3 到 24 个字符之间的任意全局唯一名称
    区域 (美国)美国东部
    性能 标准(注意“高级”选项)**
    冗余 异地冗余存储(注意其他选项)**
    在区域可用的情况下,提供对数据的读取访问 选中对应框

你知道吗? 应对大多数应用程序使用“标准”性能层。 对企业或高性能应用程序使用“高级”性能层。

  1. 在“高级”选项卡上,使用信息图标了解有关选项的详细信息**。 采用默认值。

  2. 在“网络”选项卡上,查看可用选项,选择“禁用公共访问并使用专用访问”****。

  3. 查看“数据保护”选项卡**。请注意,7 天是默认软删除保留策略。 请注意,可以启用 blob 版本控制。 接受默认值。

  4. 查看“加密”选项卡**。请注意其他安全选项。 接受默认值。

  5. 选择“查看”,等待验证过程完成,然后单击“创建”****。

  6. 部署存储帐户后,选择“转到资源”**

  7. 查看“概述”边栏选项卡和可更改的其他配置**。 这些是存储帐户的全局设置。 请注意,存储帐户可用于 blob 容器、文件共享、队列和表。

  8. 在“安全性 + 网络”部分中,选择“网络”****。 请注意,公共网络访问已禁用。

    • 将“公共访问级别”更改为“从选定的虚拟网络和 IP 地址启用”****。
    • 在“防火墙”部分中,选中“添加客户端 IP 地址”框****。
    • 务必保存你的更改。

  9. 在“数据管理”部分,查看“冗余”边栏选项卡****。 请注意有关主要和辅助数据中心位置的信息。

  10. 在“数据管理”部分中,选择“生命周期管理”,然后选择“添加规则”****

    • 将规则命名为 Movetocool**。 请注意用于限制规则范围的选项。

    • 在“基本 blob”选项卡上,if(如果)基本 blob 的上次修改时间早于 30 days 前,then(则)移动到冷存储****。 注意你的其他选择。

    • 请注意,可以配置其他条件。 完成浏览后,选择“添加”**

    移动到冷存储规则条件的屏幕截图。

任务 2:创建和配置安全的 blob 存储

在此任务中,你将创建 blob 容器并上传映像。 blob 容器是类似目录的结构,用于存储非结构化数据。

创建 blob 容器和基于时间的保留策略

  1. 在 Azure 门户中使用存储帐户继续操作。

  2. 在“数据存储”部分中,单击“容器”****。

  3. 单击“+ 容器”和“创建”,使用以下设置创建容器****:

    设置
    名称 data
    公共访问级别 请注意,访问级别设置为“专用”

    创建容器的屏幕截图。

  4. 在容器上,滚动到最右侧的省略号 (…),选择“访问策略”**

  5. 在“不可变 blob 存储”区域,选择“添加策略”****。

    设置 “值”
    策略类型 基于时间的保留**
    设置保留期 180

  6. 选择“保存”。

管理 blob 上传

  1. 返回到“容器”页,选择 data 容器,然后单击“上传”****。

  2. 在“上传 blob”边栏选项卡上,展开“高级”部分****。

    注意:找到要上传的文件。 这可以是任何类型的文件,但最好是小文件。 可以从 AllFiles 目录下载示例文件。

    设置 “值”
    浏览文件 添加已选择上传的文件
    选择“高级”  
    Blob 类型 块 blob
    块大小 4 MiB**
    访问层 热存储层(注意其他选项)**
    上传到文件夹 securitytest
    加密范围 使用现有的默认容器范围

  3. 单击“上载” 。

  4. 确认你有一个新文件夹,并上传了文件。

  5. 选择上传文件并查看“下载”、“删除”、“更改层级”和“获取租约”等选项******

  6. 复制文件 URL 并粘贴到新的 Inprivate 浏览窗口中****。

  7. 你应该可以看到一个 XML 格式的消息,显示“ResourceNotFound”或“PublicAccessNotPermitted”。

    注意:这很正常,因为你创建的容器将公共访问级别设置成了“专用(禁止匿名访问)”。

配置对 blob 存储的有限访问

  1. 选择已上传的文件,然后选择“生成 SAS”选项卡**。还可以使用最右边的省略号 (…)。 指定以下设置(其他设置保留默认值):

    设置
    签名密钥 密钥 1
    权限 读取(注意你的其他选择)**
    开始日期 昨天的日期
    开始时间 当前时间
    到期日期 明天的日期
    到期时间 当前时间
    允许的 IP 地址 留空

  2. 单击“生成 SAS 令牌和 URL”。

  3. 将 Blob SAS URL 条目复制到剪贴板**

  4. 打开另一个 InPrivate 浏览器窗口,导航到在上一步中复制的 Blob SAS URL。

    注意:你应该能够查看文件的内容。

任务 3:创建并配置 Azure 文件存储

在此任务中,你将创建和配置 Azure 文件存储共享。 你将使用存储浏览器来管理文件共享。

创建文件共享和上传文件

  1. 在 Azure 门户中,导航回存储帐户,在“数据存储”部分中,单击“文件共享”****。

  2. 单击“+ 文件共享”并在“基本信息”选项卡上将文件共享命名为 share1****。

  3. 请注意“访问层”选项**。 保留默认值“已优化事务”**。

  4. 移动到“备份”选项卡,确保未选中“启用备份”****。 我们正在禁用备份以简化实验室配置。

  5. 单击“查看 + 创建”,然后单击“创建”****。 等待文件共享完成部署。

    “创建文件共享”页的屏幕截图。

浏览存储浏览器并上传文件

  1. 返回到存储帐户并选择“存储浏览器”**。 Azure 存储浏览器是一种门户工具,可用于快速查看帐户下的所有存储服务。

  2. 选择“文件共享”并验证 share1 目录是否存在****。

  3. 选择 share1 目录,请注意,可以单击“+ 添加目录”****。 这样就可以创建文件夹结构。

  4. 选择“上传”。 浏览到所选的文件,然后单击“上传”**

    注意:可以在存储浏览器中查看文件共享和管理这些共享。 目前没有限制。

限制对存储帐户的网络访问

  1. 在门户中,搜索并选择“虚拟网络”。

  2. 选择“+ 新建”。 选择资源组。 并将虚拟网络命名为 vnet1**

  3. 为其他参数采用默认值,选择“查看 + 创建”**,然后选择“创建”**。

  4. 等待虚拟网络部署,然后选择“转到资源”**

  5. 在“设置”部分中,选择“服务终结点”边栏选项卡。****
    • 选择 添加
    • 在“服务”下拉列表中,选择“Microsoft.Storage”。****
    • 在“子网”下拉列表中,勾选“默认”子网。****
    • 单击“添加”以保存更改。**

  6. 返回到你的存储帐户。

  7. 在“安全 + 网络”** 部分中,选择“网络”** 边栏选项卡。

  8. 选择“添加现有虚拟网络”,然后选择“vnet1”和“默认”子网,然后选择“添加”******

  9. 在“防火墙”部分中,删除你的计算机 IP 地址****。 应该只允许来自虚拟网络的流量。

  10. 务必保存你的更改。

    注意: 现在应该只能从刚刚创建的虚拟网络访问存储帐户。

  11. 选择“存储浏览器”,然后选择“刷新”以刷新页面****。 导航到文件共享或 blob 内容。

    注意: 应收到消息“无权执行此操作”**。 你未从虚拟网络进行连接。 此操作可能需要几分钟才能生效。

访问未获授权的屏幕截图。

清理资源

如果使用自己的订阅,需要一点时间删除实验室资源**。 这将确保资源得到释放,并将成本降至最低。 删除实验室资源的最简单方法是删除实验室资源组。

  • 在 Azure 门户中,选择资源组,选择“删除资源组”,输入资源组名称,然后单击“删除”****
  • Remove-AzResourceGroup -Name resourceGroupName(使用 Azure PowerShell)。
  • az group delete --name resourceGroupName(使用 CLI)。

使用 Copilot 扩展学习

Copilot 可帮助你了解如何使用 Azure 脚本工具。 Copilot 还可以帮助了解实验室中未涵盖的领域或需要更多信息的领域。 打开 Edge 浏览器并选择“Copilot”(右上角)或导航到copilot.microsoft.com。 花几分钟时间尝试这些提示。

  • 提供一个 Azure PowerShell 脚本,以创建包含 Blob 容器的存储帐户。
  • 提供用于确保 Azure 存储帐户处于安全状态的清单。
  • 创建一个表来比较 Azure 存储冗余模型。

通过自定进度的培训了解详细信息

关键结论

恭喜你完成本实验室的内容。 下面是本实验室的主要内容。

  • Azure 存储帐户包含所有 Azure 存储数据对象:blob、文件、队列和表。 存储帐户为你的 Azure 存储数据提供了一个唯一的命名空间,可以从世界上的任何位置通过 HTTP 或 HTTPS 访问该命名空间。
  • Azure 存储提供多个冗余模型,包括本地冗余存储 (LRS)、区域冗余存储 (ZRS) 和异地冗余存储 (GRS)。
  • Azure blob 存储允许在 Microsoft 数据存储平台上存储大量非结构化数据。 Blob 是“二进制大型对象”(Binary Large Object) 的缩写,包括图像和多媒体文件等对象。
  • Azure 文件存储为结构化数据提供共享存储。 可以在文件夹中组织数据。
  • 不可变存储提供存储一次写入、多次读取 (WORM) 状态数据的功能。 不可变存储策略可以是基于时间,也可以是法定保留。