實驗室 07 - 管理 Azure 儲存體

實驗室簡介

在此實驗室中,您將了解如何建立 Azure Blob 和 Azure 檔案儲存體的儲存體帳戶。 您將了解如何設定和保護 Blob 容器。 您也將了解如何使用儲存體瀏覽器來設定和保護 Azure 檔案共用。

此實驗室需要 Azure 訂閱。 您的訂用帳戶類型可能會影響此實驗室中的功能可用性。 您可以變更區域,但這些步驟是使用美國東部撰寫而成。

預估時間:50 分鐘

實驗案例

您的組織目前將資料儲存在內部部署資料存放區中。 這些檔案大多不會經常存取。 您想要將較不常存取的檔案放在較低價格的儲存層中,以將儲存成本降到最低。 您也計畫探索 Azure 儲存體提供的不同保護機制,包括網路存取、驗證、授權和複寫。 最後,您想要判斷 Azure 檔案儲存體適合裝載內部部署檔案共用的程度。

互動式實驗室模擬

您可能會發現部分互動式實驗室模擬對本主題十分有用。 模擬可讓您以自己的步調點選類似的案例。 互動式模擬與此實驗室之間有所差異,但許多核心概念都相同。 不需要 Azure 訂閱。

  • 建立 Blob 儲存體。 建立儲存體帳戶、管理 Blob 儲存體,以及監視儲存體活動。

  • 管理 Azure 儲存體。 建立儲存體帳戶並檢閱設定。 管理 Blob 儲存體容器。 設定儲存體網路。

架構圖

工作的圖表。

作業技能

  • 工作 1:建立和設定儲存體帳戶。
  • 工作 2:建立和設定安全的 Blob 儲存體。
  • 工作 3:建立和設定安全的 Azure 檔案儲存體。

工作 1:建立和設定儲存體帳戶。

在此工作中,您將建立和設定儲存體帳戶。 儲存體帳戶會使用異地備援儲存體,而且不會有公用存取。

  1. 登入 Azure 入口網站 - https://portal.azure.com

  2. 搜尋並選取 Storage accounts,然後按一下 [+ 建立]**

  3. 在 [建立儲存體帳戶]** 刀鋒視窗的 [基本]** 索引標籤上,指定下列設定 (將其他設定保留為預設值):

    設定
    訂用帳戶 您的 Azure 訂用帳戶的名稱
    資源群組 az104-rg7 (新建)
    儲存體帳戶名稱 長度介於 3 到 24 個字元之間,由字母和數字組成的任何全域唯一名稱
    區域 (美國) 美國東部
    效能 標準 (注意 [進階] 選項)
    備援 異地備援儲存體 (注意其他選項)
    在區域可以提供服務時,對資料進行讀取存取 核取方塊

    您知道嗎? 您應該針對大多數應用程式使用 [標準] 效能層級。 針對企業或高效能應用程式,請使用 [進階] 效能層級。

  4. 在 [進階]** 索引標籤上,使用資訊圖示來深入了解這些選項。 接受預設值。

  5. 在 [ 網络] 索引 標籤的 [公用網络存取 ] 區段中,選取 [ 停用]。 這將會限制輸入存取,同時允許輸出存取。

  6. 檢閱 [資料保護]** 索引標籤。注意預設虛刪除保留原則是 7 天。 請注意,您可以啟用 Blob 的版本設定。 接受預設值。

  7. 檢閱 [加密]** 索引標籤。注意其他安全性選項。 接受預設值。

  8. 選取 [ 檢閱 + 建立],等待驗證程式完成,然後按兩下 [ 建立]。

  9. 部署儲存體帳戶之後,請選取 [前往資源]**

  10. 檢閱 [概觀]** 刀鋒視窗,以及其他可變更的設定。 這些是儲存體帳戶的全域設定。 注意儲存體帳戶可用於 Blob 容器、檔案共用、佇列和資料表。

  11. 在 [安全性 + 網络功能] 刀鋒視窗中,選取 [網络]。 請注意 ,公用網路存取 已停用。

    • 選取 [管理** 公用網络存取**]。
    • [公用網络存取] 變更為 [ 啟用]。
    • 將 [ 預設] 動作 變更為 [從選取的網络啟用]。
    • 在 [IP 位址] 區段中,選取 [新增用戶端 IP 位址]。
    • 儲存您的變更。

  12. 在 [ 數據管理] 刀鋒視窗中,選取 [ 備援]。 注意主要和次要資料中心位置的相關資訊。

  13. 在 [ 數據管理] 刀鋒視窗中,選取 [生命週期管理],然後選取 [ 新增規則]。

    • 將規則命名Movetocool。 注意限制規則範圍的選項。

    • 在 [基底 Blob]** 索引標籤上,「如果」 基底 Blob 的上次修改時間超過 30 days,「則」**移至非經常性儲存層。 請注意您的其他選擇。

    • 請注意,您可以設定其他條件。 當您完成探索時,請選取 [新增]**

    移至非經常性儲存層規則條件的螢幕擷取畫面。

工作 2:建立和設定安全的 Blob 儲存體

在此工作中,您將建立 Blob 容器並上傳映像。 Blob 容器是儲存非結構化資料的目錄型結構。

建立 Blob 容器和以時間為基礎的保留原則

  1. 在 Azure 入口網站中,繼續使用您的儲存體帳戶。

  2. 在 [ 資料記憶體] 刀鋒視窗中,選取 [ 容器]。

  3. 按一下 [+ 容器]**,並使用下列設定建立**容器:

    設定
    名稱 data
    公用存取層級 注意存取層級已設定為私人

    建立容器的螢幕擷取畫面。

  4. 在您的容器上,捲動至最右邊的省略符號 (…),選取 [存取原則]**

  5. 在 [不可變的 Blob 儲存體]** 區域中,選取 [新增原則]**。

    設定
    原則類型 以時間為基礎的保留
    將保留期設為 180

  6. 選取 [儲存]。

管理 Blob 上傳

  1. 返回容器頁面,選取您的 data 容器,然後按一下 [上傳]**

  2. 在 [上傳 Blob]** 刀鋒視窗上,展開 [進階]** 區段。

    注意:找出要上傳的檔案。 這可以是任何類型的檔案,但最好是小型檔案。 您可以從 AllFiles 目錄下載範例檔案。

    設定
    瀏覽檔案 新增您已選取上傳的檔案
    選取 [進階]**  
    Blob 類型 區塊 Blob
    區塊大小 4 MiB
    存取層 經常性儲存層 (注意其他選項)
    上傳到資料夾 securitytest
    加密範圍 使用現有的預設容器範圍

  3. 按一下 [上傳] 。

  4. 確認您有新的資料夾,而且您的檔案已上傳。

  5. 選取您上傳的檔案,然後檢閱選項,包括 [下載]**、[刪除]、[變更階層]** 和 [取得租用]**

  6. 複製檔案 URL (屬性] 刀鋒視窗,並貼到新的 Inprivate 瀏覽視窗中。

  7. 您應該會看到 XML 格式的訊息,指出 ResourceNotFoundPublicAccessNotPermitted

    注意:這是預期的結果,因為您建立的容器已將公用存取層級設定為 [私人 (無匿名存取)]。

設定 Blob 儲存體的有限存取

  1. 選取您上傳的檔案,然後選取 [產生 SAS]** 索引標籤。您也可以使用最右邊的省略符號 (…)。 指定下列設定 (將其他設定保留為預設值):

    設定
    簽署金鑰 金鑰 1
    權限 讀取 (注意您的其他選項)
    開始日期 昨天的日期
    開始時間 目前時間
    到期日 明天的日期
    過期時間 目前時間
    允許的 IP 位址 保留空白

  2. 按一下 [產生 SAS 權杖與 URL]。

  3. 將 [Blob SAS URL]** 項目複製到剪貼簿。

  4. 開啟另一個 InPrivate 瀏覽器視窗,並瀏覽至您在上一個步驟中複製的 Blob SAS URL。

    注意:您應該能夠檢視檔案的內容。

工作 3:建立和設定 Azure 檔案儲存體

在此工作中,您將建立和設定 Azure 檔案共用。 您將使用儲存體瀏覽器來管理檔案共用。

建立檔案共用並上傳檔案

  1. 在 Azure 入口網站 中,流覽回記憶體帳戶,在 [數據記憶體] 刀鋒視窗中,按兩下 [檔案分享]。

  2. 按一下 [+ 檔案共用]**,然後在 [基本]** 索引標籤上,提供檔案共用名稱 share1

  3. 注意 [存取層]** 選項。 保留預設 [交易最佳化]**。

  4. 移至 [備份]** 索引標籤,並確定核取 [啟用備份]**。 我們將停用備份以簡化實驗室設定。

  5. 按一下 [檢閱 + 建立]**,然後按一下 [建立]**。 等候檔案共用部署。

    建立檔案共用頁面的螢幕擷取畫面。

探索儲存體瀏覽器並上傳檔案

  1. 返回您的儲存體帳戶,然後選取 [儲存體瀏覽器]**。 Azure 儲存體瀏覽器是入口網站工具,可讓您快速檢視帳戶下的所有儲存體服務。

  2. 選取 [檔案共用]**,並確認您的 **share1 目錄存在。

  3. 選取您的 share1 目錄,注意您可以選取 [+ 新增目錄]**。 這可讓您建立資料夾結構。

  4. 選取上傳。 瀏覽至您選擇的檔案,然後按一下 [上傳]**

    注意:您可以在儲存體瀏覽器中檢視檔案共用及管理這些共用。 目前沒有任何限制。

限制儲存體帳戶的網路存取

  1. 在入口網站中,搜尋並選取 [虛擬網路]**

  2. 選取 + 建立。 選取您的資源群組。 並提供虛擬網路名稱 vnet1

  3. 接受其他參數的預設值,選取 [檢閱 + 建立]**,然後選取 [建立]**。

  4. 等候虛擬網路部署,然後選取 [前往資源]**

  5. 在 [設定]** 區段中,選取 [服務端點]** 刀鋒視窗。
    • 選取 [新增]。
    • 在 [服務]** 下拉式清單中,選取 [Microsoft.Storage]**。
    • 在 [子網路]** 下拉式清單中,核取 [預設]** 子網路。
    • 按一下 [新增]** 以儲存您的變更。

  6. 返回您的儲存體帳戶。

  7. 在 [安全性 + 網络功能] 刀鋒視窗中,選取 [網络]。

  8. 選取 [新增現有的虛擬網络 ],然後選取 [vnet1 ] 和 [預設 子網],然後選取 [ 新增]。

  9. 在 [防火牆]** 區段中,刪除**您的電腦 IP 位址。 應該只允許來自虛擬網路的流量。

  10. 請務必儲存您的變更。

    注意: 儲存體帳戶現在只能從您剛才建立的虛擬網路存取。

  11. 選取 [儲存體瀏覽器]**,然後重新整理**頁面。 瀏覽至您的檔案共用或 Blob 內容。

    注意: 您應該會收到「沒有執行這項作業的權限」** 訊息。 您不是從虛擬網路連線。 這可能需要幾分鐘的時間才會生效。

未經授權的存取螢幕擷取畫面。

清除您的資源

如果您使用自己的訂用帳戶,請花點時間刪除實驗室資源。 如此可確保釋出資源,並將成本降到最低。 刪除實驗室資源的最簡單方式是刪除實驗室資源群組。

  • 在 Azure 入口網站中,選取資源群組,選取 [刪除資源群組]**,[輸入資源群組名稱],然後按一下 [刪除]**。
  • 使用 Azure PowerShell Remove-AzResourceGroup -Name resourceGroupName
  • 使用 CLI az group delete --name resourceGroupName

利用 Copilot 延伸學習

Copilot 可協助您了解如何使用 Azure 指令碼工具。 Copilot 也可在實驗室中未涵蓋的區域或您需要更多資訊的地方提供協助。 開啟 Edge 瀏覽器,然後選擇 [Copilot] (右上方),或瀏覽至 copilot.microsoft.com。 請花幾分鐘的時間嘗試下列提示。

  • 提供 Azure PowerShell 指令碼,以使用 Blob 容器建立儲存體帳戶。
  • 提供可用於確保 Azure 儲存體帳戶安全的檢查清單。
  • 建立資料表,以比較 Azure 儲存體備援模型。

透過自學型訓練深入了解

重要心得

恭喜您完成此實驗室。 以下是此實驗室的主要重點。

  • Azure 儲存體帳戶包含您所有的 Azure 儲存體資料物件: Blob、檔案、佇列和資料表。 儲存體帳戶會為 Azure 儲存體資料提供唯一的命名空間,可透過 HTTP 或 HTTPS 從世界各地存取該命名空間。
  • Azure 儲存體提供數個備援模型,包括本地備援儲存體 (LRS)、區域備援儲存體 (ZRS) 和異地備援儲存體 (GRS)。
  • Azure Blob 儲存體可讓您將大量的非結構化資料儲存在 Microsoft 的資料儲存體平台上。 Blob 代表二進位大型物件,其包含影像和多媒體檔案等物件。
  • Azure 檔案儲存體提供結構化資料的共用儲存體。 資料可以分組到資料夾中。
  • 不可變儲存體可讓您以寫入一次、讀取多次 (WORM) 狀態來儲存資料。 不可變儲存體原則可以是以時間為基礎的,也可以是法務保存措施。