Introduction aux disques managés Azure

S’applique aux : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows ✔️ Groupes identiques flexibles ✔️ Groupes identiques uniformes

Les disques managés Azure sont des volumes de stockage de niveau bloc qui sont gérés par Azure et utilisés avec des machines virtuelles Azure. Les disques managés sont comme les disques physiques sur un serveur local, mais ils sont virtualisés. Avec les disques managés, il vous suffit de spécifier la taille de disque, de spécifier le type de disque et d’approvisionner le disque. Une fois que vous avez approvisionné le disque, Azure s’occupe du reste.

Les types de disques managés disponibles sont les disques Ultra, les disques SSD premium, les disques SSD standard et les disques durs (HDD). Pour plus d’informations sur chaque type de disque, consultez Types de disques managés Azure.

Une alternative consiste à utiliser Azure Elastic SAN comme stockage pour votre machine virtuelle. Avec Elastic SAN, vous pouvez consolider le stockage de toutes vos charges de travail dans un seul back-end de stockage. Ce choix peut être plus rentable si vous avez de nombreuses bases de données de niveau supérieur et charges de travail gourmandes en E/S à grande échelle. Pour en savoir plus, consultez Qu’est-ce qu’Azure Elastic SAN ?.

Avantages des disques managés

Explorons quelques-uns des avantages procurés par l’utilisation de disques managés.

Durabilité élevée et haute disponibilité

Les disques managés sont conçus pour offrir une disponibilité de 99,999 %. Les disques managés offrent cette disponibilité en fournissant trois réplicas de vos données. Si un ou même deux de vos réplicas rencontrent des problèmes, les autres réplicas peuvent assurer la persistance de vos données et offrir une grande tolérance face aux pannes.

Cette architecture a permis à Azure de fournir de façon cohérente une durabilité élevée pour les disques IaaS (infrastructure as a service), avec un taux de défaillance annuel de 0 %. Les disques de stockage localement redondant (LRS) fournissent au moins 99,999999999 % (11 9) de durabilité sur une année. Les disques de stockage redondant interzone (ZRS) fournissent au moins 99,9999999999 % (12 9) de durabilité sur une année.

Déploiement de machines virtuelles simple et évolutif

En utilisant des disques managés, vous pouvez créer jusqu’à 50 000 disques de machine virtuelle d’un type dans un abonnement par région. Vous pouvez ensuite créer des milliers de machines virtuelles dans un même abonnement.

Les disques managés augmentent la scalabilité des groupes de machines virtuelles identiques. Vous pouvez créer jusqu’à 1000 machines virtuelles dans un groupe de machines virtuelles identiques à l’aide d’une image de la Place de marché Azure ou d’une image Azure Compute Gallery avec des disques managés.

Intégration avec des groupes à haute disponibilité

Les disques managés sont intégrés aux groupes à haute disponibilité afin d’aider à garantir que les disques des machines virtuelles d’un groupe à haute disponibilité sont suffisamment isolés les uns des autres pour éviter un point de défaillance unique.

Les disques sont automatiquement placés dans différentes unités d’échelle de stockage (horodatages). Si un horodatage est mis en échec en raison d’une défaillance matérielle ou logicielle, seules les instances de machine virtuelle possédant des disques sur ces horodatages sont mises en échec.

Par exemple, supposez que l’une de vos applications s’exécute sur cinq machines virtuelles hébergées dans un groupe à haute disponibilité. Les disques de ces machines virtuelles ne sont pas tous stockés dans la même unité d’échelle. Par conséquent, si une unité d’échelle tombe en panne, les autres instances de l’application continuent à s’exécuter.

Intégration aux zones de disponibilité

Les disques managés prennent en charge les zones de disponibilité, qui aident à protéger vos applications contre les pannes du centre de données.

Les Zones de disponibilité sont des emplacements physiques uniques au sein d’une région Azure. Chaque zone est composée d’un ou de plusieurs centres de données équipés d’une alimentation, d’un système de refroidissement et d’un réseau indépendants. Pour garantir la résilience, un minimum de trois zones distinctes sont activées dans toutes les régions.

Pour plus d’informations sur le contrat de niveau de service (SLA) en matière de durée de bon fonctionnement des machines virtuelles avec les zones de disponibilité, consultez la page relative aux contrats SLA Azure.

Support Sauvegarde Azure

Pour vous protéger contre les sinistres régionaux, vous utilisez Sauvegarde Azure afin de créer un travail de sauvegarde avec des sauvegardes périodiques et des stratégies de rétention de sauvegarde. Vous pouvez ensuite effectuer des restaurations de machines virtuelles ou de disques managés à votre convenance.

Actuellement, le service Sauvegarde Azure prend en charge les tailles de disque allant jusqu’à 32 tébioctets (Tio). Apprenez-en davantage sur la prise en charge de la sauvegarde des machines virtuelles Azure.

Sauvegarde des disques Azure

Sauvegarde Azure propose Sauvegarde des disques Azure en guise de solution de sauvegarde informatique native qui aide à protéger vos données stockées sur des disques managés. Vous pouvez utiliser cette solution afin de configurer la protection pour les disques managés en quelques étapes seulement.

Sauvegarde de disque Azure fournit une gestion du cycle de vie des captures instantanées pour les disques managés. Il automatise la création périodique de captures instantanées, et les conserve pendant une durée configurée au moyen d’une stratégie de sauvegarde. Pour plus d’informations, consultez Vue d’ensemble de la sauvegarde des disques Azure.

Contrôle d’accès granulaire

Vous pouvez utiliser le contrôle d’accès en fonction du rôle Azure (Azure RBAC) afin d’affecter à un ou plusieurs utilisateurs des autorisations spécifiques d’accès à un disque managé.

Les disques managés exposent différentes opérations, notamment la lecture, l’écriture (création/mise à jour) et la suppression, ainsi que la récupération d’un URI de signature d’accès partagé (SAP) pour le disque. N’accordez l’accès qu’aux opérations dont une personne a besoin pour exécuter un travail.

Par exemple, si vous voulez empêcher un utilisateur de copier un disque managé sur un compte de stockage, ne lui accordez pas l’accès à l’action d’exportation pour ce disque managé. De la même manière, si vous voulez empêcher un utilisateur d’employer un URI de signature d’accès partagé pour copier un disque managé, n’accordez pas cette autorisation d’accès au disque managé.

Capacité à charger votre VHD

Vous pouvez utiliser le chargement direct pour transférer votre VHD vers un disque managé Azure. Jusqu’à présent, vous deviez suivre un processus qui impliquait le placement temporaire de vos données dans un compte de stockage. Il y a désormais moins d’étapes. Il est plus facile de charger des machines virtuelles locales sur Azure et de charger des machines virtuelles sur des disques managés volumineux. Le processus de sauvegarde et de restauration est également simplifié.

Vous pouvez réduire les coûts en chargeant directement les données sur des disques managés, sans les attacher à des machines virtuelles. Avec le chargement direct, vous pouvez charger des VHD d’une taille maximale de 32 Tio.

Pour découvrir comment transférer votre VHD sur Azure, consultez l’article relatif à Azure CLI ou Azure PowerShell.

Sécurité

Vous pouvez utiliser la prise en charge des disques managés d’Azure Private Link pour importer ou exporter un disque managé interne dans votre réseau. Avec Private Link, vous pouvez générer un URI SAP limité dans le temps pour les disques managés et les captures instantanées non attachées. Vous pouvez ensuite utiliser cet URI SAP pour exporter les données vers d’autres régions à des fins d’expansion régionale, de récupération d’urgence et d’analyse d’investigation. Vous pouvez également utiliser l’URI SAS pour charger directement un disque dur virtuel sur un disque vide à partir de l’environnement local.

Private Link peut vous aider à limiter l’exportation et l’importation des disques managés afin qu’elles aient lieu uniquement au sein de votre réseau virtuel Azure. L’utilisation de Private Link permet de s’assurer que vos données ne transitent qu’au sein du réseau principal sécurisé de Microsoft.

Pour découvrir comment activer Private Link pour l’importation ou l’exportation d’un disque managé, consultez l’article relatif à Azure CLI ou au portail Azure.

Chiffrement

Les disques managés offrent deux types de chiffrement. Le premier est le chiffrement côté serveur, que le service de stockage effectue. Le second est le chiffrement Azure Disk Encryption, que vous pouvez activer sur les disques de système d’exploitation et de données pour vos machines virtuelles.

Chiffrement côté serveur

Le chiffrement côté serveur assure le chiffrement au repos et aide à protéger vos données afin d’assurer le respect des engagements de votre organisation en matière de sécurité et de conformité. Le chiffrement côté serveur est activé par défaut pour l’ensemble des disques managés, captures instantanées et images dans toutes les régions où des disques managés sont disponibles.

Le chiffrement côté serveur ne chiffre pas les disques temporaires, sauf si vous activez le chiffrement sur l’hôte. Pour plus d’informations, consultez la section Disque temporaire plus loin dans cet article.

Vous disposez de ces options pour la gestion des clés :

  • Clés gérées par la plateforme : Azure gère vos clés pour vous.
  • Clés gérées par le client : vous gérez vous-même les clés.

Pour plus d’informations, consultez Chiffrement côté serveur du Stockage sur disque Azure.

Azure Disk Encryption

Vous pouvez utiliser Azure Disk Encryption pour chiffrer les disques de données et de système d’exploitation utilisés par une machine virtuelle IaaS. Ce chiffrement comprend les disques managés.

Sur les machines virtuelles Windows, les disques sont chiffrés par le biais de la technologie de chiffrement BitLocker standard. Sur les machines virtuelles Linux, les disques sont chiffrés par le biais de la technologie DM-Crypt. Le processus de chiffrement est intégré à Azure Key Vault, ce qui vous permet de contrôler et de gérer les clés de chiffrement de disque. Pour plus d'informations, consultez Azure Disk Encryption pour les machines virtuelles Linux, ou Azure Disk Encryption pour les machines virtuelles Windows.

Rôles de disque

Il existe trois rôles de disque principaux dans Azure : le disque de système d’exploitation, le disque de données et le disque temporaire. Ces rôles sont mappés à des disques qui sont attachés à votre machine virtuelle.

Diagramme illustrant les rôles de disque en action.

Disque de système d’exploitation

À chaque machine virtuelle est attaché un disque de système d’exploitation. Sur ce disque est préinstallé un système d’exploitation qui a été sélectionnée lors de la création de la machine virtuelle. Ce disque contient le volume de démarrage.

En règle générale, vous devez stocker uniquement vos informations de système d’exploitation sur le disque du système d’exploitation. Vous devez stocker toutes les applications et données sur les disques de données. Toutefois, si le coût est une source de préoccupation, vous pouvez utiliser le disque de système d’exploitation au lieu de créer un disque de données.

Le disque de système d’exploitation a une capacité maximale de 4 095 gibioctets (Gio). Cependant, de nombreux systèmes d’exploitation sont partitionnés avec des enregistrements de démarrage principaux (MBR) par défaut. Un MBR limite la taille utilisable à 2 Tio. Si vous avez besoin de plus de 2 Tio, créez et attachez des disques de données et utilisez-les pour le stockage des données. Si vous devez stocker des données sur le disque du système d’exploitation et que vous avez besoin d’espace supplémentaire, convertissez-les en table de partition GUID (GPT). Pour en savoir plus sur les différences entre un MBR et une GPT sur les déploiements Windows, consultez la FAQ sur Windows et GPT.

Sur les machines virtuelles Windows Azure, le lecteur C est votre disque de système d’exploitation, et il correspond à un stockage persistant, sauf si vous utilisez des disques de système d’exploitation éphémères.

Disque de données

Un disque de données est un disque managé attaché à une machine virtuelle pour stocker des données d’application ou d’autres données que vous devez conserver. Les disques de données sont enregistrés en tant que disques SCSI et sont nommés avec la lettre de votre choix. La taille de la machine virtuelle détermine le nombre de disques de données que vous pouvez attacher et le type de stockage que vous pouvez utiliser pour héberger les disques.

En règle générale, vous devez stocker vos applications et vos données sur le disque de données, et non sur des disques de système d’exploitation. Le stockage des applications et des données sur des disques de données plutôt que sur des disques de système d’exploitation offre les avantages suivants :

  • Amélioration de la sauvegarde et de la récupération d’urgence
  • Augmentation de la flexibilité et de la scalabilité
  • Isolation des performances
  • Maintenance plus simple
  • Amélioration de la sécurité et du contrôle d’accès

Pour plus d’informations sur ces avantages, consultez Pourquoi utiliser le disque de données pour stocker les applications et les données plutôt que le disque de système d’exploitation ?.

Disque temporaire

La plupart des machines virtuelles contiennent un disque temporaire qui n’est pas un disque managé. Le disque temporaire fournit un stockage à court terme pour les applications et les processus. Il est destiné à stocker uniquement des données telles que des fichiers de pagination, des fichiers d’échange ou des fichiers tempdb SQL Server.

Les données présentes sur le disque temporaire peuvent être perdues lors d’un événement de maintenance, quand vous redéployez une machine virtuelle ou quand vous arrêtez la machine virtuelle. Lors d’un redémarrage standard réussi de la machine virtuelle, les données présentes sur le disque temporaire sont conservées. Pour plus d’informations sur les machines virtuelles sans disques temporaires, consultez Tailles de machine virtuelle Azure sans disque temporaire local.

Sur les machines virtuelles Linux Azure, le disque temporaire est généralement /dev/sdb. Sur les machines virtuelles Windows, le disque temporaire est par défaut le lecteur D. Le disque temporaire n’est pas chiffré, sauf si :

  • Pour le chiffrement côté serveur, vous activez le chiffrement sur l’hôte.
  • Pour Azure Disk Encryption, vous définissez le paramètre VolumeType sur All sur Windows ou EncryptFormatAll sur Linux.

Captures instantanées de disque managé

La capture instantanée d’un disque managé est une copie en lecture seule et cohérente en cas d’incident d’un disque managé, qui est stockée comme disque managé standard par défaut. Avec des captures instantanées, vous pouvez sauvegarder vos disques managés à tout moment dans le temps. Ces captures instantanées existent indépendamment du disque source, et vous pouvez les utiliser pour créer des disques managés.

Les instantanés sont facturés en fonction de la taille utilisée. Par exemple, si vous créez une capture instantanée d’un disque managé avec une capacité approvisionnée de 64 Gio et une taille des données utilisées réelle de 10 Gio, cette capture instantanée est facturée uniquement pour la taille des données utilisées de 10 Gio. Vous pouvez voir la taille utilisée de vos captures instantanées en examinant le rapport d’utilisation d’Azure. Par exemple, si la taille de données utilisée d’un instantané est 10 Gio, le rapport d’utilisation quotidien affiche 10 Gio/(31 jours) = 0,3226 Gio comme quantité consommée.

Pour en savoir plus sur la création de captures instantanées pour les disques managés, consultez Créer une capture instantanée d’un disque dur virtuel.

Images

Les disques managés prennent en charge la création d’images personnalisées managées. Vous pouvez créer une image à partir de votre disque dur virtuel (VHD) personnalisé dans un compte de stockage ou directement à partir d’une machine virtuelle généralisée (par le biais de Sysprep). L’image contient tous les disques managés associés à une machine virtuelle, y compris les disques de données et les disques du système d’exploitation. Une image personnalisée managée permet de créer des centaines de machines virtuelles sans avoir à copier ou à gérer des comptes de stockage.

Pour plus d’informations sur la création d’images, consultez Créer une image managée héritée d’une machine virtuelle généralisée dans Azure.

Images et captures instantanées

Il est important de bien saisir la différence entre des images et des captures instantanées. Avec les disques managés, vous pouvez capturer une image d’une machine virtuelle généralisée que vous avez libérée. Cette image comprend l’ensemble des disques attachés à la machine virtuelle. Vous pouvez utiliser cette image pour créer une machine virtuelle.

Une capture instantanée est une copie d’un disque à un instant t. Elle s’applique uniquement à un disque. Si vous possédez une machine virtuelle qui présente un disque (le disque du système d’exploitation), vous pouvez en saisir une capture instantanée ou une image à partir desquelles vous créez une machine virtuelle.

Une capture instantanée n’a connaissance d’aucun autre disque que celui qu’elle contient. L’utilisation de captures instantanées dans des scénarios qui nécessitent la coordination de plusieurs disques, tels que l’agrégation par bandes, est problématique. Pour cela, les captures instantanées devraient être capables de se coordonner entre elles, ce qui n’est actuellement pas pris en charge.

Allocation des disques et performances

Le diagramme suivant illustre l’allocation en temps réel de bande passante et d’opérations d’E/S par seconde (IOPS) pour les disques, avec trois chemins que les E/S peuvent prendre.

Diagramme d’un système d’approvisionnement à trois niveaux présentant l’allocation de bande passante et d’IOPS.

Le premier chemin d’E/S est le chemin d’accès au disque managé non mis en cache. Une opération d’E/S utilise ce chemin si vous utilisez un disque managé et que vous définissez la mise en cache de l’hôte sur none. Une opération d’E/S qui utilise ce chemin d’accès s’exécutera en fonction de l’approvisionnement au niveau du disque, puis de l’approvisionnement au niveau du réseau de machines virtuelles pour les IOPS et le débit.

Le deuxième chemin d’E/S est le chemin d’accès au disque managé mis en cache. Les E/S de disque managé mis en cache utilisent un disque SSD proche de la machine virtuelle. Ce disque SSD a ses propres IOPS et débit approvisionnés, et il apparaît avec la mention « approvisionnement au niveau du disque SSD » dans le diagramme.

Lorsqu’un disque managé mis en cache lance une lecture, la requête vérifie d’abord si les données se trouvent dans le disque SSD du serveur. Si les données ne sont pas présentes, cela crée un échec d’accès au cache. Les E/S s’exécutent ensuite en fonction de l’approvisionnement au niveau du disque SSD, de l’approvisionnement au niveau du disque, puis de l’approvisionnement au niveau du réseau de machines virtuelles pour les IOPS et le débit.

Lorsque le disque SSD du serveur lance des lectures sur des E/S mises en cache présentes sur le disque SSD du serveur, cela crée un accès au cache. Les E/S s’exécutent ensuite en fonction de l’approvisionnement au niveau du disque SSD. Les écritures qu’un disque managé mis en cache lance suivent toujours le chemin d’un échec d’accès au cache. Elles doivent passer par l’approvisionnement au niveau du disque SSD, au niveau du disque et au niveau du réseau de machines virtuelles.

Le troisième chemin d’accès concerne le disque Local/Temp. Il est disponible uniquement sur les machines virtuelles qui prennent en charge les disques Local/Temp. Une opération d’E/S qui utilise ce chemin s’exécutera en fonction de l’approvisionnement au niveau du disque SSD pour les IOPS et le débit.

Le diagramme suivant illustre un exemple de ces limitations. Le système empêche une machine virtuelle Standard_D2s_v3 d’atteindre le potentiel de 5 000 IOPS d’un disque P30, qu’il soit mis en cache ou non, en raison des limites au niveau des disques SSD et du réseau.

Diagramme du système d’approvisionnement à trois niveaux avec un exemple d’allocation Standard_D2s_v3.

Azure utilise un canal réseau hiérarchisé pour le trafic de disque. Le trafic de disque est prioritaire par rapport au trafic réseau de faible priorité. Cette priorité aide les disques à conserver leurs performances attendues en cas de contention de réseau.

De même, Stockage Azure gère les conflits de ressources et autres problèmes en arrière-plan avec l’équilibrage de charge automatique. Stockage Azure alloue les ressources nécessaires quand vous créez un disque, et applique un équilibrage proactif et réactif des ressources pour gérer le niveau de trafic. Ce comportement permet de s’assurer que les disques peuvent supporter leurs cibles d’IOPS et de débit attendues. Vous pouvez utiliser les métriques au niveau de la machine virtuelle et du disque pour suivre les alertes de performances et de configuration en fonction des besoins.

Pour connaître les meilleures pratiques permettant d’optimiser les configurations de machines virtuelles et de disques afin d’obtenir les performances souhaitées, consultez notre article sur la conception pour des performances élevées.