Introdução aos discos gerenciados do Azure
Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes
Os Azure Managed Disks são volumes de armazenamento em nível de bloco que são gerenciados pelo Azure e usados com Máquinas Virtuais do Azure. Os discos gerenciados são como os discos físicos em um servidor local, mas são virtualizados. Com os discos gerenciados, tudo o que você precisa fazer é especificar o tamanho do disco, especificar o tipo de disco e provisionar o disco. Depois que você provisiona o disco, o Azure cuida do resto.
Os tipos disponíveis de discos gerenciados são discos ultra, unidades de estado sólido (SSDs) premium, SSDs padrão e unidades de disco rígido (HDDs) padrão. Para obter informações sobre cada tipo de disco, consulte Tipos de discos gerenciados do Azure.
Uma alternativa é usar o Azure Elastic SAN como o armazenamento de sua máquina virtual (VM). Com o Elastic SAN, você pode consolidar o armazenamento de todas as suas cargas de trabalho em um único back-end de armazenamento. Essa opção pode ser mais econômica se você tiver muitas cargas de trabalho de grande escala, com uso intenso de E/S, e bancos de dados de alto nível. Para saber mais, consulte O que é o Azure Elastic SAN?.
Benefícios dos discos gerenciados
Vamos explorar alguns benefícios que você obtém ao usar discos gerenciados.
Alta durabilidade e disponibilidade
Os discos gerenciados foram criados para oferecer uma disponibilidade de 99,999%. Os discos gerenciados alcançam essa disponibilidade fornecendo três réplicas de seus dados. Se uma ou até duas réplicas apresentarem problemas, as réplicas restantes ajudarão a garantir a persistência de seus dados e a alta tolerância a falhas.
Essa arquitetura tem ajudado o Azure a fornecer consistentemente alta durabilidade para discos de Infraestrutura como serviço (IaaS), com uma taxa de falha anualizada de 0%. Os discos de armazenamento com redundância local (LRS) fornecem pelo menos 99,999999999% (11 9's) de durabilidade em um ano. Os discos de armazenamento com redundância por zona (ZRS) fornecem pelo menos 99,9999999999% (12 9's) de durabilidade em um ano.
Implantação simples e escalonável de VM
Ao usar discos gerenciados, você pode criar até 50.000 discos de VM de um tipo em uma assinatura por região. Assim, é possível criar milhares de VMs em uma única assinatura.
Os discos gerenciados aumentam a escalabilidade dos conjuntos de dimensionamento de máquinas virtuais. Você pode criar até 1.000 VMs em um conjunto de dimensionamento de máquinas virtuais usando uma imagem do Azure Marketplace ou uma imagem da Galeria de Computação do Azure com discos gerenciados.
Integração com conjuntos de disponibilidade
Os discos gerenciados são integrados aos conjuntos de disponibilidade para ajudar a garantir que os discos das VMs em um conjunto de disponibilidade sejam suficientemente isolados uns dos outros para evitar um único ponto de falha.
Os discos são automaticamente colocados em unidades de escala de armazenamento diferentes (carimbos). Se um carimbo falhar devido a uma falha de hardware ou de software, somente as instâncias da VM com discos nesses carimbos falharão.
Por exemplo, digamos que você tenha um aplicativo em execução em cinco VMs, e as VMs estejam em um conjunto de disponibilidade. Os discos dessas VMs não estão todos armazenados na mesma unidade de escala. Portanto, se uma unidade de escala cair, as outras instâncias do aplicativo continuarão a ser executadas.
Integração com zonas de disponibilidade
Os discos gerenciados oferecem suporte a zonas de disponibilidade, que ajudam a proteger seus aplicativos contra falhas no datacenter.
As zonas de disponibilidade são locais físicos exclusivos em uma região do Azure. Cada zona é composta por um ou mais datacenters equipados com energia, resfriamento e rede independentes. Para garantir a resiliência, há um mínimo de três zonas separadas em todas as regiões habilitadas.
Para obter informações sobre o contrato de nível de serviço (SLA) para o tempo de atividade da VM com zonas de disponibilidade, consulte a página de SLAs do Azure.
Suporte de Backup do Azure
Para ajudar a proteger contra desastres regionais, você usa o Backup do Azure para criar um trabalho de backup com backups baseados em tempo e políticas de retenção de backup. Em seguida, você pode executar restaurações de VMs ou discos gerenciados à vontade.
Atualmente, o Backup do Azure oferece suporte a tamanhos de disco de até 32 tebibytes (TiB). Saiba mais sobre o suporte de backup da VM do Azure.
Backup de Disco do Azure
O Backup do Azure oferece o Backup de Disco do Azure como uma solução de backup nativa e baseada em nuvem que ajuda a proteger seus dados em discos gerenciados. Você pode usar essa solução para configurar a proteção para discos gerenciados em apenas algumas etapas.
O Backup de Disco do Azure fornece gerenciamento do ciclo de vida de instantâneos para discos gerenciados. Ele automatiza a criação periódica de instantâneos e os retém por uma duração configurada usando uma política de backup. Para obter mais informações, consulte Visão geral do Backup em Disco do Azure.
Controle de acesso granular
Use o RBAC (controle de acesso baseado em função) do Azure para atribuir permissões específicas em um disco gerenciado a um ou mais usuários.
Os discos gerenciados expõem uma variedade de operações, incluindo leitura, gravação (criação/atualização) e exclusão, juntamente com a recuperação de um URI de assinatura de acesso compartilhado (SAS) para o disco. Você pode conceder acesso somente apenas às operações de que uma pessoa precisa para realizar um trabalho.
Por exemplo, se você não quiser que uma pessoa copie um disco gerenciado para uma conta de armazenamento, não conceda acesso à ação de exportação para esse disco gerenciado. Da mesma forma, se você não quiser que uma pessoa use um URI de SAS para copiar um disco gerenciado, não conceda essa permissão ao disco gerenciado.
Capacidade de carregar seu VHD
Você pode usar o upload direto para transferir seu VHD para um disco gerenciado pelo Azure. Anteriormente, era necessário seguir um processo que incluía a preparação dos dados em uma conta de armazenamento. Agora, há menos etapas. É mais fácil fazer upload de VMs locais para o Azure e fazer upload de VMs para grandes discos gerenciados. O processo de backup e restauração também foi simplificado.
Você pode reduzir os custos de dados diretamente para discos gerenciados, sem anexá-los a VMs. Com o upload direto, você pode fazer upload de VHDs de até 32 TiB de tamanho.
Para saber como transferir seu VHD para o Azure, consulte o artigo da CLI do Azure ou do Azure PowerShell.
Segurança
Link privado
Você pode usar o suporte do Link Privado do Azure para discos gerenciados para importar ou exportar um disco gerenciado que seja interno à sua rede. Com o Link Privado, você pode gerar um URI de SAS com limite tempo para discos gerenciados não anexados e instantâneos. Em seguida, você pode usar esse URI de SAS para exportar os dados para outras regiões para expansão regional, recuperação de desastres e análise forense. Use também o URI de SAS para carregar diretamente o VHD em um disco vazio local.
O Link Privado pode ajudá-lo a restringir a exportação e a importação de discos gerenciados para que isso ocorra somente dentro da sua rede virtual do Azure. O uso do Link Privado ajuda a garantir que seus dados trafeguem somente dentro da rede de backbone segura da Microsoft.
Para saber como habilitar o Link Privado para importar ou exportar um disco gerenciado, consulte o artigo da CLI do Azure ou do Portal do Azure.
Criptografia
Os discos gerenciados oferecem dois tipos de criptografia. O primeiro é a criptografia do lado do servidor, que é executada pelo serviço de armazenamento. O segundo é o Azure Disk Encryption, que você pode habilitar no sistema operacional e nos discos de dados das suas VMs.
Criptografia no servidor
A criptografia do lado do servidor fornece criptografia em repouso e ajuda a proteger seus dados para atender aos compromissos de segurança e conformidade da sua organização. A criptografia no servidor está habilitada por padrão para todos os discos gerenciados, instantâneos e imagens em todas as regiões nas quais os discos gerenciados estão disponíveis.
A criptografia do lado do servidor não criptografa discos temporários, a menos que você habilite a criptografia no host. Para obter mais informações, consulte a seção Disco temporário mais adiante neste artigo.
Você tem estas opções para o gerenciamento de chaves:
- Chaves gerenciadas pela plataforma: O Azure gerencia suas chaves para você.
- Chaves gerenciadas pelo cliente: Você mesmo gerencia as chaves.
Para obter mais informações, consulte Criptografia do lado do servidor do Armazenamento em Disco do Azure.
Criptografia de Disco do Azure
Você pode usar o Azure Disk Encryption para criptografar o sistema operacional e os discos de dados que uma máquina virtual IaaS usa. Essa criptografia inclui discos gerenciados.
Nas VMs do Windows, as unidades são criptografadas por meio da tecnologia de criptografia BitLocker, padrão do setor. Nas VMs do Linux, os discos são criptografados por meio da tecnologia DM-Crypt. O processo de criptografia é integrado ao Azure Key Vault para que você possa controlar e gerenciar as chaves de criptografia de disco. Para obter mais informações, confira Azure Disk Encryption para VMs do Linux ou Azure Disk Encryption para VMs do Windows.
Funções do disco
Há três funções principais de disco no Azure: o disco do SO, o disco de dados e o disco temporário. Essas funções são mapeadas para discos anexados à sua máquina virtual.
Disco do SO
Cada máquina virtual tem um disco de SO anexado. Esse disco tem um sistema operacional pré-instalado, que foi selecionado quando a VM foi criada. Esse disco contém o volume de inicialização.
Em geral, você deve armazenar apenas as informações do sistema operacional no disco do sistema operacional. Você deve armazenar todos os aplicativos e dados nos discos de dados. Mas se o custo for uma preocupação, você poderá usar o disco do SO em vez de criar um disco de dados.
O disco do SO tem uma capacidade máxima de 4.095 gibibytes (GiB). No entanto, muitos sistemas operacionais são particionados com um registro mestre de inicialização (MBR) por padrão. Um MBR limita o tamanho utilizável a 2 TiB. Se você precisar de mais de 2 TiB, crie e anexe discos de dados e use-os para o armazenamento de dados. Se você precisar armazenar dados no disco do SO e precisar de espaço adicional, converta-o em uma tabela de partição GUID (GPT). Para saber mais sobre as diferenças entre um MBR e uma GPT em implantações do Windows, consulte Perguntas frequentes (FAQ) sobre Windows e GPT.
Nas VMs do Azure do Windows, a unidade C é o disco do SO e é o armazenamento persistente, a menos que você esteja usando discos de SO efêmeros.
Disco de dados
Um disco de dados é um disco gerenciado que é anexado a uma máquina virtual para armazenar dados de aplicativos ou outros dados que você precisa manter. Discos de dados são registrados como unidades SCSI e rotulados com a letra que você escolher. O tamanho da máquina virtual determina quantos discos de dados você pode anexar a ela e o tipo de armazenamento que pode ser usado para hospedar os discos.
Em geral, você deve usar o disco de dados para armazenar seus aplicativos e dados, em vez de armazená-los nos discos do SO. O uso de discos de dados para armazenar aplicativos e dados oferece os seguintes benefícios em relação ao uso de discos do SO:
- Melhor backup e recuperação de desastres
- Mais flexibilidade e escalabilidade
- Isolamento de desempenho
- Manutenção facilitada
- Segurança e controle de acesso aprimorados
Para obter mais informações sobre esses benefícios, consulte Por que devo usar o disco de dados para armazenar aplicativos e dados em vez do disco do SO?.
Disco temporário
Cada VM contém um disco temporário, que não é um disco gerenciado. O disco temporário fornece armazenamento de curto prazo para aplicativos e processos. Destina-se a armazenar somente dados, como arquivos de páginas, arquivos de troca ou arquivos tempdb do SQL Server.
Os dados no disco temporário podem ser perdidos durante um evento de manutenção, quando você reimplanta uma VM ou quando você interrompe a VM. Durante uma reinicialização padrão bem-sucedida da VM, os dados no disco temporário persistem. Para obter mais informações sobre VMs sem discos temporários, veja Tamanhos de VM do Azure sem disco temporário local.
Nas VMs do Azure Linux, o disco temporário normalmente é /dev/sdb. Nas VMs do Windows, o disco temporário é a unidade D por padrão. O disco temporário não é criptografado, a menos que:
- Para a criptografia no lado do servidor, você habilita a criptografia no host.
- Para o Azure Disk Encryption, você define o parâmetro
VolumeTypecomo Todos no Windows ou EncryptFormatAll no Linux.
Instantâneos de disco gerenciado
Um instantâneo de disco gerenciado é uma cópia completa de uma cópia completa de um disco gerenciado, somente leitura e consistente com falhas, que é armazenada como um disco gerenciado padrão por padrão. Com os instantâneos, você pode fazer backup de seus discos gerenciados a qualquer momento. Esses instantâneos existem independentemente do disco de origem e você pode usá-los para criar novos discos gerenciados.
Os instantâneos são cobrados com base no tamanho utilizado. Por exemplo, se você criar um instantâneo de um disco gerenciado com capacidade provisionada de 64 GiB e um tamanho real de dados usados de 10 GiB, esse instantâneo será cobrado somente pelo tamanho de dados usados de 10 GiB. Você pode ver o tamanho usado de seus instantâneos verificando o Relatório de uso do Azure. Por exemplo, se o tamanho dos dados de um snapshot usado for 10 GiB, o relatório de uso diário mostrará 10 GiB/(31 dias) = 0,3226 como a quantidade consumida.
Para saber mais sobre como criar instantâneos para discos gerenciados, consulte Criar um instantâneo de um disco rígido virtual.
Imagens
Os discos gerenciados dão suporte à criação de imagens personalizadas gerenciadas. Você pode criar uma imagem a partir do seu VHD personalizado em uma conta de armazenamento ou diretamente de uma VM generalizada (via Sysprep). A imagem contém todos os discos gerenciados associados a uma VM, inclusive o SO e os discos de dados. Uma imagem personalizada gerenciada permite a criação de centenas de VMs sem a necessidade de copiar ou gerenciar nenhuma conta de armazenamento.
Para obter informações sobre a criação de imagens, consulte Criar uma imagem gerenciada herdada de uma VM generalizada no Azure.
Imagens versus instantâneos
É importante compreender a diferença entre imagens e instantâneos. Com discos gerenciados, você pode tirar uma imagem de uma VM generalizada que você desalocou. Essa imagem inclui todos os discos anexados à VM. Você pode usar essa imagem para criar uma VM.
Um instantâneo é uma cópia de um disco em um ponto no tempo. Ele só se aplica a um disco. Se você tiver uma VM que tem um disco (o disco do SO), será possível capturar um instantâneo ou uma imagem dele e criar uma VM com base no instantâneo ou na imagem.
Um instantâneo não tem reconhecimento de nenhum disco, exceto aquele que ele contém. O uso de instantâneos em cenários que exigem a coordenação de vários discos, como a técnica de distribuição, é problemático. Os instantâneos precisariam ser capazes de coordenar uns com os outros, o que atualmente não é suportado.
Desempenho e alocação de disco
O diagrama a seguir mostra a alocação em tempo real de largura de banda e operações de E/S por segundo (IOPS) para discos, com três caminhos que a E/S pode seguir.
O primeiro caminho de E/S é o caminho do disco gerenciado sem cache. Uma operação de E/S usa esse caminho se você estiver usando um disco gerenciado e definir o cache do host como none. Uma operação de E/S que usa esse caminho será executada com base no provisionamento em nível de disco e, em seguida, no provisionamento em nível de rede da VM para IOPS e taxa de transferência.
O segundo caminho de E/S é o caminho do disco gerenciado em cache. A E/S de disco gerenciado em cache usa um SSD que está próximo à VM. Essa SSD tem sua própria IOPS e taxa de transferência provisionadas e aparece como "provisionamento em nível de SSD" no diagrama.
Quando um disco gerenciado em cache inicia uma leitura, a solicitação verifica primeiro se os dados estão no SSD do servidor. Se os dados não estiverem presentes, isso criará uma falha no cache. A E/S é executada com base no provisionamento em nível de SSD, no provisionamento do disco e, em seguida, no provisionamento em nível de rede da VM para IOPS e taxa de transferência.
Quando o SSD do servidor inicia leituras em E/S armazenadas em cache que estão presentes no SSD do servidor, ele cria uma ocorrência no cache. Em seguida, a E/S é executada com base no provisionamento em nível de SSD. As gravações iniciadas por um disco gerenciado em cache sempre seguem o caminho de uma falha em cache. Elas precisam passar pelo provisionamento em nível de SSD, de disco e de rede de VMs.
O terceiro caminho é para o disco Local/Temporário. Ele está disponível somente em VMs que dão suporte a discos Locais/Temporários. Uma operação de E/S que usa esse caminho será executada com base no provisionamento em nível de SSD para IOPS e taxa de transferência.
O diagrama a seguir mostra um exemplo dessas limitações. O sistema impede que uma VM Standard_D2s_v3 atinja o potencial de 5.000 IOPS de um disco P30, esteja ele em cache ou não, devido aos limites nos níveis de SSD e de rede.
O Azure usa um canal de rede priorizado para o tráfego de disco. O tráfego de disco tem precedência sobre o tráfego de rede de baixa prioridade. Essa priorização ajuda os discos a manter o desempenho esperado em caso de contenções de rede.
Da mesma forma, o Armazenamento do Azure lida com contenções de recursos e com outros problemas em segundo plano com balanceamento de carga automático. O Armazenamento do Microsoft Azure aloca os recursos necessários quando você cria um disco e aplica o balanceamento proativo e reativo de recursos para lidar com o nível de tráfego. Esse comportamento garante ainda que os discos possam sustentar suas metas esperadas de IOPS e taxa de transferência. Você pode usar as métricas em nível de VM e de disco para acompanhar o desempenho e configurar alertas conforme necessário.
Para conhecer as melhores práticas para otimizar as configurações de VM e disco de modo que você possa alcançar o desempenho desejado, consulte Design para alto desempenho.
Conteúdo relacionado
- Se você quiser assistir um vídeo que fornece mais detalhes sobre discos gerenciados, consulte Melhor resiliência de VM do Azure com Managed Disks.
- Para saber mais sobre os tipos de disco individuais que o Azure oferece, qual tipo é adequado para suas necessidades e suas metas de desempenho, consulte Selecionar um tipo de disco para VMs IaaS.