IT-infrastruktuurin modernisointi – Azure Files ja Verkkolevyt »

Verkkolevyjen modernisointi

Azure Files - jaa että mikäs?

Dodiin, sitten se ainainen riesa mistä valitetaan jatkuvasti. Eli verkkolevyt. Miten ihmeessä näitä voisi kivasti ja mukavasti saada toimimaan modernissa ympäristössä? Vain VPN-yhteydellä ja kallilla toimistoverkon kautta tehtävillä reitityksillä? Omalla palvelinraudalla lähimmässä paikallisessa datakeskuksessa ja sieltä VPN-yhteydellä? Vai julkipilvessä olevalta palvelimelta, kun se on halpaakin?

Kaikki nämä ovat hyviä toteutuksia vanhanmallisissa IT-ympäristöissä. Ne ovat kuitenkin merkittävän riskialttiita sekä kalliita toteutusratkaisuja primääriksi tiedoston tallennuslokaatioksi.

No miten sitten Azure Files tässä auttaa?

Ah, setä pääsee viimein selittämään latteuksia!

Kaikki alkaa Azuresta. Azuren pohjana ovat ns. resurssiryhmät (Resource Groups), joihin voidaan lisätä erinäisiä Azuren tarjoamia resursseja. Tässä tapauksessa tarvittava resurssi on “Storage Account” -niminen resurssi. Storage Account tarjoaa myös Blob, Table ja Queue -tallennustilaa, mutta tässä yhteydessä keskitymme vain neljänteen Storage Accountin alalajiin, eli File Storageen. Azure Files on siis Microsoftin Azuresta tarjoama verkkolevytoteutus SMB -protokollalla. Siitä on kaksi versiota, Standard ja Premium.

Introduction to Azure Files | Microsoft Docs

Azure Files - Standard

Standard -levy on merkittävästi hitaampaa, mutta siitä laskutetaan vain käytön mukaan. Käyttöön lasketaan kuitenkin mukaan verkkoliikenne ja transaktiot. Eli tässä säästäminen ei käytännössä kannata.

Standard tarjoaa kuitenkin muita etuja tässä tapauksessa. Se sopii esimerkiksi hyvin Blob -jakeluihin tai julkisiin tiedostojen hostaamiseen sen yksinkertaisen suoran https -linkkirakenteen kautta. Tätä kautta on esimerkiksi helppoa jakaa yrityksen laitteille tulostinajureita tai muita .zip -tiedostoja. Se sopii myös arkistointiin hyvin, jolloin dataa vain tallennetaan eikä sitä käytetä usein.

Suorana verkkolevyn korvaajana se ei kuitenkaan ole paras mahdollinen ratkaisu. Toimiva, mutta ei paras.

Lisätietoja Standard -levypakasta:

Planning for an Azure Files deployment | Microsoft Docs

Azure Files - Premium

Premium -levy toimii eri periaatteella kuin Standard -levyvaihtoehto. Ensinnäkin, sen käyttö pitää valita jo kun itse Storage Accountia luodaan. Standard -levyä ei voida jälkeenpäin muokata Azure Files Premium -levyksi (tällä hetkellä).

Eli jo provisioinnin vaiheessa levyt erkanevat toisistaan.

Muuten Premium -levy myös toimii ns. provisiointmallilla. Eli levy kustantaa tai kuluttaa aina sille määrätyn summan kuukaudessa sen koosta riippuen. Minimikoko Azure Files Premium -levylle on 100 GB:tä, eli pienimmän mahdollisen Premium -verkkolevyn kustannus on n. 20€/kk + Egress -kulut. Niihin on hyvä varata n. 20% verkkolevyn kustannuksista, eli todellisuudessa kuukausikulu on n. 25€/kk liikenteen kanssa.

Sama egress -liikenteen kulu tulee mukaan myös Standard -levyyn, mutta Premium -levyssä ei muuten ole erillisiä transaktioiden laskutusta.

Muuten sen tehokkuus määritellään sen koon mukaan. Eli mitä isompi levy on käytössä, niin sitä tehokkaammaksi levyn suorityskyky tulee. Eli Ingress (upload), Egress (download) ja IOPS (“tiedostojen avausnopeus”) nousevat sitä mukaa, mitä isompi itse provisioitu levy on. Alla olevassa linkissä on vielä tarkka arvio ja selonteko levyjen suorituskyvystä ja eroavaisuuksista.

Azure Files scalability and performance targets | Microsoft Docs

Mutta miksi Premium -levy sitten yleisesti sopii paremmin verkkolevyn korvikkeeksi? Yksi syy: latenssi. Standard -levyn latenssi on aina luokkaa 6-10 ms työasemalle. Suomen sisällä yleisesti verkkolevyjen nopeudet ovat luokkaa 1 ms tai alle sen, eli nopeudessa on merkittävä ero.

Azure Files Premiumin kanssa nopeus on kuitenkin kattavassa asiakastestissämme ollut luokkaa 3-4 ms, eli jo selvästi lähempänä sitä normaalia verkkolevytoteutusta. Etätyöskentelyssä ero on käytännössä minimaalinen muun verkon aiheuttaman pienen viiveen takia. Kun levykin on vielä saatavilla ilman VPN-yhteyttä tietoturvallisesti, niin verkkolevyn korvaaja on valmis.

Dataintesiivisten sovellusten kohdalla Azure Files Premium tarjoaa myös vaihtoehtoisen Azure Files Sync -toiminnallisuuden, jolla olemassa oleva palvelin voidaan vielä tarvittaessa yhdistää Azure Filesiin. Näin sekä vanha verkkolevytoteutus että uusi Azure Filesin tarjoama vaihtoehto ovat saatavilla samaan aikaan ja ne on synkronoitu. Eli toimistolla on tarjolla nopeampaa levypakkaa, ja kotitoimistolla verkkoyhteyden yli tulevaa vaihtoehtoa.

Teams ja Sharepoint

Myös Teams ja Sharepoint sites (eli Teams site) tarjoaa verkkolevyn korvikkeen.

Varsinkin pienemmissä tarpeissa (alle 300 000 synkronoitavaa tiedostoa per käyttäjä) Teams on lähtökohtaisesti paras vaihtoehto. Hyvillä rajoituksilla ja verkkolevyn jaottelulla se korvaa täysin minkä vain verkkolevyn toteutuksen sellaisenaan.

Tässä mallissa kaikki verkkolevyn data siirretään sellaisenaan Teamsin tiimiin ja sen mukana kulkevaan Sharepointin site / Document Libraryyn. Tämä kyseinen rakenne synkronoidaan sen jälkeen käyttäjän tietokoneelle automaattisesti Intunen kautta, jolloin näkymä on käytännössä identtinen vanhanmalliseen verkkolevyyn verrattuna.

Sync SharePoint and Teams files with your computer (microsoft.com)

Muuten Teamsiin ja Sharepointiin voi tunkea merkittävän määrän tiedostoja. Jos ne kaikki kuitenkin halutaan synkronoida kaikille käyttäjien laitteille ym. tavalla, niin silloin ongelmia tulee vastaan. Eli ilman tuota synkronointia ja/tai valituilla synkronoinneilla Teams on ylivoimaisesti paras vaihtoehto kaikille SMB -asiakkaille.

Sitä voidaan myös käyttää hyvin tukemaan Azure Filesin verkkolevyjä, jolloin bulkkidata voi olla Azure Files Premium -levyllä ja Teamsia käytetään yrityksen sisäiseen kollaboraatioon ja/tai muuhun datan prosessointiin. Sieltä tiedostot voidaan automatisaation kautta ajoittaa siirtymään Azure Filesin levylle tai toiselle tiimille käsittelyyn.

No mutta eihän tämä voi olla tietoturvallista, kun VPNää ei mainita!

Valitettavasti kaikki yllämainitut vaihtoehdot ovat tietoturvallisia. SSL/TLS -salaus hoitaa homman. Eli sama salaus jolla käytät pankkitunnuksiasi.

Planning for an Azure Files deployment | Microsoft Docs

Frequently asked questions (FAQ) for Azure Files | Microsoft Docs

Näiden toteutusten tarkoituksena on nimenomaan olla sekä tietoturvallisia, että moderneja. Ne eivät vaadi VPN-yhteyttä toimintaansa. Tämä poistaa yhden merkittävän pullonkaulan työskentelystä. Usein juuri verkkolevyt ovat suurin syy VPN-yhteyden tarpeelle yritysmaailmassa.

Asiakasyrityksellämme on esimerkiksi saatu Azure Filesista merkittävästi suurempia nopeuksia irti kun työntekijät ovat kotitoimistolla, kun VPN-yhteys ei ole rajoittamassa nopeutta. VPN-yhteyden pullonkaula luo myös ongelman siinä mielessä, että sen katketessa myös työnteko loppuu. Modernissa vaihtoehdossa näin ei käy, eli työntekijät voivat jatkaa normaalia työskentelyä.

Potentiaalisesti se myös luo yrityksen työntekijöiden määrän redundantteja verkkoyhteyksiä (jos käyttäjät ovat kotitoimistolla), jolloin on erittäin epätodennäköistä että koko yrityksen työskentely loppuisi (kuten on mahdollista VPN-yhteyden katketessa).

Levyn mäppäys on ainakin tietoturvatonta!

Normaalisti Azure Filesin mäppäys paikallisille tietokoneille tehdään Storage Account Keyn ja Powershellin kautta. Tässä storage account key on ns. “plain text” -muodossa saatavilla käyttäjälle, joka tosiaan on tietoturvatonta. Modernisaatiomme tarjoaa tähän kuitenkin merkittävän edun.

Olemme kehittäneet Intunen kautta juuri tätä varten suunnitellun ratkaisun, jossa Storage Account Key on salattuna eikä ilmene käyttäjille mitenkään. Levyn mäppäys tehdään käyttäjän tunnuksen alle, jolloin käyttäjä ei voi myöskään erikseen hakea verkkolevyn salausavainta.

Eli avaimen käsittely on täysin turvallista tässä yhteydessä.

Kai backup on ainakin sitten kohtuuttoman kallista!?

Riippuu miten määritätte kalliin. O365:n varmuuskopio kuuluu Nexetic O365 Backup -kokonaisuuteen, ja tämä pitäisi olla jo teillä joka tapauksessa käytössä. Tai lähtökohtaisesti mikä vain pilvivarmuuskopioinnin palvelu. Sen kustannus on 5€/käyttäjä/kk.

Tämä potentiaalisesti kattaa koko yrityksen varmuuskopioinnin tarpeen jos käytössä on vain OneDrive, Teams ja Sharepointin Document Libraryt (n. 80% SMB -asiakkaista).

Azure Filesin kohdalla varmuuskopiointiin on muutamakin vaihtoehto. Azure Backup tarjoaa pitkän aikavälin varmuuskopiot (10 vuotta, kertaalleen päivässä nopein nopeus) ja samaan konfiguraatioon pohjautuva Azure Snapshot tarjoaa lyhyen aikavälin varmuuskopioratkaisun. Molemmissa yhteenlaskettu kapasiteetti on 200 tallennusobjektia. Näistä 80 on hyvä varata pitkäaikaisille varmuuskopioille, ja loput 120 voidaan näin jakaa halutulla frekvenssillä esimerkiksi joka päivälle tunnin välein. Azure Automation hoitaa näiden luomisen ja poistamisen, ja palautus esimerkiksi kadonneen tiedoston kohdalla on nopeaa ja tehokasta.

Ai niin, se hinta. Tarkastelin tuossa n. 1,5 TB:n (teratavua) Azure Filesin varmuuskopion hintaa viimeisen vuoden ajalta. Se on ollut hyvin tarkalleen n. 20€/kk mainittujen pitkäaikaisten varmuuskopioiden kanssa.

Ei, ei 200€ tai 2000€, 20€/kk.

Eli kun tästä ekstrapoloidaan ylöspäin, niin 15 TB:n kohdalla kustannus olisi n. 200€ ja 150 TB:n kohdalla 2000€/kk.

Onhan tässä nyt jotain huonoakin oltava??

Ei oikeastaan. Vain kovimmissa ja dataintensiivisimmissä sovellustarpeissa tämä verkkolevyratkaisu ei ole ideaali.

Tässä yhteydessä suosittelemme kuitenkin vaihtoehtoisia toteutustapoja tälle dataintensiiviselle sovellukselle. Se voidaan esimerkiksi siirtää Azureen, jolloin datan käsittelyn nopeutta voidaan lisätä merkittävästi Azuren skaalautuvuuden kautta.

Sen jälkeen datan käsittely voidaan siirtä verkkolevyltä Azuren levylle, josta se esimerkiksi automaation kautta siirretään erikseen verkkolevylle käsittelyä varten.

Tai koko prosessi suoritetaan suoraan Azure Virtual Desktop -virtualisointialustan kautta. Näin esimerkiksi paikallisille tehotyöasemille ei ole tarvetta, ja tämä prosessointi voidaan suorittaa vaikka yrityksen hallitulta iPadiltä Bahaman rannalta. Tai näin ilmasto-ja korona-aikana ihan Lapin mökki tai Saimaan ranta toimii tässä tapauksessa.

Niin, nämä ratkaisut eivät tosiaan kahlitse työntekijöitä toimistolle, jolloin sekin voidaan tarpeettomana laittaa myyntiin tai vuokralle.

Vaihtoehtoja, vaihtoehtoja.

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.