Informazioni sull'API REST dell'oggetto Azure NetApp Files

L'API REST per oggetti di Azure NetApp Files consente l'accesso ai dati basato su oggetti archiviati nei volumi di Azure NetApp Files. Questa funzionalità consente alle applicazioni di accedere allo stesso set di dati usando sia protocolli basati su file (NFS/SMB) che API oggetto (compatibili con S3) senza duplicare o eseguire la migrazione dei dati.

Questo modello di accesso unificato consente di usare i dati esistenti basati su file direttamente nei flussi di lavoro di analisi, intelligenza artificiale e applicazioni moderne senza richiedere sistemi di archiviazione separati, soluzioni di traduzione dei dati o copie dei dati.

Concetti chiave

Bucket

Un bucket rappresenta una visualizzazione mappata di una directory all'interno di un volume e funge da punto di ingresso per l'accesso basato su oggetti.

  • I bucket sono associati ai volumi.
  • L'eliminazione di un volume elimina definitivamente i bucket associati.

Oggetti

Ogni file all'interno della gerarchia di directory mappata viene rappresentato come oggetto .

  • I nomi degli oggetti sono derivati dai percorsi di file relativi alla directory mappata.
  • Le operazioni sugli oggetti agiscono direttamente sul contenuto del file.

Funzionamento dell'API REST dell'oggetto

Azure NetApp Files esegue il mapping di una directory all'interno di un volume a un bucket di oggetti, consentendo alle applicazioni e ai servizi di usare modelli di accesso basati su oggetti per interagire con i dati basati su file.

  • Il percorso di una directory, inclusa la radice del volume, può essere esposto come bucket.
  • Le directory sono rappresentate come prefissi logici all'interno di un bucket.
  • Ogni file è rappresentato come oggetto .
  • I percorsi degli oggetti corrispondono direttamente ai percorsi del file system.
  • I limiti della directory vengono rappresentati usando il / delimitatore.
  • Le operazioni sugli oggetti possono leggere, scrivere ed enumerare i dati.
  • Le operazioni sugli oggetti vengono convertite in operazioni di file system equivalenti.

Questo mapping consente alle applicazioni di usare le API oggetto per interagire con i dati che rimangono archiviati come file.

Panoramica dell'architettura

Il diagramma seguente illustra l'accesso simultaneo a file e oggetti allo stesso set di dati Azure NetApp Files:

Screenshot dell'architettura dell'API REST.

In questo modello:

  • I client NAS e le applicazioni accedono ai dati usando NFS o SMB.
  • I client oggetto accedono agli stessi dati tramite l'API REST dell'oggetto.
  • I servizi di analisi e intelligenza artificiale , ad esempio Azure Databricks, Microsoft Fabric e Servizi di Azure AI, si integrano con Azure NetApp Files usando l'accesso basato su oggetti.
  • I dati rimangono archiviati in volumi Azure NetApp Files.

Flusso di lavoro di accesso a oggetti

A livello generale, l'accesso all'API REST dell'oggetto segue questo flusso:

  • Un bucket viene creato da una directory all'interno di un volume Azure NetApp Files.
  • Le applicazioni e i servizi si connettono tramite API basate su oggetti.
  • Le operazioni sugli oggetti (ad esempio lettura, scrittura ed elenco) vengono convertite in operazioni di file system.
  • L'API REST object autentica le richieste usando le chiavi di accesso e valuta l'accesso ai file usando l'identità rappresentata configurata.
  • I dati vengono restituiti al client senza essere duplicati o spostati.

Questo flusso di lavoro consente alle applicazioni di accedere ai dati usando le API oggetto mentre l'archiviazione sottostante continua a funzionare come file system.

Sicurezza e autorizzazioni

L'API REST dell'oggetto introduce autorizzazioni a livello di bucket, ovvero i controlli di accesso principali specifici dell'API REST dell'oggetto. La configurazione del bucket definisce anche l'identità del file system rappresentata durante l'accesso ai dati tramite l'API REST dell'oggetto. Le autorizzazioni dei file NAS esistenti continuano a essere applicate in base all'identità rappresentata.

  • Le autorizzazioni del bucket definiscono se i client dell'API REST degli oggetti hanno accesso in sola lettura o in lettura/scrittura al bucket.
  • L'identità di autenticazione e l'identità di autorizzazione del file system sono concetti distinti:
    • Le chiavi di accesso S3 autenticano il client nel bucket.
    • L'identità impersonata configurata del bucket determina a quali file e directory è possibile accedere.
  • Ogni bucket è configurato con un'identità del file system impersonata:
    • I volumi NFS usano un ID utente (UID) e un ID gruppo (GID).
    • I volumi SMB usano un account utente.
    • I volumi a doppio protocollo usano l'UID/GID o gli account utente a seconda dello stile di sicurezza configurato.
  • Le richieste dell'API REST degli oggetti che accedono ai dati utilizzano l'identità rappresentata configurata. Le autorizzazioni standard per i file e gli ACL sul volume Azure NetApp Files continuano a essere applicate per tale identità.
  • Gli utenti possono accedere solo ai file e alle directory a cui l'identità rappresentata configurata dispone già dell'autorizzazione per l'accesso tramite autorizzazioni standard NFS o SMB. L'accesso al bucket non concede automaticamente l'accesso a tutti gli oggetti all'interno della directory o del volume mappato.
  • Gli ACL e le autorizzazioni file NAS esistenti rimangono autorevoli per l'accesso all'API REST degli oggetti. L'API REST dell'oggetto non ignora o sostituisce i controlli di accesso NAS esistenti.
  • L'accesso ai file tramite protocolli SMB e NFS continua a usare i modelli di autenticazione e autorizzazione esistenti senza modifiche.
  • La comunicazione sicura con l'API REST dell'oggetto richiede certificati TLS configurati per l'endpoint DELL'API REST dell'oggetto.

Screenshot della sicurezza e delle autorizzazioni dell'API REST.

Operazioni supportate

  • ListBucket
  • ListObjects / ListObjectsV2
  • OttieniOggetto
  • PutObject
  • DeleteObject
  • HeadObject

Scenari comuni

L'API REST dell'oggetto abilita nuovi modelli di carico di lavoro per Azure NetApp Files.

Screenshot degli scenari comuni dell'API REST.

Analisi dei dati e intelligenza artificiale

Un team di progettazione dei dati deve analizzare un set di dati di grandi dimensioni già archiviato in un volume Azure NetApp Files. Anziché copiare il set di dati in un servizio di archiviazione oggetti separato, il team si connette direttamente usando gli strumenti basati su oggetti e inizia a elaborare i dati sul posto. Questo approccio consente un onboarding più rapido dei flussi di lavoro di analisi riducendo al minimo la duplicazione dell'archiviazione.

Applicazioni ibride e modernizzate

Le applicazioni che richiedono l'accesso basato su file e in base a oggetti possono operare sullo stesso set di dati senza gestire più copie. Ciò consente la coesistenza tra applicazioni legacy e servizi moderni, consentendo una modernizzazione graduale senza interrompere i carichi di lavoro esistenti.

Pipeline di elaborazione dati

Le pipeline di dati possono inserire, trasformare ed elaborare set di dati usando strumenti basati su oggetti mentre i dati rimangono archiviati in Azure NetApp Files. Ciò supporta l'integrazione con un ampio ecosistema di strumenti e servizi che si basano su modelli di accesso basati su oggetti.

Problemi e considerazioni

Quando si usa l'API REST dell'oggetto Azure NetApp Files, prendere in considerazione i requisiti e le limitazioni seguenti:

  • I bucket sono associati ai volumi e vengono eliminati quando il volume viene eliminato.
  • I bucket sono supportati con volumi di grandi dimensioni e abilitati per l'accesso sporadico.
  • I bucket non sono supportati nei volumi della cache di Azure NetApp Files.
  • I bucket richiedono un volume con dati esistenti; i volumi vuoti non sono supportati.
  • La gestione del ciclo di vita dei certificati è necessaria per mantenere l'accesso sicuro all'endpoint DELL'API REST dell'oggetto.
  • L'utente è responsabile della gestione del ciclo di vita dei certificati bucket.
  • Abilita la registrazione dei log di diagnostica in tutti gli Azure Key Vault per garantire la disponibilità delle tracce di controllo per le indagini sulla sicurezza.
  • Configurare elenchi di controllo di accesso di rete (ACL) per limitare Azure Key Vault l'accesso alle reti autorizzate, tra cui la rete virtuale NetApp e le reti virtuali dei clienti autorizzate.
  • Valuta l'uso di insiemi di credenziali delle chiavi di Azure separati per i certificati e delle credenziali S3, per allinearti alle prassi di sicurezza basate sul principio del privilegio minimo.
  • Separare Azure Key Vault criteri di accesso per i certificati e le credenziali S3, quando possibile, per mantenere chiari i limiti operativi e di sicurezza.

Note

L'API REST dell'oggetto fornisce l'accesso basato su oggetti ai dati dei file, ma non modifica la modalità di archiviazione fisica dei dati. L'accesso basato su oggetti è governato dai meccanismi di configurazione dei bucket e di accesso agli oggetti, mentre l'accesso ai file continua a seguire i modelli di autorizzazione SMB e NFS.

Passaggi successivi

  • Last updated on