Compreender a API REST de objetos do Azure NetApp Files

Azure NetApp Files object REST API permite o acesso baseado em objetos a dados armazenados em volumes Azure NetApp Files. Esta capacidade permite que as aplicações acedam ao mesmo conjunto de dados usando tanto protocolos baseados em ficheiros (NFS/SMB) como APIs de objetos (compatíveis com S3) sem duplicar ou migrar dados.

Este modelo de acesso unificado permite que dados baseados em ficheiros existentes sejam usados diretamente em análise, IA e fluxos de trabalho modernos de aplicações, sem necessidade de sistemas de armazenamento separados, soluções de tradução de dados ou cópias de dados.

Conceitos-chave

Buckets

Um bucket representa uma vista mapeada de um diretório dentro de um volume e serve como ponto de entrada para o acesso baseado em objetos.

  • Os contentores estão associados aos volumes.
  • Eliminar um volume apaga permanentemente os respetivos buckets.

Objetos

Cada ficheiro dentro da hierarquia de diretórios mapeados é representado como um objeto.

  • Os nomes dos objetos são derivados de caminhos de ficheiros relativos ao diretório mapeado.
  • As operações de objetos atuam diretamente sobre o conteúdo do ficheiro.

Como funciona a API REST de objetos

O Azure NetApp Files mapeia um diretório dentro de um volume para um bucket de objetos, permitindo que aplicações e serviços que usam padrões de acesso baseados em objetos interajam com dados baseados em ficheiros.

  • Um caminho de diretório, incluindo a raiz do volume, pode ser exposto como um bucket.
  • Os diretórios são representados como prefixos lógicos dentro de um bucket.
  • Cada ficheiro é representado como um objeto.
  • Os caminhos dos objetos correspondem diretamente aos caminhos do sistema de ficheiros.
  • Os limites dos diretórios são representados usando o / delimitador.
  • As operações de objeto podem ler, escrever e enumerar dados.
  • As operações de objeto são traduzidas em operações equivalentes de sistema de ficheiros.

Este mapeamento permite que aplicações utilizem APIs de objetos para interagir com dados que permanecem armazenados como ficheiros.

Descrição geral da arquitetura

O diagrama seguinte ilustra o acesso simultâneo de ficheiros e objetos ao mesmo conjunto de dados Azure NetApp Files:

Captura de ecrã da arquitetura da API REST.

Neste modelo:

  • Clientes e aplicações NAS acedem aos dados usando NFS ou SMB.
  • Os clientes de objetos acedem aos mesmos dados através da API REST do objeto.
  • Os serviços de análise e IA (como Azure Databricks, Microsoft Fabric e Serviços de IA do Azure) integram-se com o Azure NetApp Files usando acesso baseado em objetos.
  • Os dados permanecem armazenados em volumes do Azure NetApp Files.

Fluxo de trabalho de acesso a objetos

A um nível geral, o acesso à API REST de objetos segue este fluxo:

  • Um bucket é criado a partir de um diretório dentro de um volume Azure NetApp Files.
  • Aplicações e serviços ligam-se através de APIs baseadas em objetos.
  • As operações de objeto (como leitura, escrita e lista) são traduzidas em operações do sistema de ficheiros.
  • A API REST de objetos autentica os pedidos usando chaves de acesso e avalia o acesso a ficheiros usando a identidade configurada como personificada.
  • Os dados são devolvidos ao cliente sem serem duplicados ou movimentados.

Este fluxo de trabalho permite que as aplicações acedam a dados usando APIs de objetos enquanto o armazenamento subjacente continua a operar como um sistema de ficheiros.

Segurança e permissões

A API REST do objeto introduz permissões ao nível do bucket, que são os principais controlos de acesso específicos da API REST do objeto. A configuração do bucket também define a identidade do sistema de ficheiros que é suplantada ao aceder aos dados através da API REST de objetos. As permissões existentes de ficheiros NAS continuam a ser aplicadas com base nessa identidade personificada.

  • As permissões bucket definem se os clientes da API REST do objeto têm acesso apenas de leitura ou de leitura-escrita ao bucket.
  • Identidade de autenticação e identidade de autorização do sistema de ficheiros são conceitos separados:
    • As chaves de acesso S3 autenticam o cliente no bucket.
    • A identidade configurada e personificada do bucket determina quais ficheiros e diretórios podem ser acedidos.
  • Cada bucket está configurado com uma identidade de sistema de ficheiros imitada:
    • Os volumes NFS utilizam um ID de utilizador (UID) e um ID de grupo (GID).
    • Os volumes SMB utilizam uma conta de utilizador.
    • Volumes de protocolo duplo utilizam UID/GID ou contas de utilizador, dependendo do estilo de segurança configurado.
  • A API REST do objeto solicita dados de acesso usando a identidade imitada configurada. As permissões padrão de ficheiros e ACLs no volume Azure NetApp Files continuam a ser aplicadas para essa identidade.
  • Os utilizadores só podem aceder aos ficheiros e diretórios que a identidade imitada configurada já tem permissão para aceder através de permissões padrão NFS ou SMB. O acesso a buckets não concede automaticamente acesso a todos os objetos no diretório ou volume mapeado.
  • As ACLs NAS existentes e as permissões de ficheiros mantêm-se autoritativas para o acesso à API REST de objetos. Object REST API não contorna nem substitui os controlos de acesso existentes do NAS.
  • O acesso a ficheiros através dos protocolos SMB e NFS continua a utilizar os seus modelos existentes de autenticação e autorização sem modificações.
  • A comunicação segura com a API REST do objeto requer certificados TLS configurados para o endpoint da API REST do objeto.

Captura de ecrã da segurança e permissões da API REST.

Operações suportadas

  • ListBucket
  • ListarObjetos / ListarObjetosV2
  • ObterObjeto
  • PutObject
  • EliminarObjeto
  • HeadObject

Cenários comuns

A API de objetos REST permite novos padrões de carga de trabalho para Azure NetApp Files.

Captura de ecrã dos cenários comuns da API REST.

Análise de dados e IA

Uma equipa de engenharia de dados precisa de analisar um grande conjunto de dados já armazenado num volume Azure NetApp Files. Em vez de copiar o conjunto de dados para um serviço de armazenamento de objetos separado, a equipa liga-se diretamente através de ferramentas baseadas em objetos e começa a processar os dados no local. Esta abordagem permite uma integração mais rápida dos fluxos de trabalho analíticos, minimizando a duplicação de armazenamento.

Aplicações híbridas e modernizadas

Aplicações que requerem acesso tanto baseado em ficheiros como em objetos podem operar no mesmo conjunto de dados sem manter múltiplas cópias. Isto permite a coexistência entre aplicações legadas e serviços modernos, possibilitando uma modernização gradual sem perturbar as cargas de trabalho existentes.

Pipelines de processamento de dados

Os pipelines de dados podem ingerir, transformar e processar conjuntos de dados usando ferramentas baseadas em objetos, enquanto os dados permanecem armazenados no Azure NetApp Files. Isto suporta a integração com um vasto ecossistema de ferramentas e serviços que dependem de padrões de acesso baseados em objetos.

Requisitos e considerações

Considere os seguintes requisitos e limitações ao utilizar a API REST do Azure NetApp Files:

  • Os buckets estão ligados a volumes e são eliminados quando o volume é eliminado.
  • Os baldes são suportados com acesso frio e volumes grandes.
  • Os buckets não são suportados nos volumes de cache do Azure NetApp Files.
  • Os buckets requerem um volume com dados já existentes; volumes vazios não são suportados.
  • A gestão do ciclo de vida dos certificados é necessária para manter acesso seguro ao endpoint da API REST do objeto.
  • És responsável por manter o ciclo de vida dos certificados bucket.
  • Ative o registo de diagnóstico em todos os Azure Key Vaults para garantir que os registos de auditoria estão disponíveis para investigações de segurança.
  • Configure listas de controlo de acesso à rede (ACLs) para restringir o acesso ao Azure Key Vault a redes autorizadas, incluindo redes virtuais NetApp e redes virtuais autorizadas para clientes.
  • Considere usar Azure Key Vaults separados para certificados e credenciais S3, de modo a alinhar com as práticas de segurança de privilégio mínimo.
  • Políticas de acesso separadas ao Azure Key Vault para certificados e credenciais S3, sempre que possível, para manter limites operacionais e de segurança claros.

Note

A API REST do objeto fornece acesso baseado em objetos aos dados do ficheiro, mas não altera a forma como os dados são armazenados fisicamente. O acesso baseado em objetos é governado por mecanismos de configuração de baldes e de acesso a objetos, enquanto o acesso a ficheiros continua a seguir modelos de permissões SMB e NFS.

Próximos passos