Grundlegendes zur REST-API für Azure NetApp Files-Objekte

Azure NetApp Files Objekt-REST-API ermöglicht den objektbasierten Zugriff auf daten, die in Azure NetApp Files Volumes gespeichert sind. Mit dieser Funktion können Anwendungen auf dasselbe Dataset zugreifen, indem sowohl dateibasierte Protokolle (NFS/SMB) als auch Objekt-APIs (S3-kompatibel) verwendet werden, ohne Daten zu duplizieren oder zu migrieren.

Mit diesem einheitlichen Zugriffsmodell können vorhandene dateibasierte Daten direkt in Analyse-, KI- und modernen Anwendungsworkflows verwendet werden, ohne dass separate Speichersysteme, Datenübersetzungslösungen oder Datenkopien erforderlich sind.

Wichtige Konzepte

Buckets

Ein Bucket stellt eine zugeordnete Ansicht eines Verzeichnisses innerhalb eines Volumes dar und dient als Einstiegspunkt für den objektbasierten Zugriff.

  • Buckets sind Speichervolumes zugeordnet.
  • Beim dauerhaften Löschen eines Volumes werden die damit assoziierten Buckets ebenfalls dauerhaft gelöscht.

Objekte

Jede Datei in der zugeordneten Verzeichnishierarchie wird als Objekt dargestellt.

  • Objektnamen werden von Dateipfaden relativ zum zugeordneten Verzeichnis abgeleitet.
  • Objektvorgänge wirken direkt auf Dateiinhalte.

Funktionsweise der OBJEKT-REST-API

Azure NetApp Files ordnet ein Verzeichnis innerhalb eines Volumes einem Objekt-Bucket zu, sodass Anwendungen und Dienste, die objektbasierte Zugriffsmuster verwenden, mit dateibasierten Daten interagieren können.

  • Ein Verzeichnispfad, einschließlich des Stammverzeichnisses eines Volumes, kann als Bucket bereitgestellt werden.
  • Verzeichnisse werden als logische Präfixe innerhalb eines Buckets dargestellt.
  • Jede Datei wird als Objekt dargestellt.
  • Objektpfade entsprechen direkt Dateisystempfaden.
  • Verzeichnisgrenzen werden mithilfe des / Trennzeichens dargestellt.
  • Objektvorgänge können Daten lesen, schreiben und aufzählen.
  • Objektvorgänge werden in entsprechende Dateisystemvorgänge übersetzt.

Diese Zuordnung ermöglicht Anwendungen die Verwendung von Objekt-APIs für die Interaktion mit Daten, die als Dateien gespeichert bleiben.

Architekturübersicht

Das folgende Diagramm veranschaulicht den gleichzeitigen Datei- und Objektzugriff auf dasselbe Azure NetApp Files Dataset:

Screenshot der REST-API-Architektur.

In diesem Modell:

  • NAS-Clients und -Anwendungen greifen mithilfe von NFS oder SMB auf Daten zu.
  • Objektclients greifen über die OBJEKT-REST-API auf dieselben Daten zu.
  • Analyse- und KI-Dienste (z. B. Azure Databricks, Microsoft Fabric und Azure KI Services) können mit Azure NetApp Files mithilfe des objektbasierten Zugriffs integriert werden.
  • Daten bleiben in Azure NetApp Files Volumes gespeichert.

Objektzugriffsworkflow

Im Wesentlichen folgt der Zugriff auf die Objekt-REST-API diesem Ablauf:

  • Ein Bucket wird aus einem Verzeichnis innerhalb eines Azure NetApp Files Volumes erstellt.
  • Anwendungen und Dienste verbinden sich mit objektbasierten APIs.
  • Objektvorgänge (z. B. Lese-, Schreib- und Listenvorgänge) werden in Dateisystemvorgänge übersetzt.
  • Die Objekt-REST-API authentifiziert Anfragen mithilfe von Zugriffsschlüsseln und prüft Dateizugriffe anhand der konfigurierten angenommenen Identität.
  • Daten werden an den Client zurückgegeben, ohne dupliziert oder verschoben zu werden.

Dieser Workflow ermöglicht Anwendungen den Zugriff auf Daten mithilfe von Objekt-APIs, während der zugrunde liegende Speicher weiterhin als Dateisystem funktioniert.

Sicherheit und Berechtigungen

Die Objekt-REST-API führt Berechtigungen auf Bucketebene ein, bei denen es sich um die primären Zugriffssteuerelemente handelt, die für die OBJEKT-REST-API spezifisch sind. Die Bucketkonfiguration definiert auch die Dateisystemidentität, die beim Zugriff auf Daten über die Objekt-REST-API angenommen wird. Vorhandene NAS-Dateiberechtigungen gelten weiterhin für diese übernommene Identität.

  • Bucketberechtigungen definieren, ob Objekt-REST-API-Clients schreibgeschützten oder Lese-/Schreibzugriff auf den Bucket haben.
  • Authentifizierungsidentität und Dateisystemautorisierungsidentität sind separate Konzepte:
    • S3-Zugriffsschlüssel authentifizieren den Client gegenüber dem Bucket.
    • Die für den Bucket konfigurierte Identität zur Identitätsanmaßung bestimmt, auf welche Dateien und Verzeichnisse zugegriffen werden kann.
  • Jeder Bucket ist mit einer Identität des imitierten Dateisystems konfiguriert:
    • NFS-Volumes verwenden eine Benutzer-ID (UID) und Gruppen-ID (GID).
    • SMB-Volumes verwenden ein Benutzerkonto.
    • Dual-Protocol-Volumes verwenden abhängig vom konfigurierten Sicherheitsstil entweder UID/GID oder Benutzerkonten.
  • Anfragen an die Objekt-REST-API greifen unter Verwendung der konfigurierten Identität, deren Rolle übernommen wird, auf Daten zu. Standarddateiberechtigungen und ACLs auf dem Azure NetApp Files Volume werden für diese Identität weiterhin erzwungen.
  • Benutzer können nur auf die Dateien und Verzeichnisse zugreifen, für die die konfigurierte Identität, deren Rechte übernommen werden, bereits über standardmäßige NFS- oder SMB-Berechtigungen verfügt. Der Bucketzugriff gewährt nicht automatisch Zugriff auf alle Objekte innerhalb des zugeordneten Verzeichnisses oder Volumes.
  • Vorhandene NAS-ACLs und Dateiberechtigungen bleiben autoritativ für den REST-API-Zugriff des Objekts. Die Objekt-REST-API umgeht oder ersetzt keine vorhandenen NAS-Zugriffssteuerungen.
  • Der Dateizugriff über SMB- und NFS-Protokolle verwendet weiterhin ihre vorhandenen Authentifizierungs- und Autorisierungsmodelle ohne Änderung.
  • Für die sichere Kommunikation mit der Objekt-REST-API sind TLS-Zertifikate erforderlich, die für den REST-API-Endpunkt des Objekts konfiguriert sind.

Screenshot der REST-API-Sicherheit und -Berechtigungen.

Unterstützte Operationen

  • ListBucket
  • ListObjects / ListObjectsV2
  • GetObject
  • PutObject
  • Objekt löschen
  • HeadObject

Häufige Szenarien

Die OBJEKT-REST-API ermöglicht neue Arbeitsauslastungsmuster für Azure NetApp Files.

Screenshot der gängigen SZENARIEN der REST-API.

Datenanalyse und KI

Ein Data Engineering-Team muss ein großes Dataset analysieren, das bereits in einem Azure NetApp Files Volume gespeichert ist. Anstatt das Dataset in einen separaten Objektspeicherdienst zu kopieren, verbindet sich das Team direkt mit objektbasierten Tools und beginnt mit der Verarbeitung der Daten. Dieser Ansatz ermöglicht ein schnelleres Onboarding von Analyseworkflows und gleichzeitig die Minimierung der Speicherduplizierung.

Hybride und modernisierte Anwendungen

Anwendungen, die sowohl dateibasierten als auch objektbasierten Zugriff erfordern, können auf demselben Dataset ausgeführt werden, ohne mehrere Kopien zu verwalten. Dies ermöglicht die Koexistenz zwischen älteren Anwendungen und modernen Diensten, sodass eine schrittweise Modernisierung ohne Unterbrechung vorhandener Workloads möglich ist.

Datenverarbeitungspipelinen

Datenpipelinen können Datasets mithilfe von objektbasierten Tools aufnehmen, transformieren und verarbeiten, während die Daten in Azure NetApp Files gespeichert bleiben. Dies unterstützt die Integration in ein breites Ökosystem von Tools und Diensten, die auf objektbasierten Zugriffsmustern basieren.

Anforderungen und Überlegungen

Berücksichtigen Sie bei der Verwendung der REST-API des Azure NetApp Files-Objekts die folgenden Anforderungen und Einschränkungen:

  • Buckets sind an Volumes gebunden und werden gelöscht, wenn das Volume gelöscht wird.
  • Buckets werden mit aktiviertem Cool-Zugriff und großen Volumes unterstützt.
  • Buckets werden auf Azure NetApp Files-Cachevolumes nicht unterstützt.
  • Buckets erfordern ein Volume mit vorhandenen Daten; leere Volumes werden nicht unterstützt.
  • Die Zertifikatlebenszyklusverwaltung ist erforderlich, um den sicheren Zugriff auf den REST-API-Endpunkt des Objekts aufrechtzuerhalten.
  • Sie sind für die Verwaltung des Lebenszyklus von Bucket-Zertifikaten verantwortlich.
  • Aktivieren Sie die Diagnoseprotokollierung für alle Azure Key Vaults, um sicherzustellen, dass Überwachungspfade für Sicherheitsuntersuchungen verfügbar sind.
  • Konfigurieren Sie Netzwerkzugriffssteuerungslisten (NETWORK Access Control Lists, ACLs), um Azure Key Vault Zugriff auf autorisierte Netzwerke einzuschränken, einschließlich des virtuellen NetApp-Netzwerks und autorisierter virtueller Kundennetzwerke.
  • Erwägen Sie die Verwendung separater Azure Key Vaults für Zertifikate und S3-Anmeldeinformationen, um den Sicherheitspraktiken nach dem Prinzip der geringsten Rechte zu entsprechen.
  • Trennen Sie Azure Key Vault Zugriffsrichtlinien für Zertifikate und S3-Anmeldeinformationen nach Möglichkeit, um klare Betriebs- und Sicherheitsgrenzen beizubehalten.

Hinweis

Die OBJEKT-REST-API bietet objektbasierten Zugriff auf Dateidaten, ändert jedoch nicht, wie Daten physisch gespeichert werden. Der objektbasierte Zugriff wird durch Bucketkonfigurations- und Objektzugriffsmechanismen gesteuert, während der Dateizugriff weiterhin SMB- und NFS-Berechtigungsmodelle befolgt.

Nächste Schritte

  • Last updated on