قناة شراء حساب Microsoft Cloud: إدارة مستوى تخزين Azure Blob وتكوين أمان سلسلة مكافحة السرقة

سحابة 2026-06-05 阅读 7

في عصر الإنترنت عبر الهاتف المحمول والبيانات الضخمة ، يواجه كل فريق تقريبًا مشكلة تخزين كميات كبيرة من البيانات غير المهيكلة. سواء كانت الصورة الرمزية للمستخدم ، أو الصوت والفيديو ، أو ملف PDF للعقد الداخلي للشركة ، أو سجل النظام ، فإنه غالبًا ما يكون حجم مئات تيرابايت أو حتى PB.

إذا قمت بحشو هذه الملفات في القرص الصلب للخادم التقليدي ، فلن يستغرق التوسع وقتًا طويلاً وشاقًا فحسب ، بل سيجعلك الفاتورة الشهرية تؤلمك أيضًا. في هذا الوقت ،

Azure Blob Storage (تخزين الكائنات السحابية من مايكروسوفت)

أصبح المعيار المطلق.

ولكن عندما يستخدم العديد من المبتدئين Blob للتخزين ، فإنهم غالبًا ما يرمون كل شيء وينتهي. هذا يؤدي إلى نتيجتين خطرتين:

أولاً ، سواء كانت الصورة الرمزية التي تم الوصول إليها عالية التردد أو السجل الذي لم يتم مشاهدته لعدة سنوات ، يتم استخدام نفس سعر الوحدة المرتفع (نزيف المحفظة) ؛ ثانيًا ، يتم سرقة رابط الملف بشكل ضار من قبل شخص ما بعد الكشف عن حركة المرور ، بين عشية وضحاها ، يتم إنشاء فواتير ضخمة (ثقب أسود آمن).

اليوم هذا البرنامج التعليمي لا هراء ، يأخذك مباشرة إلى اثنين من الأشياء الأساسية لتخزين Blob:

إدارة دورة الحياة الهرمية (توفير المال) وتكوين أمان سلسلة مكافحة السرقة SAS (خالي من القلق).

1. المرحلة الأولى: توضيح مستويات التخزين الثلاثة لـ Blob (Access Tiers)

يعتبر Azure Blob رخيصًا لأنه يسمح لك باختيار تكاليف تخزين مختلفة بناءً على "عدد مرات الوصول" إلى ملفاتك. إنه مثل تخزين الملابس ، مقسم إلى ثلاثة أدراج:

طبقة التخزين الحراري (Hot): البيانات المناسبة للوصول عالي التردد. على سبيل المثال ، الفيديو الذي يتم بثه بشكل جيد ، الصورة الرمزية التي حملها المستخدم للتو. لديها أعلى سعر وحدة تخزين ، ولكن رسوم المناولة لقراءة الملفات هي ما يقرب من الصفر.

طبقة التخزين الباردة (Cool): مناسبة للوصول منخفض التردد (على سبيل المثال ، لا يزيد عن مرة واحدة في 30 يومًا) ، ولكن البيانات التي تحتاج إلى قراءة فورية. على سبيل المثال ، فاتورة الشهر الماضي ، نسخة احتياطية قصيرة الأجل. يتم تقليل سعر وحدة التخزين بشكل كبير ، ولكن سيتم فرض القليل من "رسوم التخزين" عند القراءة.

أرشفة طبقة التخزين: وهي مناسبة للبيانات الميتة التي نادراً ما يتم الوصول إليها (مرة كل بضعة أشهر أو حتى عدة سنوات) وتسمح بتأخير عدة ساعات. مثل سجلات تدقيق الامتثال والصور الطبية التاريخية. إن سعر التخزين الخاص به رخيص جدًا بحيث لا يكاد يذكر ، ولكن لإخراج الملفات (إعادة المياه/Rehydrate) ، عليك الانتظار بضع ساعات من وقت الذوبان.

2. التدريبات القتالية الفعلية: استخدام "إدارة دورة الحياة" لتحقيق توفير الأموال تلقائيًا دون مراقبة

إذا طلب منك تبديل مستويات آلاف الملفات يدويًا ، فيجب عليك العمل لساعات إضافية حتى الفجر. يوفر Azure

"إدارة دورة الحياة"

وظيفة ، تحتاج فقط إلى تعيين القواعد ، ويتم تسليم الباقي إلى النظام للتنفيذ التلقائي.

1. تكوين أهداف المشهد

لدينا مجموعة من ملفات سجل النظام التي يحتاج المطورون إلى مشاهدتها بشكل متكرر في الأيام السبعة التي تم إنشاؤها للتو. بعد 7 أيام ، لم يشاهدها أحد ، لكن يجب الاحتفاظ بها للرجوع إليها. بعد 180 يومًا ، أصبحت البيانات الميتة متوافقة تمامًا ويجب الاحتفاظ بها لمدة 7 سنوات قبل حذفها.

2-خطوات التكوين

تسجيل الدخول إلى Azu

بوابة re ، أدخل حساب التخزين الخاص بك.

ابحث عن "إدارة دورة الحياة" في شريط القوائم على اليسار وانقر على "إضافة قاعدة (Add a rule)".

المعلومات الأساسية: أعط اسمًا للقواعد ، مثل Log_Optimization_Rule. حدد نطاق القاعدة "تقييد القاعدة باستخدام عامل التصفية" (بحيث يمكن أن يكون ساري المفعول فقط لمجلد السجل دون الإضرار بالبيانات الأخرى عن طريق الخطأ).

تكوين مجموعة القواعد (منطق IF/THEN): الخطوة 1 (التحول إلى التخزين البارد): إذا كان آخر تعديل للقاعدة هو أكثر من (يوم) -> أدخل 7. ثم تنفيذ العملية-> الانتقال إلى التخزين البارد. الخطوة 2 (الانتقال إلى الأرشيف): انقر على إضافة شروط. إذا كان Base blob هو آخر تعديل لأكثر من (أيام) -> أدخل 180. ثم تنفيذ العملية-> الانتقال إلى تخزين الأرشيف. الخطوة 3 (الحذف التلقائي): إذا كان Base blob هو آخر تعديل لأكثر من (أيام) -> أدخل 2555(7 سنوات). ثم تنفيذ العملية-> حذف blob.

مجموعة التصفية: أدخل مسار مجلد السجل الخاص بك ، مثل logs/، في مطابقة البادئة. هذا يعني أن القاعدة سارية فقط للملفات الموجودة تحت مجلد logs.

انقر على حفظ. الآن ، يحتوي حساب التخزين الخاص بك على "خادم مالي" مدمج ، والذي سينقل المستندات القديمة تلقائيًا إلى درج رخيص كل يوم ، ويتحطم تلقائيًا عند انتهاء صلاحيتها ، وسيكون منحنى الفاتورة سلسًا على الفور.

3. المرحلة الثانية: سحب خط الدفاع الأمني-لماذا يجب ألا نستخدم "الوصول العام" ؟

يمكن للعديد من المبتدئين استخدام الواجهة الأمامية مباشرة

تعرض العلامة الصور ، ويوفر الرسم البياني المتاعب مباشرة تعيين مستوى الوصول إلى حاوية Blob (Container)

”العامة (العامة)“

هذا يعادل فتح باب مستودع منزلك مباشرة على الإنترنت. يمكن لأي شخص يحصل على عنوان URL هذا الاتصال بالتنزيل بشكل محموم ، أو استخدام الزاحف متعدد الخيوط لإزالة جميع ملفاتك.

لا تقوم فقط بتسريب خصوصية البيانات ، بل ستتلقى أيضًا تذكرًا فلكيًا بالمتأخرات بسبب حركة المرور المفاجئة (Egress).

أفضل الممارسات لبيئة الإنتاج: تظل الحاويات "خاصة" إلى الأبد ، وتوفر الوصول الذي يتم التحكم فيه مؤقتًا فقط من خلال SAS (توقيع الوصول المشترك).

4. الحماية الأساسية: تكوين سلسلة مكافحة السرقة SAS (توقيع الوصول المشترك)

SAS(Shared Access Signature)

المبدأ هو إضافة سلسلة من الرموز المشفرة (Token) بعد عنوان URL للملف الخاص الأصلي. هذا الرمز يحدد

من يمكنه الوصول إلى هذا الملف في أي فترة زمنية ، وبأي أذونات ، وبأي عنوان IP.

الروابط الخاصة الأصلية: htps:// m

Ystorage.blob.core.windows.net/media/cat.jpg (الوصول المباشر إلى 404/403)

بعد إضافة رمز SAS

رابط سلسلة مكافحة السرقة: https://mystorage.blob.core.windows.net/media/cat.jpg? Sv = 2021-08-06 & ss = b & srt = o & sp = r & se = 2026-06-05T08:00:00Z & sip = 203.0.113.50 & sig = xxxx...

▲ ▲ ▲

(وقت انتهاء الصلاحية)

1. القتال الفعلي: إنشاء رموز SAS مع قيود أمنية

إذا كنت ترغب في إنشاء رابط مضاد للسرقة ديناميكيًا في رمز الخلفية ، أو إنشاء رابط مؤقت للعملاء يدويًا ، فيمكنك تكوين ذلك في بوابة Azure:

أدخل حاوية Blob المقابلة ، وحدد ملفًا خاصًا ، وانقر فوق علامة التبويب "Generate SAS(Generate SAS)".

أذونات الوصول: حدد فقط "قراءة". لا تعطي أذونات الكتابة أو الحذف لمنع الملفات من العبث بها بشكل ضار.

فترة الصلاحية (Expiry): قم بتعيين وقت انتهاء صلاحية قصير للغاية. إذا كانت صفحة ويب لعرض الصور أو تنزيل المرفقات ، يكفي تعيين 15 دقيقة إلى ساعة واحدة. بمجرد تجاوز هذه النقطة الزمنية ، يصبح الرابط باطلاً تلقائيًا.

عنوان IP المسموح به: * سيناريو الأمان العالي (سلسلة مكافحة السرقة): املأ عنوان IP الخاص بالشبكة العامة لخادم الواجهة الأمامية أو عنوان IP الخاص بالمستخدم. بهذه الطريقة ، حتى لو قام شخص ما بنسخ هذا الرابط مع SAS إلى أشخاص آخرين في مجموعة WeChat ، فإن الآخرين

IP غير متوافق ولا يمكن فتحه على الإطلاق.

البروتوكول المسموح به: القفل القسري "HTTPS فقط".

انقر على "إنشاء رموز SAS وعناوين URL" وستحصل على اتصال طويل. قم بتوزيعها بأمان وخالية من القلق.

2. الهندسة المعمارية المتقدمة: الخلفية تولد عمليات SAS ديناميكيًا

في نظام تلقائي بالكامل حقًا ، يجب أن يكون المنطق عند زيارة صفحة ويب للمستخدمين في الواجهة الأمامية على النحو التالي:

يقوم المستخدم بتسجيل الدخول إلى التطبيق الخاص بك ويطلب عرض فاتورة خاصة.

تتلقى الواجهة الخلفية لعملك (مثل خدمة Java/Python/Node.js) طلبًا للتحقق من أن المستخدم لديه إذن لمشاهدته.

تستدعي الواجهة الخلفية Azure SDK ، ويتم إنشاء عنوان URL SAS ديناميكيًا في الذاكرة مع فترة صلاحية مدتها 5 دقائق فقط وقراءة فقط.

تقوم الواجهة الخلفية بإرجاع عنوان URL المؤقت هذا إلى الواجهة الأمامية ، ويتم تحميل الواجهة الأمامية بأمان في غضون 5 دقائق من خلال المتصفح.

بعد خمس دقائق ، تم تحويل الرابط إلى ورق نفايات على الإنترنت ، وكان من غير المجدي للقراصنة استخدام النشر الثانوي.

5. Pai Peng و Advanced مكافحة السرقة Patch: الجمع بين Azure CDN

على الرغم من أن SAS يمكنها حل مشكلة التقييم والتوقيت بشكل مثالي ، إذا كان ملفاتك عبارة عن فيديو عام (لا يمكن تقييد عنوان IP المستخدم) لتشغيله على عدد كبير من المستخدمين في جميع أنحاء العالم ، فقد لا يزال SAS وحده يتزامن مع حركة مرور مجنونة.

الهيكل النهائي في هذا الوقت هو:

اجعل تخزين Blob خاصًا ، مع طبقة من Azure CDN (شبكة توزيع المحتوى) أو Azure Front Door في المقدمة.

فك ضغط ذاكرة التخزين المؤقت CDN: تصل الطلبات المتكررة للمستخدم مباشرة إلى عقدة حافة CDN ، ولا تعود حركة المرور إلى Blob ، وانخفضت التكلفة بنسبة 90 ٪.

سلسلة مكافحة السرقة لأسماء النطاقات CDN (قيود الإصدار): افتح "فحص فترة الإحالة" في طبقة CDN ، ونص على أن الطلبات من اسم مجال موقع الويب الخاص بك (مثل https://www.mywebsite.com) فقط مسموح بها ، وخنق السلسلة غير القانونية مباشرة على الخط الخارجي.

الخلاصة

إدارة الملفات الضخمة ليست بسيطة مثل "رمي".

باستخدام إدارة دورة الحياة ، يمكنك السماح للبيانات بتعلم "التمثيل الغذائي" ، وترك التخزين الساخن باهظ الثمن للأعمال الأساسية ، ورمي الحسابات القديمة في طبقة الأرشيف المجمدة ، وتوفير المال في الوضع الأكثر أناقة.

باستخدام رمز SAS الديناميكي قصير المدى للحاوية الخاصة ، قمت بتجهيز كل ملف بمفتاح حصري بقنبلة موقوتة لتوديع كابوس حركة المرور المسروقة بشكل ضار.

من خلال دمج هذين التكوينتين في تصميم النظام الخاص بك ، يمكن اعتبار بنية التخزين السحابي الخاصة بك ذكية وقوية.