對象存儲與塊存儲的工作方式有何不同？

云中沒有正確備份的塊存儲可能會導(dǎo)致數(shù)據(jù)丟失，并且盡管云中的對象存儲更具彈性，但需要格外小心。

如果備份不正確，則無法備份存儲在云塊存儲服務(wù)中的數(shù)據(jù)可能會永遠(yuǎn)丟失。本文解釋了對象存儲與塊存儲的工作方式有何不同，以及它如何提供更好的內(nèi)置保護(hù)。

什么是對象存儲？

每個云計算供應(yīng)商都提供對象存儲服務(wù)，其中包括亞馬遜公司的簡單存儲服務(wù)(S3)、微軟Azure的Blob存儲，以及谷歌公司的云存儲。

將對象存儲系統(tǒng)想像成一個沒有目錄和子目錄的層次結(jié)構(gòu)的文件系統(tǒng)。如果文件系統(tǒng)使用目錄結(jié)構(gòu)和文件名的組合來標(biāo)識和定位文件，則存儲在對象存儲系統(tǒng)中的每個對象都會根據(jù)其內(nèi)容獲得唯一標(biāo)識符(UID)。

然后，將唯一標(biāo)識符(UID)用作識別和檢索對象的方式。通過使用加密算法(例如SHA-1)運(yùn)行文件的內(nèi)容來創(chuàng)建唯一標(biāo)識符(UID)(要了解SHA-1的工作原理，用戶可以在此處通過插入任意數(shù)量的文本來創(chuàng)建自己的SHA-1散列)。任何項(例如文件、塊、一組文件或塊或一部分塊或文件)可以存儲為對象。

對象存儲和塊存儲之間的巨大區(qū)別在于，對象存儲中存儲的每個對象都會自動復(fù)制到至少三個可用性云區(qū)域。這意味著自然災(zāi)害或其他災(zāi)難可能會占用兩個可用性云區(qū)域，并且用戶仍然會在對象存儲系統(tǒng)中存儲任何數(shù)據(jù)。它通常僅在單個可用性區(qū)域內(nèi)進(jìn)行復(fù)制，因此一次大的中斷就有可能會破壞數(shù)據(jù)。

復(fù)制的工作方式也有很大不同。與云塊存儲和典型RAID系統(tǒng)的塊級復(fù)制相比，對象復(fù)制是在對象級進(jìn)行的。

對象也永遠(yuǎn)不會被修改。如果需要修改對象，則將其存儲為新對象。如果啟用了版本控制，則將對象的先前版本保存。如果不是，則只刪除先前的版本。這與塊存儲非常不同，在塊存儲中，文件或塊是就地編輯的，除非使用某種附加保護(hù)系統(tǒng)，否則以前的版本永遠(yuǎn)不會保存。

云計算供應(yīng)商提供對象存儲服務(wù)，其中包括亞馬遜的簡單存儲服務(wù)(S3)、Azure的Blob存儲和谷歌公司的云存儲?？梢詫⑦@些對象存儲系統(tǒng)設(shè)置為抵御會耗盡所有可用區(qū)域的區(qū)域性災(zāi)難。

亞馬遜公司使用必須由客戶配置的跨區(qū)域復(fù)制來做到這一點(diǎn)。微軟地理冗余存儲包括跨區(qū)域的復(fù)制，而谷歌公司提供了具有相同功能的雙區(qū)域和多區(qū)域存儲。結(jié)合所有對象存儲系統(tǒng)中內(nèi)置的版本控制功能，這使得存儲在此類系統(tǒng)中的數(shù)據(jù)比這些供應(yīng)商提供的存儲在塊存儲系統(tǒng)中的數(shù)據(jù)更具彈性。

塊卷和文件系統(tǒng)是為提高性能而設(shè)計的，而對象存儲的設(shè)計是以數(shù)據(jù)完整性為主要目標(biāo)的。例如，可以在任何時候使用唯一標(biāo)識符以確保對象的給定副本沒有損壞。文件系統(tǒng)要做的就是通過創(chuàng)建唯一標(biāo)識符(UID)的過程重新運(yùn)行對象。如果唯一標(biāo)識符(UID)仍然相同，則對象的內(nèi)容沒有更改。如果對象的內(nèi)容由于其他原因而更改，則系統(tǒng)會自動檢測到該內(nèi)容，因?yàn)槲ㄒ粯?biāo)識符(UID)會更改。然后，它可以通過從另一個區(qū)域檢索好的副本來自動修復(fù)對象。沒有塊設(shè)備或文件系統(tǒng)內(nèi)置此級別的數(shù)據(jù)完整性。

由于所謂的“開放存儲桶”問題，對象存儲受到了極大的關(guān)注，在該存儲桶中，重要且敏感的數(shù)據(jù)存儲在權(quán)限未得到適當(dāng)管理的存儲桶中。將存儲桶視為包含相關(guān)對象的超大容器。

大型客戶數(shù)據(jù)庫已通過此問題暴露出來，主要是因?yàn)榭蛻舾静涣私鈱ο蟠鎯Φ墓ぷ鞣绞?。?dāng)然，可以創(chuàng)建一個開放的存儲桶，因?yàn)樗褂脩艨梢酝ㄟ^簡單地給他們直接鏈接到該對象的方式輕松地將文件分發(fā)給許多人。但這也意味著創(chuàng)建一個開放的存儲桶并意外地將用戶的商業(yè)秘密泄露給外界相對容易。

遵循最佳實(shí)踐

通過谷歌公司對用戶最喜歡的對象存儲供應(yīng)商的最佳實(shí)踐進(jìn)行簡單搜索，即可獲得用戶需要做正確事情的資源。例如，亞馬遜公司的網(wǎng)頁提供了一些常識性建議，例如禁用所有人的公共訪問權(quán)限和重寫權(quán)限。微軟公司和谷歌公司都有一個最佳實(shí)踐頁面。用戶還應(yīng)該能夠找到許多第三方文章來獲得指導(dǎo)。

一個常見的建議是僅識別給定應(yīng)用程序需要什么訪問權(quán)限，并授予該級別的訪問權(quán)限，而不再授予其他權(quán)限。僅向每個應(yīng)用程序授予對對象存儲桶的完全訪問權(quán)限可能會容易得多，但這是一個可能發(fā)生的安全隱患。還可以考慮使用基于角色的管理，該管理可根據(jù)需要輕松地授予和撤消訪問權(quán)限。

是否需要備份對象存儲？

決定是否備份對象存儲并不像是否應(yīng)該備份塊卷那樣簡單。與塊卷不同，對象存儲自動包括許多級別的保護(hù)，以防止可能對企業(yè)造成危害的各種情況，其中包括可選的一次寫入多次讀取(WORM)保護(hù)。如果用戶遵循所有可用的最佳實(shí)踐(包括跨區(qū)域復(fù)制)，那么在任何情況下都不會丟失所有數(shù)據(jù)并進(jìn)行備份。數(shù)據(jù)保護(hù)專家可以幫助制定合理的策略。

盡管如此，很難與那些說對象存儲服務(wù)仍然是有可能犯錯誤的人編寫的人爭論。他們會說，如果駐留在對象存儲中的數(shù)據(jù)是關(guān)鍵任務(wù)，則應(yīng)該備份它。

重要的是，有很多方法可以做到這一點(diǎn)。例如，用戶可以為備份使用完全不同的服務(wù)級別(AWS Glazier Deep Archive、Azure Archive Storage或Google Coldline)來保存對象數(shù)據(jù)的“以防萬一”副本。如果數(shù)據(jù)十分重要，則應(yīng)考慮以這種方式進(jìn)行備份，并確保數(shù)據(jù)位于不同的賬戶和區(qū)域中，就像塊存儲一樣。

注意用戶使用的是什么

塊卷需要備份，因此需要確保備份。塊存儲快照也應(yīng)復(fù)制到另一個區(qū)域和賬戶。對象存儲提供了更高級別的彈性，因?yàn)樗鼤詣訌?fù)制到多個可用性區(qū)域。但是請注意，沒有什么措施是絕對正確的，所以用戶要了解這些并做出自己的決定。