Entender la API REST de objeto de Azure NetApp Files

Azure NetApp Files API REST de objetos permite el acceso basado en objetos a los datos almacenados en volúmenes de Azure NetApp Files. Esta funcionalidad permite a las aplicaciones acceder al mismo conjunto de datos mediante protocolos basados en archivos (NFS/SMB) y API de objetos (compatibles con S3) sin duplicar ni migrar datos.

Este modelo de acceso unificado permite que los datos basados en archivos existentes se usen directamente en flujos de trabajo de análisis, inteligencia artificial y aplicaciones modernas sin necesidad de sistemas de almacenamiento independientes, soluciones de traducción de datos o copias de datos.

Conceptos clave

Contenedores

Un bucket representa una vista mapeada de un directorio dentro de un volumen y sirve como punto de entrada para el acceso basado en objetos.

  • Los cubos están asociados a volúmenes.
  • Al eliminar un volumen, se eliminan permanentemente sus cubos asociados.

Objetos

Cada archivo dentro de la jerarquía de directorios asignado se representa como un objeto .

  • Los nombres de objeto se derivan de rutas de acceso de archivo relativas al directorio asignado.
  • Las operaciones de objeto actúan directamente en el contenido del archivo.

Funcionamiento de la API REST de objetos

Azure NetApp Files asigna un directorio dentro de un volumen a un cubo de objetos, lo que permite a las aplicaciones y servicios que usan patrones de acceso basados en objetos para interactuar con datos basados en archivos.

  • Una ruta de directorio, incluida la raíz del volumen, se puede exponer como un contenedor.
  • Los directorios se representan como prefijos lógicos dentro de un cubo.
  • Cada archivo se representa como un objeto .
  • Las rutas de acceso de objeto corresponden directamente a las rutas de acceso del sistema de archivos.
  • Los límites de directorio se representan mediante el / delimitador.
  • Las operaciones de objeto pueden leer, escribir y enumerar datos.
  • Las operaciones de objeto se traducen en operaciones equivalentes del sistema de archivos.

Esta asociación permite que las aplicaciones usen las API de objetos para interactuar con datos que siguen almacenados como archivos.

Información general sobre la arquitectura

En el diagrama siguiente se muestra el acceso simultáneo de archivos y objetos al mismo conjunto de datos de Azure NetApp Files:

Captura de pantalla de la arquitectura de la API REST.

En este modelo:

  • Los clientes nas y las aplicaciones acceden a los datos mediante NFS o SMB.
  • Los clientes de objeto acceden a los mismos datos a través de la API REST de objetos.
  • Los servicios de análisis e inteligencia artificial (como Azure Databricks, Microsoft Fabric y Servicios de Azure AI) se integran con Azure NetApp Files mediante el acceso basado en objetos.
  • Los datos permanecen almacenados en volúmenes de Azure NetApp Files.

Flujo de trabajo de acceso a objetos

En un nivel alto, el acceso a la API REST de objetos sigue este flujo:

  • Se crea un contenedor a partir de un directorio de un volumen de Azure NetApp Files.
  • Las aplicaciones y los servicios se conectan mediante las API basadas en objetos.
  • Las operaciones de objeto (como lectura, escritura y lista) se traducen en operaciones del sistema de archivos.
  • La API REST de objeto autentica las solicitudes mediante claves de acceso y evalúa el acceso a archivos mediante la identidad suplantada configurada.
  • Los datos se devuelven al cliente sin que se dupliquen ni se muevan.

Este flujo de trabajo permite a las aplicaciones acceder a los datos mediante las API de objetos mientras el almacenamiento subyacente sigue funcionando como un sistema de archivos.

Seguridad y permisos

La API REST de objetos presenta permisos de nivel de cubo, que son los controles de acceso principales específicos de la API REST de objetos. La configuración del cubo también define la identidad del sistema de archivos cuya identidad se suplanta al tener acceso a los datos mediante la API REST de objetos. Los permisos de archivo NAS existentes siguen siendo aplicados en función de esa identidad suplantada.

  • Los permisos del bucket definen si los clientes de la API REST de objetos tienen acceso de solo lectura o de lectura y escritura al bucket.
  • La identidad de autenticación y la identidad de autorización del sistema de archivos son conceptos independientes:
    • Las claves de acceso de S3 autentican al cliente frente al bucket.
    • La identidad suplantada configurada del cubo determina a qué archivos y directorios se puede tener acceso.
  • Cada cubo se configura con una identidad suplantada del sistema de archivos:
    • Los volúmenes NFS usan un identificador de usuario (UID) y un identificador de grupo (GID).
    • Los volúmenes SMB usan una cuenta de usuario.
    • Los volúmenes de doble protocolo usan UID/GID o cuentas de usuario, según el estilo de seguridad configurado.
  • La API REST de objeto solicita datos de acceso mediante la identidad suplantada configurada. Los permisos de archivo estándar y las ACL en el volumen de Azure NetApp Files siguen siendo obligatorios para esa identidad.
  • Los usuarios solo pueden acceder a los archivos y directorios a los que la identidad suplantada configurada ya tiene permiso para acceder a través de los permisos ESTÁNDAR NFS o SMB. El acceso al cubo no concede automáticamente acceso a todos los objetos del directorio o volumen asignados.
  • Las ACL de NAS y los permisos de archivo existentes siguen siendo autoritativos para el acceso a la API REST de objetos. La API rest de objeto no omite ni reemplaza los controles de acceso de NAS existentes.
  • El acceso a archivos a través de protocolos SMB y NFS sigue usando sus modelos de autenticación y autorización existentes sin modificaciones.
  • La comunicación segura con la API REST de objetos requiere certificados TLS configurados para el punto de conexión de la API REST de objeto.

Captura de pantalla de la seguridad y los permisos de la API REST.

Operaciones soportadas

  • ListBucket
  • ListObjects/ListObjectsV2
  • GetObject
  • EnviarObjeto
  • EliminarObjeto
  • HeadObject

Escenarios comunes

La API REST de objetos habilita nuevos patrones de carga de trabajo para Azure NetApp Files.

Captura de pantalla de los escenarios comunes de la API REST.

Análisis de datos e inteligencia artificial

Un equipo de ingeniería de datos debe analizar un conjunto de datos grande ya almacenado en un volumen de Azure NetApp Files. En lugar de copiar el conjunto de datos en un servicio de almacenamiento de objetos independiente, el equipo se conecta directamente mediante herramientas basadas en objetos y comienza a procesar los datos en su lugar. Este enfoque permite una incorporación más rápida de flujos de trabajo de análisis al tiempo que minimiza la duplicación del almacenamiento.

Aplicaciones híbridas y modernizadas

Las aplicaciones que requieren acceso basado en archivos y basados en objetos pueden funcionar en el mismo conjunto de datos sin mantener varias copias. Esto permite la coexistencia entre aplicaciones heredadas y servicios modernos, lo que permite la modernización gradual sin interrumpir las cargas de trabajo existentes.

Canalizaciones de procesamiento de datos

Las canalizaciones de datos pueden ingerir, transformar y procesar conjuntos de datos mediante herramientas basadas en objetos mientras los datos permanecen almacenados en Azure NetApp Files. Esto admite la integración con un amplio ecosistema de herramientas y servicios que dependen de patrones de acceso basados en objetos.

Requisitos y consideraciones

Tenga en cuenta los siguientes requisitos y limitaciones al usar la API REST de Azure NetApp Files objeto:

  • Los cubos están vinculados a volúmenes y se eliminan cuando se elimina el volumen.
  • Los cubos con acceso esporádico habilitado son compatibles con volúmenes de gran tamaño.
  • Los buckets no se admiten en volúmenes de caché de Azure NetApp Files.
  • Los cubos requieren un volumen con datos existentes; no se admiten volúmenes vacíos.
  • La administración del ciclo de vida de los certificados es necesaria para mantener el acceso seguro al punto de conexión de la API REST de objeto.
  • Usted es responsable de mantener el ciclo de vida de los certificados del cubo.
  • Habilite el registro de diagnóstico en todos los almacenes de claves de Azure para asegurarse de que las pistas de auditoría están disponibles para las investigaciones de seguridad.
  • Configure listas de control de acceso de red (ACL) para restringir Azure Key Vault acceso a redes autorizadas, incluida la red virtual de NetApp y las redes virtuales del cliente autorizadas.
  • Considere la posibilidad de usar instancias independientes de Azure Key Vault para los certificados y las credenciales de S3, a fin de ajustarse a las prácticas de seguridad de mínimo privilegio.
  • Separe Azure Key Vault directivas de acceso para certificados y credenciales S3, siempre que sea posible, para mantener límites operativos y de seguridad claros.

Note

La API REST de objeto proporciona acceso basado en objetos a datos de archivo, pero no cambia cómo se almacenan físicamente los datos. El acceso basado en objetos se rige por la configuración del cubo y los mecanismos de acceso a objetos, mientras que el acceso a archivos sigue los modelos de permisos SMB y NFS.

Pasos siguientes

  • Last updated on