AZ-305

Deep Dive

D2 · Almacenamiento de Datos

Diseño de Storage Accounts

Las decisiones de diseño de almacenamiento en AZ-305: qué redundancia cumple los requisitos de durabilidad y DR, qué access tier minimiza costo según el patrón de acceso, y qué mecanismo de autorización es el más seguro.

Icon-storage-86

Redundancia: de LRS a GZRS

OpciónCopiasSobrevive a...Durabilidad
LRS3 en un datacenterFallo de disco/rack11 nueves
ZRS3 en 3 availability zonesCaída de un datacenter/zona entero12 nueves
GRSLRS + 3 asíncronas en región emparejadaDesastre regional (failover)16 nueves
GZRSZRS + 3 asíncronas en región emparejadaZona caída Y desastre regional16 nueves
RA-GRS / RA-GZRSIgual + lectura en la secundariaPermite LEER de la secundaria sin failover16 nueves

Claves de diseño

  • • La replicación geo es asíncrona — RPO típico < 15 min (posible pérdida de últimos minutos en failover)
  • • Failover de cuenta: iniciado por el cliente (o por Microsoft en desastre declarado); tras failover la cuenta queda en LRS y hay que reconfigurar
  • • RA-GRS: apps pueden leer de la secundaria (endpoint -secondary) para HA de lectura sin failover

Cómo elegir

  • • Datos recreables / dev-test → LRS
  • • HA dentro de la región (zonal) → ZRS
  • • Requisito de DR regional → GRS/GZRS
  • • Máxima resiliencia (zonal + regional) → GZRS
  • • Premium (SSD) solo soporta LRS y ZRS
Icon-storage-86

Access tiers y lifecycle management

TierCosto storage / accesoMínimo de permanenciaUso
HotStorage caro / acceso baratoDatos de uso frecuente
CoolMás barato / acceso más caro30 díasAcceso infrecuente: backups recientes, datos de 30-90 días
ColdAún más barato / acceso caro90 díasRaramente accedido pero disponible online al instante
ArchiveMínimo / rehidratación necesaria (horas)180 díasCumplimiento, retención de años. OFFLINE: rehidratar a Hot/Cool para leer (1-15h, o High Priority <1h)

Lifecycle management policies

Reglas automáticas por antigüedad/último acceso: mover a Cool tras 30 días sin acceso → Archive tras 180 → eliminar tras 7 años. Si el escenario pide "optimizar costos de blobs automáticamente según su uso", la respuesta es lifecycle management — no scripts ni Azure Functions.

Icon-storage-86

Standard vs Premium y Data Lake Gen2

Tipos de cuenta

  • Standard general-purpose v2: el default — blobs, files, queues, tables, todos los tiers y redundancias
  • Premium block blobs: SSD, latencia baja y consistente — workloads interactivos, IoT de alta frecuencia
  • Premium file shares: SMB/NFS de alto rendimiento
  • Premium page blobs: discos no administrados (legacy)

Data Lake Storage Gen2

  • • Blob storage + hierarchical namespace (directorios reales)
  • • ACLs POSIX por directorio/archivo (además de RBAC)
  • • La base de los data lakes para Synapse, Databricks, Fabric
  • • Señal de examen: "analítica big data" + "permisos por carpeta" → ADLS Gen2

Azure Files y NetApp Files

ServicioProtocoloCuándo
Azure Files Standard/PremiumSMB, NFS (premium), RESTFile shares administrados: lift-and-shift de apps con shares, perfiles FSLogix de AVD. Auth Kerberos con Entra DS/AD DS
Azure File SyncSMB (agente en Windows Server)Cache local en servidores on-prem con cloud tiering — sucursales con acceso rápido y nube como verdad
Azure NetApp FilesNFSv3/v4.1, SMB, dualWorkloads enterprise exigentes: SAP HANA, HPC, bases de datos sobre NFS — latencia <1ms y throughput extremo
Blob NFS 3.0NFS sobre blobAnalítica/HPC que lee objetos vía NFS, más barato que NetApp
Icon-storage-86

Acceso: claves, SAS y Entra ID

MecanismoRiesgoCuándo
Entra ID + RBAC (DataActions)Mínimo — sin secretos, con CA y auditoríaPRIMERA opción siempre: managed identity + Storage Blob Data Contributor/Reader
User delegation SASBajo — firmada con credenciales Entra, no con account keyAcceso temporal delegado a clientes externos (la mejor SAS)
Service/Account SASMedio — firmada con account key; revocar = rotar la claveAcceso granular temporal cuando no hay identidad Entra. Limitar con stored access policies
Account keysAlto — acceso total a la cuentaEvitar en apps. Deshabilitar shared key si la policy lo permite
Anonymous public accessCríticoSolo contenido deliberadamente público (CDN origin). Deshabilitado por defecto

Red

Private Endpoints para tráfico solo-VNet (recuerda la zona DNS privatelink), firewall de cuenta con IPs/VNets permitidas, y "Allow trusted Microsoft services" para que Backup/Defender accedan pese al firewall.

Tabla de decisión

RequisitoDiseño
Datos críticos que deben sobrevivir caída de zona Y de regiónGZRS (o RA-GZRS si necesitan leer en DR)
Reportes leen de la secundaria sin hacer failoverRA-GRS / RA-GZRS (endpoint -secondary)
Retención de 10 años al menor costo, acceso casi nuncaArchive tier + lifecycle policy
Mover blobs automáticamente a tiers fríos según último accesoLifecycle management policy
Data lake con permisos por directorio para SynapseADLS Gen2 (hierarchical namespace + ACLs)
Latencia de blob baja y consistente para workload interactivoPremium block blob (LRS/ZRS)
Compartir archivos SMB con cache en sucursalesAzure Files + Azure File Sync (cloud tiering)
SAP HANA sobre NFS con latencia <1msAzure NetApp Files
Una app accede a blobs sin secretosManaged identity + RBAC data plane
Partner externo sube archivos durante 48hUser delegation SAS con expiración

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una aseguradora almacena expedientes digitalizados: se consultan con frecuencia los primeros 60 días, casi nunca después, y la regulación exige conservarlos 10 años y poder recuperarlos en menos de 24 horas. Quieren el menor costo posible con mínima administración. ¿Qué diseñas?

Inicia sesión para llevar tu progreso.