التخطيط للتحجيم والشبكات
Azure VM هو نوع مورد حساب البنية التحتية كخدمة (IaaS) شائع في Azure. بالمقارنة مع خدمات حساب النظام الأساسي كخدمة (PaaS)، توفر أجهزة Azure الظاهرية مزيدا من المرونة والتحكم في نظام تشغيل الجهاز الظاهري (OS) وتكوينه. وتتطلب زيادة التحكم والمرونة المزيد من التخطيط لدعم النتائج المثلى.
توضح هذه الوحدة العوامل والاعتبارات العامة لتخطيط عمليات توزيع Azure Linux VM. يجب أن تأخذ عملية التخطيط في الاعتبار جوانب الحوسبة والشبكات والتخزين لتكوين الجهاز الظاهري. بعض هذه الخصائص خاصة بنظام التشغيل، مع اختلاف تفاصيل التنفيذ عبر توزيعات Linux المختلفة.
تتعاون Microsoft مع موردي Linux البارزين لدمج منتجاتهم مع النظام الأساسي ل Azure. للاستفادة الكاملة من هذا التكامل، يمكنك إنشاء أجهزة Azure الظاهرية من الصور التي تم إنشاؤها مسبقا لتوزيعات Linux الشائعة المختلفة، مثل SUSE وRed Hat وUbuntu. اختياريا، يمكنك إنشاء صورة مخصصة لتوزيع Linux للتشغيل في بيئة السحابة. في هذه الحالة، قد يكون هناك المزيد من الخطوات في عملية توفير Azure VM.
في كلتا الحالتين، يمكن أن تساعد وحدة التعلم هذه في تحسين التوزيع الناتج. يتطلب التحسين أن يكون لديك فهم قوي لمورد Azure VM وتبعياته.
فهم تبعيات الموارد
عند إنشاء جهاز Azure ظاهري، تحتاج أيضا إلى إنشاء العديد من الموارد المقترنة التي يعتمد عليها Azure VM لتوفير وظائف كاملة لنظام التشغيل الظاهري. تشمل هذه الموارد ما يلي:
الأقراص الظاهرية لتخزين نظام التشغيل والتطبيقات والبيانات.
شبكة ظاهرية مع شبكة فرعية واحدة أو أكثر لتوصيل جهاز Azure الظاهري بخدمات Azure الأخرى، أو بمراكز البيانات المحلية.
واجهة شبكة اتصال لتوصيل جهاز Azure الظاهري بشبكة فرعية للشبكة الظاهرية.
إشعار
يجب أن يكون لكل واجهة شبكة عنوان IP خاص واحد على الأقل تم تعيينه إليها ديناميكيا أو ثابتا. عناوين IP الخاصة ليست موارد Azure منفصلة، ولكنها جزء من تكوين الشبكة الفرعية.
مجموعة موارد لاستضافة جهاز Azure الظاهري.
اختياريا، عنوان IP عام مرتبط بواجهة شبكة الجهاز الظاهري، لتوفير الوصول المباشر الوارد إلى الجهاز الظاهري من الإنترنت.
الآن بعد أن فهمت تبعيات موارد Azure VM، يمكنك البدء في التخطيط لتحجيم الجهاز الظاهري.
التخطيط للتحجيم
لتحديد الحجم المناسب لجهاز Azure الظاهري الخاص بك، تحتاج إلى النظر في حمل العمل المقصود. يحدد الحجم الذي تختاره الخصائص التالية للجهاز الظاهري:
- قوة المعالجة
- الذاكرة
- سعة التخزين
- الأداء
- دعم ميزات الشبكات المتقدمة
هام
تحتوي أجهزة Azure الظاهرية على حدود الحصة النسبية لوحدة المعالجة المركزية الظاهرية (vCPU)، والتي يجب مراعاتها في التخطيط. لرفع حدود الحصة النسبية بعد النشر، يجب إرسال طلب عبر الإنترنت إلى Azure Support.
تقدم Azure مجموعة واسعة من الأحجام بمواصفات ونقاط سعر مختلفة لتلبية مجموعة متنوعة من الاحتياجات. يتم تجميع أحجام الأجهزة الظاهرية في عدة فئات تمثل أنواع أحمال العمل التي تم تحسينها لها. تتضمن كل فئة سلسلة واحدة أو أكثر، أو عائلات، تشترك في خصائص الأجهزة الأساسية الشائعة ولكنها توفر مجموعة من الأحجام المختلفة.
تعرض القائمة التالية أنواع حمل العمل وحالات الاستخدام الشائعة لكل نوع من أنواع حمل العمل. يحتوي كل نوع من أنواع حمل العمل على عائلات مقابلة تتضمن أحجاما مختلفة.
- الغرض العام: الاختبار والتطوير، وقواعد البيانات الصغيرة إلى المتوسطة، وخوادم الويب ذات نسبة استخدام الشبكة المنخفضة إلى المتوسطة.
- الحوسبة المكثفة: خوادم الويب متوسطة الحركة وأجهزة الشبكة والعمليات الدفعية وخوادم التطبيقات.
- الذاكرة المكثفة: خوادم قاعدة البيانات الارتباطية، وذاكرة التخزين المؤقت المتوسطة إلى الكبيرة، والتحليلات في الذاكرة.
- التخزين المكثف: البيانات الضخمة وSQL وقواعد بيانات NoSQL التي تتطلب إنتاجية عالية للقرص والإدخال/الإخراج (الإدخال/الإخراج).
- تمكين وحدة معالجة الرسومات (GPU): عرض الرسومات الثقيلة أو تحرير الفيديو، وتدريب النموذج والاستدلال مع التعلم العميق.
- الحوسبة عالية الأداء (HPC): أسرع وأقوى أجهزة ظاهرية لوحدة المعالجة المركزية، مع واجهات شبكة اختيارية عالية الإنتاجية تدعم الوصول المباشر للذاكرة عن بعد (RDMA).
عند التخطيط لأحجام أجهزة Azure الظاهرية، ضع في اعتبارك أيضا العوامل التالية:
- يتطلب تغيير سلسلة أو حجم Azure VM، بينما يكون مباشرا ومشتركا، إعادة تشغيل نظام التشغيل. لتجنب إعادة التشغيل، قم بتحجيم الجهاز الظاهري بشكل مناسب من البداية إن أمكن.
- يختلف توفر حجم الجهاز الظاهري حسب المنطقة، لذلك حساب التوفر الإقليمي عند التخطيط للتوزيع.
- يعتمد الحد الأقصى لعدد الأقراص التي يمكنك إرفاقها بجهاز Azure الظاهري على حجمه.
اعتبارات الحجم الأخرى
ضع في اعتبارك استخدام محدد الأجهزة الظاهرية ل Microsoft Azure لتحديد حجم الجهاز الظاهري الأكثر ملاءمة استنادا إلى نوع حمل العمل ونظام التشغيل والبرامج المثبتة ومنطقة النشر.
إذا كنت تخطط لاستخدام نفس الحجم أو ما شابه ذلك من أجهزة Azure الظاهرية في نفس المنطقة على مدى فترة طويلة، ففكر في استخدام حجوزات Azure لتقليل تكلفة الحساب بنسبة تصل إلى 72 بالمائة.
لخفض تكلفة أجهزة Azure الظاهرية لأحمال العمل التي يمكنها التعامل مع الانقطاعات، مثل مهام معالجة الدفعات، استخدم Azure Spot VMs.
التخطيط للشبكات
تتصل الأجهزة الظاهرية بالموارد الخارجية باستخدام شبكة ظاهرية. تمثل الشبكة الظاهرية شبكة خاصة داخل منطقة Azure. يمكنك توصيل الشبكات الظاهرية بالشبكات الأخرى، بما في ذلك الشبكات في مراكز البيانات المحلية، وتطبيق قواعد نسبة استخدام الشبكة للتحكم في الاتصال الوارد والصادر.
تعين كل شبكة ظاهرية مساحة عنوان IP تتكون عادة من نطاق عنوان خاص واحد أو أكثر، كما هو محدد بواسطة RFC 1918. كما هو الحال مع الشبكات المحلية، يمكنك تقسيم مساحة عنوان الشبكة الظاهرية إلى شبكات فرعية متعددة لعزل أحمال عمل Azure VM. تمثل كل شبكة فرعية داخل شبكة ظاهرية نطاق عناوين خاصا. لفرض عزل حمل العمل، يمكنك إقران مجموعة أمان الشبكة (NSG) بكل شبكة فرعية.
يتضمن كل جهاز Azure ظاهري واجهة شبكة واحدة أو أكثر، وتتصل كل واجهة بشبكة فرعية داخل نفس الشبكة الظاهرية. يعين Azure تلقائيا لكل جهاز ظاهري في الشبكة الفرعية عنوان IP من نطاق الشبكة الفرعية. يحتفظ Azure بعنوان IP الأربعة الأول والأخير على كل شبكة فرعية لاستخدامه الخاص ولا يعينها.
في حين أنه من الممكن إنشاء شبكة ظاهرية وشبكات فرعية كجزء من عملية توفير الجهاز الظاهري، فإن النهج الموصى به هو بدء تخطيط توزيع Azure VM مع بيئة الشبكة. بعد حساب جميع متطلبات الشبكات وإنشاء الشبكات الظاهرية المقابلة، يمكنك متابعة نشر أجهزة Azure الظاهرية.
أثناء التخطيط لشبكات Azure الظاهرية والشبكات الفرعية، ضع في اعتبارك مبادئ التصميم التالية:
- تأكد من عدم تداخل مسافات العناوين. إذا كنت ترغب في توصيل الشبكات الظاهرية والشبكات المحلية، فلا يمكن أن تتداخل مساحات عناوين IP.
- استخدم عددا أصغر من الشبكات الظاهرية الأكبر بدلا من عدد أكبر من الشبكات الظاهرية الأصغر. تساعد هذه الممارسة على تقليل النفقات العامة للإدارة وتسهيل قابلية التوسع.
النطاق الترددي للشبكة
على الرغم من أن جهاز Azure الظاهري يمكن أن يحتوي على واجهات شبكة متعددة، إلا أن النطاق الترددي المتوفر يعتمد تماما على حجمه. بشكل عام، يتم تخصيص نطاق ترددي أكبر لأحجام الأجهزة الظاهرية أكبر من الأحجام الأصغر.
لقياس مقدار النطاق الترددي الفعلي للشبكة مقابل الحد المخصص، يستهدف Azure نسبة استخدام الشبكة للخروج فقط. كل حركة مرور الشبكة التي تترك الجهاز الظاهري تحسب نحو هذا الحد، بغض النظر عن وجهة نسبة استخدام الشبكة.
لا يحد Azure مباشرة من النطاق الترددي للدخول. ومع ذلك، تؤثر عوامل مثل التخزين واستخدام موارد الحساب على حجم البيانات الواردة التي يمكن لجهاز Azure الظاهري معالجتها.
التخطيط للاتصال عن بعد
كجزء من تخطيط النشر الخاص بك، ضع في اعتبارك النهج الأنسب لتوفير الاتصال عن بعد. بالنسبة لأجهزة Linux الظاهرية، يتضمن الاتصال عن بعد عادة استخدام Secure Shell (SSH) لتنفيذ التشفير أثناء النقل لجلسة عمل terminal shell.
للمصادقة عبر اتصال SSH، يمكنك استخدام اسم مستخدم وكلمة مرور أو زوج مفاتيح SSH. استخدام كلمات المرور لاتصالات SSH يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. يعد استخدام مفاتيح SSH طريقة أكثر أمانا وتفضيلا للاتصال بجهاز Linux الظاهري باستخدام SSH.
حتى مع مفاتيح SSH، يجب بشكل افتراضي فتح الاتصال بعنوان IP عام مقترن بمحول شبكة Azure VM الهدف. هذا IP العام عرضة للتهديدات الخارجية ويمثل متجه هجوم محتمل. للتخفيف من هذه المخاطر، ضع في اعتبارك تنفيذ Azure Bastion أو الوصول إلى الجهاز الظاهري في الوقت المناسب (JIT).
إشعار
في السيناريوهات المختلطة، للقضاء على الحاجة إلى عناوين IP العامة عند الاتصال من البيئة المحلية إلى أجهزة Azure الظاهرية، يمكنك استخدام شبكة خاصة ظاهرية من موقع إلى موقع (VPN) أو Azure ExpressRoute.
Azure Bastion
يمكنك نشر خدمة Azure Bastion في شبكة فرعية مخصصة لشبكة ظاهرية لديها اتصال بالجهاز الظاهري المستهدف. يعمل Azure Bastion كوسيط لاتصالات SSH الخارجية عبر HTTPS المتوفرة فقط من مدخل Microsoft Azure. يلغي Azure Bastion الحاجة إلى تعيين عناوين IP العامة لواجهة شبكة الجهاز الظاهري الهدف، ويضمن أيضا أن المستخدمين المصادق عليهم والمخولين بشكل صحيح فقط يمكنهم بدء اتصالات SSH.
الوصول إلى الجهاز الظاهري ل JIT
الوصول إلى الجهاز الظاهري في الوقت المحدد هو ميزة Microsoft Defender for Cloud التي تحد من الوصول إلى عنوان IP عام مرتبط بواجهة شبكة Azure VM. تقوم هذه الحدود بضبط NSG ديناميكيا للسماح بالاتصالات الواردة فقط من نطاق عنوان IP معين خلال نافذة زمنية معينة. كما هو الحال مع Azure Bastion، يجب على المستخدمين المصادقة قبل بدء اتصال من مدخل Microsoft Azure.