Perspektiva rozhraní Azure Well-Architected Framework na Virtual Machines a škálovací sady
Azure Virtual Machines je typ výpočetní služby, kterou můžete použít k vytváření a spouštění virtuálních počítačů na platformě Azure. Nabízí flexibilitu v různých skladových posadkách, operačních systémech a konfiguracích s různými modely fakturace.
Tento článek předpokládá, že jste si jako architekt prostudovali rozhodovací strom výpočetních prostředků a zvolili Virtual Machines jako výpočetní službu pro vaši úlohu. Pokyny v tomto článku poskytují doporučení pro architekturu, která jsou mapována na principy pilířů architektury Azure Well-Architected Framework.
Důležité
Jak používat tohoto průvodce
Každá část obsahuje kontrolní seznam návrhu , který představuje oblasti zájmu o architekturu spolu se strategiemi návrhu lokalizovanými do oboru technologie.
Součástí jsou také doporučení týkající se technologických možností, které můžou pomoct tyto strategie materializovat. Doporučení nepředstavují úplný seznam všech konfigurací dostupných pro Virtual Machines a jejich závislostí. Místo toho vypisují klíčová doporučení mapovaná na perspektivy návrhu. Využijte doporučení k vytvoření testování konceptu nebo optimalizaci stávajících prostředí.
Základní architektura, která demonstruje klíčová doporučení: Virtual Machines základní architekturu.
Rozsah technologie
Tato kontrola se zaměřuje na související rozhodnutí týkající se následujících prostředků Azure:
Virtual Machines
Azure Virtual Machine Scale Sets
Disky
Disky jsou důležitou závislostí pro architektury založené na virtuálních počítačích. Další informace najdete v tématu Disky a optimalizace.
Spolehlivost
Účelem pilíře spolehlivosti je zajistit trvalou funkčnost vytvořením dostatečné odolnosti a schopnosti rychle se zotavit z selhání.
Principy návrhu spolehlivosti poskytují strategii návrhu na vysoké úrovni, která se používá pro jednotlivé komponenty, systémové toky a systém jako celek.
Kontrolní seznam návrhu
Vytvořte strategii návrhu na základě kontrolního seznamu kontroly návrhu pro spolehlivost. Určete jeho význam pro vaše obchodní požadavky a mějte na paměti skladové položky a funkce virtuálních počítačů a jejich závislosti. Rozšiřte strategii tak, aby zahrnovala více přístupů podle potřeby.
Projděte si Virtual Machines kvót a omezení, která můžou představovat omezení návrhu. Virtuální počítače mají specifická omezení a kvóty, které se liší v závislosti na typu virtuálního počítače nebo oblasti. Můžou existovat omezení předplatného, například počet virtuálních počítačů na předplatné nebo počet jader na virtuální počítač. Pokud vaše předplatné sdílí jiné úlohy, může se snížit vaše schopnost využívat data. Zkontrolujte limity virtuálních počítačů, škálovacích sad virtuálních počítačů a spravovaných disků.
Proveďte analýzu režimu selhání , abyste minimalizovali body selhání, a to analýzou interakcí virtuálních počítačů se síťovými komponentami a komponentami úložiště. Pokud chcete lokalizovat přístup k disku a vyhnout se směrováním v síti, zvolte konfigurace, jako jsou dočasné disky operačního systému (OS). Přidejte nástroj pro vyrovnávání zatížení, který zlepší zachování sebezáchovy tím, že distribuuje síťový provoz mezi několik virtuálních počítačů, což zvyšuje dostupnost a spolehlivost.
Vypočítejte složené cíle úrovně služeb (SLO) na základě smluv o úrovni služeb (SLA) Azure. Ujistěte se, že vaše cílová úroveň služeb není vyšší než smlouva Azure SLA , abyste se vyhnuli nerealistickým očekáváním a potenciálním problémům.
Mějte na paměti složitosti, které závislosti přinášejí. Například některé závislosti, jako jsou virtuální sítě a síťové karty, nemají vlastní smlouvy SLA. Jiné závislosti, například přidružený datový disk, mají smlouvy SLA, které se integrují se smlouvami SLA virtuálních počítačů. Tyto varianty byste měli zvážit, protože můžou ovlivnit výkon a spolehlivost virtuálních počítačů.
Zohlásněte kritické závislosti virtuálních počítačů na komponentách, jako jsou disky a síťové komponenty. Pokud těmto relacím rozumíte, můžete určit kritické toky, které mají vliv na spolehlivost.
Vytvořte izolaci stavu. Data úloh by měla být na samostatném datovém disku, aby se zabránilo rušení disku s operačním systémem. Pokud virtuální počítač selže, můžete vytvořit nový disk s operačním systémem se stejným datovým diskem, což zajistí odolnost a izolaci chyb. Další informace najdete v tématu Dočasné disky s operačním systémem.
Zajištění redundance virtuálních počítačů a jejich závislostí napříč zónami Pokud virtuální počítač selže, úloha by měla nadále fungovat z důvodu redundance. Zahrňte závislosti do možností redundance. Použijte například integrované možnosti redundance, které jsou k dispozici u disků. K zajištění dostupnosti dat a vysoké doby provozu použijte zónově redundantní IP adresy.
Připravte se na vertikální navýšení a horizontální navýšení kapacity , abyste zabránili snížení úrovně služeb a chybám. Virtual Machine Scale Sets mít funkce automatického škálování, které podle potřeby vytvářejí nové instance a distribuují zatížení mezi několik virtuálních počítačů a zón dostupnosti.
Prozkoumejte možnosti automatického obnovení. Azure podporuje funkce monitorování snížení stavu a funkce samoopravení pro virtuální počítače. Například škálovací sady poskytují automatické opravy instancí. V pokročilejších scénářích samoopravení zahrnuje použití Azure Site Recovery, pasivní pohotovostní režim pro převzetí služeb při selhání nebo opětovné nasazení z infrastruktury jako kódu (IaC). Zvolená metoda by měla odpovídat obchodním požadavkům a operacím vaší organizace. Další informace najdete v tématu Přerušení služeb virtuálního počítače.
Nastavení práv virtuálních počítačů a jejich závislostí Pochopte očekávanou práci virtuálního počítače, abyste měli jistotu, že není poddimenzovaný a dokáže zvládnout maximální zatížení. Mít dodatečnou kapacitu pro zmírnění selhání.
Vytvořte komplexní plán zotavení po havárii. Připravenost na havárii zahrnuje vytvoření komplexního plánu a rozhodnutí o technologii pro zotavení.
Závislosti a stavové komponenty, jako je připojené úložiště, můžou komplikovat obnovení. Pokud disky budou mimo provoz, bude toto selhání ovlivnit fungování virtuálního počítače. Do plánů obnovení zahrňte jasný proces pro tyto závislosti.
Spouštět operace s přísnostmi. Volby návrhu spolehlivosti musí být podporovány efektivními operacemi založenými na principech monitorování, testování odolnosti v produkčním prostředí, automatických oprav a upgradů virtuálních počítačů aplikací a na konzistenci nasazení. Provozní pokyny najdete v tématu Efektivita provozu.
Doporučení
| Doporučení | Výhoda |
|---|---|
| (Škálovací sada) K nasazení virtuálních počítačů použijte Virtual Machine Scale Sets v režimu flexibilní orchestrace. | Připravte svou aplikaci na budoucnost pro škálování a využijte záruky vysoké dostupnosti, které rozloží virtuální počítače mezi domény selhání v oblasti nebo zóně dostupnosti. |
| (virtuální počítače) Implementujte koncové body heath , které na virtuálních počítačích generují stav instance. (Škálovací sada) Zadáním upřednostňované akce opravy povolte automatické opravy ve škálovací sadě. Zvažte nastavení časového rámce, během kterého se automatické opravy pozastaví, pokud se stav virtuálního počítače změní. |
Udržujte dostupnost i v případě, že se instance považuje za poškozenou. Automatické opravy zahájí obnovení nahrazením vadné instance. Nastavení časového intervalu může zabránit neúmyslným nebo předčasném operacím oprav. |
| (Škálovací sada) Povolte nadměrné zřizování ve škálovacích sadách. | Nadměrné zřizování zkracuje dobu nasazení a přináší nákladové výhody, protože virtuální počítače navíc se neúčtují. |
| (Škálovací sada) Umožněte flexibilní orchestraci rozprostřít instance virtuálních počítačů mezi co nejvíce domén selhání. | Tato možnost izoluje domény selhání. Během období údržby, kdy se aktualizuje jedna doména selhání, jsou instance virtuálních počítačů dostupné v ostatních doménách selhání. |
| (Škálovací sada) Nasazení napříč zónami dostupnosti ve škálovacích sadách V každé zóně nastavte alespoň dvě instance. Vyrovnáváním zón rovnoměrně rozdělí instance mezi zóny. |
Instance virtuálních počítačů se zřizují ve fyzicky oddělených umístěních v rámci každé oblasti Azure, která jsou odolné vůči místním selháním. Mějte na paměti, že v závislosti na dostupnosti prostředků může být napříč zónami nerovnoměrný počet instancí. Vyrovnávání zóny podporuje dostupnost tím, že se ujistěte, že pokud je jedna zóna mimo provoz, ostatní zóny mají dostatek instancí. Dvě instance v každé zóně poskytují během upgradů vyrovnávací paměť. |
| (virtuální počítače) Využijte funkci rezervací kapacity. | Kapacita je vyhrazená pro vaše použití a je k dispozici v rámci příslušných smluv SLA. Rezervace kapacity můžete odstranit, když je už nepotřebujete, a fakturace je založená na spotřebě. |
Tip
Další informace o spolehlivosti virtuálních počítačů najdete v tématu Spolehlivost v Virtual Machines.
Zabezpečení
Účelem pilíře Zabezpečení je poskytnout sadě funkcí záruky důvěrnosti, integrity a dostupnosti .
Principy návrhu zabezpečení poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů použitím přístupů k technickému návrhu Virtual Machines.
Kontrolní seznam návrhu
Vytvořte strategii návrhu na základě kontrolního seznamu kontroly návrhu pro zabezpečení. Identifikujte ohrožení zabezpečení a kontrolní mechanismy pro zlepšení stavu zabezpečení. Rozšiřte strategii tak, aby zahrnovala více přístupů podle potřeby.
Projděte si standardní hodnoty zabezpečení pro virtuální počítače s Linuxem a Windows a Virtual Machine Scale Sets.
Jako součást volby základní technologie zvažte funkce zabezpečení skladových položek virtuálních počítačů, které podporují vaše úlohy.
Zajistěte včasné a automatizované opravy zabezpečení a upgrady. Ujistěte se, že se aktualizace automaticky nasazují a ověřují pomocí dobře definovaného procesu. Řešení, jako je Azure Automation, můžete použít ke správě aktualizací operačního systému a zajištění dodržování předpisů zabezpečení prováděním důležitých aktualizací.
Identifikujte virtuální počítače, které mají stav. Ujistěte se, že jsou data klasifikovaná podle popisků citlivosti, které vaše organizace poskytla. Chraňte data pomocí bezpečnostních prvků, jako jsou vhodné úrovně šifrování neaktivních uložených dat a přenášených dat. Pokud máte vysoké požadavky na citlivost, zvažte použití kontrolních mechanismů s vysokým zabezpečením, jako je dvojité šifrování a důvěrné výpočetní prostředí Azure, k ochraně dat při používání.
Virtuálním počítačům a škálovacím sadám můžete poskytnout segmentaci nastavením hranic sítě a řízení přístupu. Umístěte virtuální počítače do skupin prostředků, které sdílejí stejný životní cyklus.
Použijte řízení přístupu na identity , které se pokoušejí připojit k virtuálním počítačům, a také na virtuální počítače, které se dostanou k jiným prostředkům. Pro potřeby ověřování a autorizace použijte Microsoft Entra ID. Nasaďte silná hesla, vícefaktorové ověřování a řízení přístupu na základě role (RBAC) pro virtuální počítače a jejich závislosti, jako jsou tajné kódy, aby povolené identity prováděly pouze operace, které se od jejich rolí očekávají.
Omezte přístup k prostředkům na základě podmínek pomocí Microsoft Entra podmíněného přístupu. Definujte podmíněné zásady na základě doby trvání a minimální sady požadovaných oprávnění.
K omezení příchozího a výchozího provozu použijte ovládací prvky sítě. Izolujte virtuální počítače a škálovací sady v Azure Virtual Network a definujte skupiny zabezpečení sítě pro filtrování provozu. Ochrana před distribuovanými útoky na dostupnost služby (DDoS). Používejte nástroje pro vyrovnávání zatížení a pravidla brány firewall k ochraně před škodlivým provozem a útoky na exfiltraci dat.
Azure Bastion použijte k zajištění zabezpečeného připojení k virtuálním počítačům pro provozní přístup.
Komunikace mezi virtuálními počítači a řešeními PaaS (platforma jako služba) by měla být přes privátní koncové body.
Omezte prostor pro útoky posílením imagí operačního systému a odebráním nepoužívaných komponent. Použijte menší image a odeberte binární soubory, které se ke spuštění úlohy nevyžadují. Zpřísnit konfiguraci virtuálních počítačů odebráním funkcí, jako jsou výchozí účty a porty, které nepotřebujete.
Chraňte tajné kódy , jako jsou certifikáty, které potřebujete k ochraně přenášených dat. Zvažte použití rozšíření Azure Key Vault pro Windows nebo Linux, které automaticky aktualizuje certifikáty uložené v trezoru klíčů. Když rozšíření zjistí změnu certifikátů, načte a nainstaluje odpovídající certifikáty.
Detekce hrozeb: Monitorování hrozeb a chybných konfigurací ve virtuálních počítačích Pomocí Defenderu pro servery můžete zaznamenávat změny virtuálních počítačů a operačních systémů a udržovat záznam pro audit přístupu, nové účty a změny oprávnění.
Prevence hrozeb: Chraňte se před malwarovými útoky a škodlivými aktéry implementací kontrolních mechanismů zabezpečení, jako jsou brány firewall, antivirový software a systémy detekce neoprávněných vniknutí. Zjistěte, jestli se vyžaduje důvěryhodné spouštěcí prostředí (TEE).
Doporučení
| Doporučení | Výhoda |
|---|---|
| (Škálovací sada) Přiřazení spravované identity ke škálovacím sadám Všechny virtuální počítače ve škálovací sadě získají stejnou identitu prostřednictvím zadaného profilu virtuálního počítače. (virtuální počítače) Spravovanou identitu můžete také přiřadit jednotlivým virtuálním počítačům při jejich vytváření a v případě potřeby ji přidat do škálovací sady. |
Když virtuální počítače komunikují s jinými prostředky, překračují hranice důvěryhodnosti. Před povolením komunikace by škálovací sady a virtuální počítače měly ověřit svou identitu. Microsoft Entra ID toto ověřování zpracovává pomocí spravovaných identit. |
| (Škálovací sada) Zvolte skladové položky virtuálních počítačů s funkcemi zabezpečení. Některé skladové položky například podporují šifrování nástrojem BitLocker a důvěrné výpočetní operace poskytují šifrování dat, která se používají. Projděte si funkce a seznamte se s omezeními. |
Funkce poskytované Azure jsou založené na signálech zachycených v mnoha tenantech a můžou chránit prostředky lépe než vlastní ovládací prvky. K vynucení těchto ovládacích prvků můžete použít také zásady. |
| (virtuální počítače, škálovací sada) Ve zřízených prostředcích použijte značky doporučené organizací . | Označování je běžný způsob segmentace a uspořádání prostředků a může být klíčové při řízení incidentů. Další informace najdete v tématu Účel pojmenování a označování. |
| (virtuální počítače, škálovací sada) Nastavte profil zabezpečení pomocí funkcí zabezpečení, které chcete povolit v konfiguraci virtuálního počítače. Pokud například v profilu zadáte šifrování u hostitele , data uložená na hostiteli virtuálního počítače se v klidovém stavu zašifrují a toky se šifrují do služby úložiště. |
Funkce v profilu zabezpečení se automaticky povolí při vytvoření virtuálního počítače. Další informace najdete v tématu Standardní hodnoty zabezpečení Azure pro Virtual Machine Scale Sets. |
| (virtuální počítače) Zvolte možnosti zabezpečené sítě pro profil sítě virtuálního počítače. Nepřidružujte přímo veřejné IP adresy k virtuálním počítačům a nepovolujte předávání IP. Ujistěte se, že všechna virtuální síťová rozhraní mají přidruženou skupinu zabezpečení sítě. |
V profilu sítě můžete nastavit ovládací prvky segmentace. Útočníci kontrolují veřejné IP adresy, díky čemuž jsou virtuální počítače zranitelné vůči hrozbám. |
| (virtuální počítače) Zvolte možnosti zabezpečeného úložiště pro profil úložiště virtuálního počítače. Ve výchozím nastavení povolte šifrování disků a šifrování neaktivních uložených dat. Zakažte veřejný síťový přístup k diskům virtuálních počítačů. |
Zakázání veřejného síťového přístupu pomáhá zabránit neoprávněnému přístupu k vašim datům a prostředkům. |
| (virtuální počítače, škálovací sada) Zahrňte do virtuálních počítačů rozšíření , která chrání před hrozbami. Třeba – rozšíření Key Vault pro Windows a Linux - ověřování Microsoft Entra ID - Microsoft Antimalware pro Azure Cloud Services a Virtual Machines – Rozšíření Azure Disk Encryption pro Windows a Linux |
Rozšíření se používají ke spuštění virtuálních počítačů se správným softwarem, který chrání přístup k virtuálním počítačům a z virtuálních počítačů. Rozšíření od Microsoftu se často aktualizují, aby udržela krok s vyvíjejícími se standardy zabezpečení. |
Optimalizace nákladů
Optimalizace nákladů se zaměřuje na zjišťování vzorců výdajů, určování priorit investic v kritických oblastech a optimalizaci v ostatních oblastech tak, aby splňovaly rozpočet organizace při současném splnění obchodních požadavků.
Principy návrhu optimalizace nákladů poskytují strategii návrhu na vysoké úrovni pro dosažení těchto cílů a dosažení kompromisů podle potřeby v technickém návrhu souvisejícím s Virtual Machines a jeho prostředím.
Kontrolní seznam návrhu
Začněte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro optimalizaci nákladů pro investice. Vylaďte návrh tak, aby úloha odpovídala rozpočtu přidělenému pro danou úlohu. Váš návrh by měl využívat správné funkce Azure, monitorovat investice a hledat příležitosti k optimalizaci v průběhu času.
Odhad reálných nákladů. K odhadu nákladů na virtuální počítače použijte cenovou kalkulačku . Pomocí selektoru virtuálních počítačů identifikujte nejlepší virtuální počítač pro vaši úlohu. Další informace najdete v tématu Ceny pro Linux a Windows .
Implementujte nákladové mantinely. Pomocí zásad správného řízení omezte typy prostředků, konfigurace a umístění. Pomocí RBAC můžete blokovat akce, které můžou vést k nadměrnému utrácení.
Zvolte správné prostředky. Váš výběr velikostí plánů virtuálních počítačů a skladových položek má přímý vliv na celkové náklady. Vyberte virtuální počítače na základě charakteristik úloh. Je úloha náročná na procesor nebo spouští přerušitelné procesy? Každá skladová položka má přidružené možnosti disku, které mají vliv na celkové náklady.
Volba správných možností pro závislé prostředky Ušetřete náklady na úložiště zálohování na úrovni trezoru Standard pomocí Azure Backup úložiště s rezervovanou kapacitou. Nabízí slevu, když se zavážete k rezervaci na jeden nebo tři roky.
Archivní úroveň ve službě Azure Storage je offline úroveň, která je optimalizovaná pro ukládání dat objektů blob, ke kterým se přistupuje zřídka. Archivní úroveň nabízí nejnižší náklady na úložiště, ale vyšší náklady na načítání dat a latenci v porovnání s horkou a studenou online úrovní.
Zvažte použití zotavení po havárii mezi zónami , aby se virtuální počítače zotavily ze selhání lokality a zároveň snížily složitost dostupnosti pomocí zónově redundantních služeb. Snížení provozní složitosti může přinést nákladové výhody.
Zvolte správný model fakturace. Vyhodnoťte, jestli modely založené na závazku pro výpočty optimalizují náklady na základě obchodních požadavků úloh. Zvažte tyto možnosti Azure:
- Rezervace Azure: Předplacení předvídatelných úloh za účelem snížení nákladů v porovnání s cenami založenými na spotřebě
Důležité
Nákupem rezervovaných instancí snížíte náklady na Azure pro úlohy se stabilním využitím. Spravujte využití a ujistěte se, že neplatíte za více prostředků, než používáte. Udržujte rezervované instance jednoduché a udržujte nízké režijní náklady na správu, abyste snížili náklady.
- Úsporný plán: Pokud se zavážete utratit pevnou hodinovou částku za výpočetní služby po dobu jednoho nebo tří let, může tento plán snížit náklady.
- Zvýhodněné hybridní využití Azure: Uložení při migraci místních virtuálních počítačů do Azure
- Rezervace Azure: Předplacení předvídatelných úloh za účelem snížení nákladů v porovnání s cenami založenými na spotřebě
Monitorování využití Nepřetržitě monitorujte vzorce využití a detekujte nepoužívané nebo nevyužité virtuální počítače. Pro tyto instance vypněte instance virtuálních počítačů, když se nepoužívají. Monitorování je klíčovým přístupem k efektivitě provozu. Další informace najdete v doporučeních v tématu Efektivita provozu.
Hledejte způsoby, jak optimalizovat. Mezi některé strategie patří volba nákladově nejefektivnějšího přístupu mezi zvýšením prostředků v existujícím systému nebo vertikálním navýšením kapacity a přidáním dalších instancí tohoto systému nebo horizontálním navýšením kapacity. Můžete snížit zatížení tím, že ji distribuujete do jiných prostředků, nebo můžete snížit poptávku implementací prioritních front, snižováním zátěže brány, ukládáním do vyrovnávací paměti a omezováním rychlosti. Další informace najdete v doporučeních v tématu Efektivita výkonu.
Doporučení
| Doporučení | Výhoda |
|---|---|
| (virtuální počítače, škálovací sada) Zvolte správnou velikost a skladovou položku plánu virtuálního počítače. Určete nejlepší velikosti virtuálních počítačů pro vaši úlohu. Pomocí selektoru virtuálních počítačů identifikujte nejvhodnější virtuální počítač pro vaši úlohu. Viz Ceny pro Windows a Linux . U úloh, jako jsou úlohy s vysoce paralelním dávkovém zpracování, které můžou tolerovat některá přerušení, zvažte použití Azure Spot Virtual Machines. Spotové virtuální počítače jsou vhodné pro experimentování, vývoj a testování rozsáhlých řešení. |
Cenové úrovně se účtují podle nabízených možností. Pokud nepotřebujete pokročilé funkce, nemusíte příliš utrácet za skladové položky. Spotové virtuální počítače využívají nadbytečnou kapacitu v Azure s nižšími náklady. |
| (virtuální počítače, škálovací sada) Vyhodnoťte možnosti disků , které jsou přidružené ke skladovým úrovním virtuálního počítače. Určete své požadavky na výkon a mějte na paměti potřeby kapacity úložiště a zohlednění proměnlivých vzorů úloh. Například disk Azure Premium SSD v2 umožňuje podrobné úpravy výkonu nezávisle na velikosti disku. |
Některé typy vysoce výkonných disků nabízejí další funkce a strategie optimalizace nákladů. Možnost přizpůsobení disku SSD úrovně Premium v2 může snížit náklady, protože poskytuje vysoký výkon bez nadměrného zřízení, což by jinak mohlo vést k nevyužité prostředky. |
| (Škálovací sada) Běžné virtuální počítače můžete kombinovat se spotovými virtuálními počítači. Flexibilní orchestrace umožňuje distribuovat spotové virtuální počítače na základě zadaného procenta. |
Snižte náklady na výpočetní infrastrukturu uplatněním hlubokých slev spotových virtuálních počítačů. |
| (Škálovací sada) Snižte počet instancí virtuálních počítačů při poklesu poptávky. Nastavte zásadu škálování na základě kritérií. Zastavte virtuální počítače mimo pracovní dobu. Můžete použít funkci Azure Automation Start/Stop a nakonfigurovat ji podle svých obchodních potřeb. |
Škálování nebo zastavení prostředků, když se nepoužívají, snižuje počet virtuálních počítačů spuštěných ve škálovací sadě, což šetří náklady. Funkce Start/Stop je nízkonákladová možnost automatizace. |
| (virtuální počítače, škálovací sada) Využijte výhod mobility licencí pomocí Zvýhodněné hybridní využití Azure. Virtuální počítače mají možnost licencování, která umožňuje přenést do Azure vlastní místní licence operačního systému Windows Server . Zvýhodněné hybridní využití Azure také umožňuje přenést určitá předplatná Linuxu do Azure. |
Místní licence můžete maximalizovat a zároveň využívat výhody cloudu. |
Efektivita provozu
Efektivita provozu se primárně zaměřuje na postupy pro vývojové postupy, pozorovatelnost a správu verzí.
Principy návrhu provozní excelence poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů pro provozní požadavky úlohy.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro efektivitu provozu pro definování procesů pozorovatelnosti, testování a nasazení souvisejících s Virtual Machines a škálovacími sadami.
Monitorování instancí virtuálních počítačů Shromážděte protokoly a metriky z instancí virtuálních počítačů za účelem monitorování využití prostředků a měření stavu instancí. Mezi běžné metriky patří využití procesoru, počet požadavků a latence vstupně-výstupních operací( vstupně-výstupních operací). Nastavte upozornění služby Azure Monitor, aby bylo možné dostávat oznámení o problémech a zjišťovat změny konfigurace ve vašem prostředí.
Monitorujte stav virtuálních počítačů a jejich závislostí.
- Nasaďte komponenty monitorování ke shromažďování protokolů a metrik, které poskytují komplexní přehled o virtuálních počítačích, hostovaném operačním systému a diagnostických datech spouštění. Virtual Machine Scale Sets shrnovat telemetrii, která umožňuje zobrazit metriky stavu na úrovni jednotlivých virtuálních počítačů nebo jako agregaci. Pomocí Služby Azure Monitor můžete tato data zobrazit na virtuálním počítači nebo agregovat na více virtuálních počítačích. Další informace najdete v tématu Doporučení k agentům monitorování.
- Využijte síťové komponenty, které kontrolují stav virtuálních počítačů. Například Azure Load Balancer virtuální počítače pomocí příkazu ping rozpoznává virtuální počítače, které nejsou v pořádku, a odpovídajícím způsobem směruje provoz.
- Nastavte pravidla upozornění služby Azure Monitor. Určete důležité podmínky v datech monitorování a identifikujte a vyřešte problémy dříve, než ovlivní systém.
Vytvořte plán údržby , který zahrnuje pravidelné opravy systému jako součást rutinních operací. Zahrnout nouzové procesy, které umožňují okamžitou aplikaci oprav. Můžete mít vlastní procesy pro správu oprav nebo částečně delegovat úlohu do Azure. Azure poskytuje funkce pro údržbu jednotlivých virtuálních počítačů. Můžete nastavit časové intervaly údržby, abyste minimalizovali výpadky během aktualizací. Během aktualizací platformy jsou důležité důležité informace o doméně selhání pro zajištění odolnosti. Doporučujeme nasadit alespoň dvě instance v zóně. Dva virtuální počítače na zónu zaručují minimálně jeden virtuální počítač v každé zóně, protože v zóně se najednou aktualizuje jenom jedna doména selhání. Proto pro tři zóny zřiďte alespoň šest instancí.
Automatizujte procesy pro spouštění, spouštění skriptů a konfiguraci virtuálních počítačů. Procesy můžete automatizovat pomocí rozšíření nebo vlastních skriptů. Doporučujeme následující možnosti:
Rozšíření Key Vault virtuálních počítačů automaticky aktualizuje certifikáty uložené v trezoru klíčů.
Rozšíření vlastních skriptů Azure pro Windows a Linux stahuje a spouští skripty na Virtual Machines. Toto rozšíření použijte pro konfiguraci po nasazení, instalaci softwaru nebo jakoukoli jinou úlohu konfigurace nebo správy.
Pomocí cloud-init nastavte spouštěcí prostředí pro virtuální počítače s Linuxem.
Máte procesy pro instalaci automatických aktualizací. Zvažte použití automatických oprav hosta virtuálního počítače pro včasné zavedení důležitých oprav a oprav zabezpečení. Pomocí řešení Update Management v Azure Automation můžete spravovat aktualizace operačního systému pro virtuální počítače s Windows a Linuxem v Azure.
Než je nasadíte do produkčního prostředí, vytvořte testovací prostředí, které bude testovat aktualizace a změny. Zavést procesy pro testování aktualizací zabezpečení, standardních hodnot výkonu a chyb spolehlivosti. Využijte knihovny chyb Azure Chaos Studio k vkládání a simulaci chybových stavů. Další informace najdete v tématu Knihovna chyb a akcí v nástroji Azure Chaos Studio.
Spravujte kvótu. Naplánujte si, jakou úroveň kvóty vaše úloha vyžaduje, a pravidelně ji s vývojem úloh kontrolujte. Pokud potřebujete kvótu navýšit nebo snížit, požádejte o tyto změny co nejdříve.
Doporučení
| Doporučení | Výhoda |
|---|---|
| (Škálovací sada) Virtual Machine Scale Sets v režimu flexibilní orchestrace může zjednodušit nasazení a správu úloh. Můžete například snadno spravovat samoopravování pomocí automatických oprav. | Flexibilní orchestrace může spravovat instance virtuálních počítačů ve velkém měřítku. Předání jednotlivých virtuálních počítačů zvyšuje provozní režii. Když například odstraníte instance virtuálních počítačů, automaticky se odstraní i přidružené disky a síťové karty. Instance virtuálních počítačů jsou rozložené do několika domén selhání, aby operace aktualizací nenarušovaly službu. |
| (Škálovací sada) Udržujte virtuální počítače aktuální nastavením zásad upgradu. Doporučujeme upgrade se zajištěním provozu. Pokud ale potřebujete podrobné řízení, zvolte upgrade ručně. Pro flexibilní orchestraci můžete použít Update Management v Azure Automation. |
Zabezpečení je hlavním důvodem upgradů. Záruky zabezpečení pro instance by se v průběhu času neměly zhoršovat. Postupné upgrady se provádějí v dávkách, což zajistí, že všechny instance nebudou ve stejnou dobu mimo provoz. |
| (virtuální počítače, škálovací sada) Automatické nasazení aplikací virtuálních počítačů z Galerie výpočetních prostředků Azure definováním aplikací v profilu | Vytvoří se virtuální počítače ve škálovací sadě a předinstalují se zadané aplikace, což usnadňuje správu. |
| Nainstalujte předem připravené softwarové komponenty jako rozšíření v rámci bootstrappingu. Azure podporuje mnoho rozšíření, která je možné použít ke konfiguraci, monitorování, zabezpečení a poskytování pomocných aplikací pro virtuální počítače. Povolte automatické upgrady u rozšíření. |
Rozšíření můžou pomoct zjednodušit instalaci softwaru ve velkém měřítku, aniž byste ho museli ručně instalovat, konfigurovat nebo upgradovat na každém virtuálním počítači. |
| (virtuální počítače, škálovací sada) Monitorujte a změřte stav instancí virtuálních počítačů. Nasaďte na virtuální počítače rozšíření agenta monitorování , abyste mohli shromažďovat data monitorování z hostovaného operačního systému pomocí pravidel shromažďování dat specifických pro operační systém. Povolte přehledy virtuálních počítačů pro monitorování stavu a výkonu a zobrazení trendů ze shromážděných dat. Pomocí diagnostiky spouštění získejte informace při spouštění virtuálních počítačů. Diagnostika spouštění také diagnostikuje selhání spouštění. |
Základem řešení incidentů jsou data monitorování. Komplexní zásobník monitorování poskytuje informace o výkonu virtuálních počítačů a jejich stavu. Díky nepřetržitému monitorování instancí můžete být připraveni na selhání, jako je přetížení výkonu nebo problémy se spolehlivostí, nebo jim můžete zabránit. |
Efektivita výkonu
Efektivita výkonu spočívá v zachování uživatelského prostředí, i když se zvýší zatížení díky správě kapacity. Strategie zahrnuje škálování prostředků, identifikaci a optimalizaci potenciálních kritických bodů a optimalizaci výkonu ve špičce.
Principy návrhu efektivity výkonu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů kapacity oproti očekávanému využití.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro efektivitu výkonu. Definujte směrný plán založený na klíčových ukazatelích výkonu pro Virtual Machines a škálovací sady.
Definujte cíle výkonu. Identifikujte metriky virtuálních počítačů pro sledování a měření podle ukazatelů výkonu, jako je doba odezvy, využití procesoru a využití paměti, a také metriky úloh, jako jsou transakce za sekundu, souběžní uživatelé a dostupnost a stav.
Při plánování kapacity zohládejte profil výkonu virtuálních počítačů, škálovacích sad a konfigurace disků. Každá skladová položka má jiný profil paměti a procesoru a chová se odlišně v závislosti na typu úlohy. Proveďte pilotní nasazení a testování konceptu, abyste porozuměli chování výkonu v rámci konkrétní úlohy.
Ladění výkonu virtuálních počítačů. Využijte výhod optimalizace výkonu a vylepšení funkcí, které vyžadují úlohy. Pro případy použití s vysokým výkonem a akcelerované síťové služby můžete například použít místně připojené zařízení NVMe (Non-Volatile Memory Express) a ssd úrovně Premium v2 pro zajištění lepšího výkonu a škálovatelnosti.
Vezměte v úvahu závislé služby. Závislosti úloh, jako je ukládání do mezipaměti, síťový provoz a sítě pro doručování obsahu, které komunikují s virtuálními počítači, můžou mít vliv na výkon. Zvažte také zeměpisné rozdělení, jako jsou zóny a oblasti, které může latenci přidat.
Shromážděte data o výkonu. Postupujte podle osvědčených postupů pro monitorování a nasazení příslušných rozšíření a zobrazte metriky, které sledují ukazatele výkonu.
Skupiny umístění bezkontaktní komunikace. Používejte skupiny umístění bezkontaktní komunikace v úlohách, kde se vyžaduje nízká latence, abyste zajistili, že virtuální počítače jsou fyzicky umístěné blízko sebe.
Doporučení
| Doporučení | Výhoda |
|---|---|
| (virtuální počítače, škálovací sada) Zvolte skladové položky pro virtuální počítače , které odpovídají vašemu plánování kapacity. Dobře porozuďte požadavkům na úlohy, včetně počtu jader, paměti, úložiště a šířky pásma sítě, abyste mohli vyfiltrovat nevhodné skladové položky. |
Nastavení práv virtuálních počítačů je základní rozhodnutí, které výrazně ovlivňuje výkon vašich úloh. Bez správné sady virtuálních počítačů může docházet k problémům s výkonem a nabít zbytečné náklady. |
| (virtuální počítače, škálovací sada) Nasaďte virtuální počítače úloh citlivých na latenci ve skupinách umístění bezkontaktní komunikace. | Skupiny umístění bezkontaktní komunikace zmenšují fyzickou vzdálenost mezi výpočetními prostředky Azure, což může zlepšit výkon a snížit latenci sítě mezi samostatnými virtuálními počítači, virtuálními počítači ve více skupinách dostupnosti nebo virtuálními počítači ve více škálovacích sadách. |
| (virtuální počítače, škálovací sada) Nastavte profil úložiště analýzou výkonu disku stávajících úloh a skladové položky virtuálního počítače. Pro produkční virtuální počítače použijte disky SSD úrovně Premium . Upravte výkon disků pomocí ssd úrovně Premium v2. Používejte místně připojená zařízení NVMe. |
Disky SSD úrovně Premium poskytují vysoce výkonné disky s nízkou latencí a podporují virtuální počítače s úlohami náročnými na vstupně-výstupní operace. Ssd úrovně Premium v2 nevyžaduje změnu velikosti disku, což umožňuje vysoký výkon bez nadměrného zřizování a minimalizuje náklady na nevyužitou kapacitu. Pokud jsou k dispozici ve SKU virtuálních počítačů, místně připojená zařízení NVMe nebo podobná zařízení můžou nabízet vysoký výkon, zejména v případech použití, které vyžadují vysoké vstupně-výstupní operace za sekundu (IOPS) a nízkou latenci. |
| (virtuální počítače) Zvažte povolení akcelerovaných síťových služeb. | Umožňuje virtuálnímu počítači virtualizaci SR-IOV (Single Root I/O Virtualization), což výrazně zlepšuje jeho síťový výkon. |
| (virtuální počítače, škálovací sada) Nastavte pravidla automatického škálování pro zvýšení nebo snížení počtu instancí virtuálních počítačů ve škálovací sadě na základě poptávky. | Pokud se požadavky na vaši aplikaci zvýší, zvýší se i zatížení instancí virtuálních počítačů ve škálovací sadě. Pravidla automatického škálování zajišťují, že máte dostatek prostředků pro splnění poptávky. |
Zásady Azure
Azure poskytuje rozsáhlou sadu předdefinovaných zásad týkajících se Virtual Machines a jejích závislostí. Některá z předchozích doporučení je možné auditovat prostřednictvím Azure Policy. Můžete například zkontrolovat, jestli:
- Šifrování na hostiteli je povolené.
- Antimalwarová rozšíření jsou nasazená a povolená pro automatické aktualizace na virtuálních počítačích s Windows Serverem.
- Automatické opravy imagí operačního systému ve škálovacích sadách jsou povolené.
- Instalují se jenom schválená rozšíření virtuálních počítačů.
- Agent monitorování a agenti závislostí jsou povoleni na nových virtuálních počítačích ve vašem prostředí Azure.
- Nasazují se pouze povolené skladové položky virtuálních počítačů, které omezují velikosti podle omezení nákladů.
- Privátní koncové body se používají pro přístup k prostředkům disku.
- Detekce ohrožení zabezpečení je povolená. Pro počítače s Windows existují specializovaná pravidla. Můžete například naplánovat, Windows Defender kontrolovat každý den.
Pokud chcete zajistit komplexní zásady správného řízení, projděte si Azure Policy předdefinované definice pro Virtual Machines a další zásady, které můžou ovlivnit zabezpečení výpočetní vrstvy.
Doporučení Azure Advisoru
Azure Advisor je individuální cloudový konzultant, který vám pomůže dodržovat osvědčené postupy při optimalizaci nasazení Azure. Tady je několik doporučení, která vám pomůžou zlepšit spolehlivost, zabezpečení, nákladovou efektivitu, výkon a efektivitu provozu Virtual Machines.
Další kroky
Následující články zvažte jako zdroje informací, které ukazují doporučení zvýrazněná v tomto článku.
- Jako příklady použití pokynů v tomto článku pro úlohu použijte následující referenční architektury:
- Jednoúčelové architektury virtuálních počítačů: Virtuální počítač s Linuxem a virtuální počítač s Windows
- Základní architektura, která se zaměřuje na doporučení infrastruktury: Virtual Machines základní architektura
- Využijte následující dokumentaci k produktu a získejte zkušenosti s implementací:
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro