Upravit

Sdílet prostřednictvím


Spuštění virtuálního počítače s Windows v Azure

Azure Backup
Azure Blob Storage
Azure Resource Manager
Azure Storage
Azure Virtual Machines

Zřízení virtuálního počítače v Azure vyžaduje další komponenty kromě samotného virtuálního počítače, včetně síťových a úložných prostředků. Tento článek ukazuje osvědčené postupy pro spuštění zabezpečeného virtuálního počítače s Windows v Azure.

Architektura

Diagram znázorňující virtuální počítač s Windows v Azure

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

Skupina prostředků

Skupina prostředků je logický kontejner, který obsahuje související prostředky Azure. Obecně platí, že seskupí prostředky podle jejich životnosti a kdo je bude spravovat.

Do jedné skupiny prostředků byste měli umístit úzce související prostředky, které mají stejný životní cyklus. Skupiny prostředků umožňují nasadit a monitorovat prostředky jako skupinu a sledovat fakturační náklady podle skupin prostředků. Prostředky můžete také odstranit jako sadu, což je užitečné pro testovací nasazení. Přiřaďte prostředkům smysluplné názvy a zjednodušte tak vyhledání konkrétních prostředků a pochopení jejich rolí. Další informace najdete v tématu Doporučené zásady vytváření názvů pro prostředky Azure.

Virtuální počítač

Virtuální počítač můžete zřídit ze seznamu publikovaných imagí nebo z vlastní spravované image nebo ze souboru virtuálního pevného disku (VHD) nahraného do Azure Blob Storage.

Azure nabízí mnoho různých velikostí virtuálních počítačů. Další informace najdete v tématu Velikosti virtuálních počítačů v Azure. Pokud přesouváte existující úlohu do Azure, začněte velikostí virtuálního počítače, která je nejblíže vašim místním serverům. Pak změřte výkon skutečné úlohy z hlediska procesoru, paměti a vstupně-výstupních operací disku za sekundu (IOPS) a podle potřeby upravte velikost.

Obecně zvolte oblast Azure, která je nejblíže vašim interním uživatelům nebo zákazníkům. Ne všechny velikosti virtuálních počítačů jsou dostupné ve všech oblastech. Další informace najdete v tématu Služby v jednotlivých oblastech. Seznam velikostí virtuálních počítačů dostupných v konkrétní oblasti zobrazíte spuštěním následujícího příkazu z Azure CLI:

az vm list-sizes --location <location>

Informace o výběru publikované image virtuálního počítače najdete v tématu Vyhledání imagí virtuálních počítačů s Windows.

Disky

Pro zajištění nejlepšího výkonu diskových operací doporučujeme použít službu Premium Storage, která ukládá data na discích SSD (solid-state drive). Náklady závisí na kapacitě zřízeného disku. IOPS a propustnost také závisí na velikosti disku, takže při zřizování disku zvažte všechny tři faktory (kapacita, IOPS a propustnost). Premium Storage také nabízí bezplatné rozšíření, v kombinaci s pochopením vzorů úloh, nabízí efektivní strategii výběru skladové položky a optimalizace nákladů pro infrastrukturu IaaS, která umožňuje vysoký výkon bez nadměrného zřizování a minimalizace nákladů na nevyužitou kapacitu.

Spravované disky zjednodušují správu disků tím, že za vás zpracovávají úložiště. Spravované disky nevyžadují účet úložiště. Zadáte velikost a typ disku a nasadíte ho jako vysoce dostupný prostředek. Spravované disky také nabízejí optimalizaci nákladů tím, že poskytují požadovaný výkon bez nutnosti nadměrného zřizování, započítávání vzorců úloh a minimalizace nevyužité zřízené kapacity.

Disk operačního systému je virtuální pevný disk uložený v Azure Storage, takže dál funguje i pokud je hostitelský počítač mimo provoz. Doporučujeme také vytvořit jeden nebo více datových disků, což jsou trvalé virtuální pevné disky používané pro data aplikací.

Dočasné disky poskytují dobrý výkon bez dalších nákladů, ale mají významné nevýhody, že jsou trvalé, mají omezenou kapacitu a omezují se jenom na operační systém a dočasné disky. Pokud je to možné, instalujte aplikace na datový disk, nikoli na disk operačního systému. U některých starších aplikací může být potřeba nainstalovat komponenty na jednotku C:; v takovém případě můžete s použitím PowerShellu změnit velikost disku operačního systému.

Virtuální počítač se vytvoří také s dočasným diskem ( D: jednotka ve Windows). Tento disk je uložený na fyzické jednotce hostitelského počítače. Neukládá se v Azure Storage a při restartování nebo jiných událostech životního cyklu virtuálního počítače může dojít k jeho odstranění. Tento disk používejte jenom pro dočasná data, jako jsou stránkovací nebo odkládací soubory.

Síť

Mezi síťové komponenty patří následující zdroje informací:

  • Virtuální síť: Každý virtuální počítač se nasadí do virtuální sítě, která se dá segmentovat do několika podsítí.

  • Síťové rozhraní (NIC): Síťové rozhraní umožňuje virtuálnímu počítači komunikovat s virtuální sítí. Pokud potřebujete více síťových rozhraní pro virtuální počítač, je pro každou velikost virtuálního počítače definován maximální počet síťových karet.

  • Veřejná IP adresa: K komunikaci s virtuálním počítačem je potřeba veřejná IP adresa – například přes protokol RDP (Remote Desktop Protocol). Veřejná IP adresa může být dynamická nebo statická. Ve výchozím nastavení je dynamická.

  • Skupina zabezpečení sítě (NSG): Skupiny zabezpečení sítě slouží k povolení nebo odepření síťového provozu do virtuálních počítačů. Skupiny zabezpečení sítě je možné přidružit buď k podsítím, nebo k jednotlivým instancím virtuálních počítačů.

    • Každá skupina zabezpečení sítě obsahuje sadu výchozích pravidel, včetně pravidla, které blokuje veškerou příchozí internetovou komunikaci. Výchozí pravidla nelze odstranit, ale jiná pravidla je můžou přepsat. Pokud chcete povolit internetový provoz, vytvořte pravidla, která povolují příchozí provoz na konkrétní porty – například port 80 pro PROTOKOL HTTP. Pokud chcete povolit RDP, přidejte pravidlo NSG, které povoluje příchozí přenosy na TCP port 3389.
  • Azure NAT Gateway. Brány překladu síťových adres (NAT) umožňují všem instancím v privátní podsíti připojit odchozí spojení k internetu a zůstat plně privátní. Přes bránu NAT se můžou předávat pouze pakety, které dorazí jako pakety odpovědí na odchozí připojení. Nevyžádaná příchozí připojení z internetu nejsou povolená.

  • Azure Bastion. Azure Bastion je plně spravované řešení platformy jako služby, které poskytuje zabezpečený přístup k virtuálním počítačům prostřednictvím privátních IP adres. Díky této konfiguraci virtuální počítače nepotřebují veřejnou IP adresu, která je zveřejňuje na internetu, což zvyšuje stav zabezpečení. Azure Bastion poskytuje zabezpečené připojení RDP nebo Secure Shell (SSH) k virtuálním počítačům přímo přes protokol TLS (Transport Layer Security) prostřednictvím různých metod, včetně webu Azure Portal nebo nativních klientů SSH nebo RDP.

Operace

Diagnostika: Povolte monitorování a diagnostiku, včetně základních metrik stavu, diagnostických protokolů infrastruktury a diagnostiky spouštění. Diagnostika spouštění vám pomůže zjistit chyby spouštění, pokud se virtuální počítač dostane do stavu, kdy ho nebude možné spustit. Vytvořte účet Azure Storage pro ukládání protokolů. Pro diagnostické protokoly stačí standardní účet místně redundantního úložiště (LRS). Další informace najdete v tématu Povolení monitorování a diagnostiky.

Dostupnost. Na váš virtuální počítač může mít vliv plánovaná údržba nebo neplánovaný výpadek. Ke zjištění toho, jestli restartování virtuálního počítače způsobila plánovaná údržba, můžete použít protokoly restartování virtuálního počítače. Pokud chcete vyšší dostupnost, nasaďte několik virtuálních počítačů ve skupině dostupnosti nebo napříč zónami dostupnosti v určité oblasti. Obě tyto konfigurace poskytují vyšší smlouvu o úrovni služeb (SLA).

Zálohy, které chrání před náhodným únikem dat, použijte službu Azure Backup k zálohování virtuálních počítačů do geograficky redundantního úložiště. Azure Backup poskytuje zálohy konzistentní s aplikací.

Zastavení virtuálního počítače: Azure rozlišuje mezi tím, když je virtuální počítač zastavený a když má zrušené přidělení. Když se virtuální počítač v zastaveném stavu, fakturuje se vám, ale když má zrušené přidělení, tak ne. Virtuální počítač můžete uvolnit pomocí tlačítka Stop na webu Azure Portal. Pokud virtuální počítač vypnete pomocí operačního systému, když jste přihlášení, zastaví se, ale neuvolní, takže se vám bude nadále účtovat.

Odstranění virtuálního počítače: Pokud odstraníte virtuální počítač, máte možnost odstranit nebo ponechat jeho disky. To znamená, že virtuální počítač můžete bezpečně odstranit bez obav ze ztráty dat. Za disky se vám ale budou dál účtovat poplatky. Spravované disky můžete odstranit stejně jako jakýkoli jiný prostředek Azure. Pokud chcete zabránit neúmyslnému odstranění, použijte zámek prostředku a uzamkněte celou skupinu prostředků nebo jenom vybrané prostředky, jako je třeba virtuální počítač.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

V závislosti na využití a úloze existují různé možnosti velikostí virtuálních počítačů. Rozsah zahrnuje nejekonomičtější možnost řady Bs-series na nejnovější virtuální počítače GPU optimalizované pro strojové učení. Informace o dostupných možnostech najdete v tématu Ceny virtuálních počítačů Azure s Windows.

V případě předvídatelných úloh využijte rezervace Azure a plán úspor Azure pro výpočetní prostředky s ročním nebo tříletým kontraktem a získejte výrazné úspory oproti průběžným platbám. U úloh bez předvídatelného času dokončení nebo spotřeby prostředků zvažte možnost Průběžné platby.

Pomocí spotových virtuálních počítačů Azure můžete spouštět úlohy, které je možné přerušit a nevyžadují dokončení v rámci předem určeného časového rámce nebo smlouvy SLA. Azure nasadí spotové virtuální počítače, pokud je k dispozici kapacita a vyřazuje se, když kapacitu potřebuje zpět. Náklady spojené s spotovými virtuálními počítači jsou výrazně nižší. Zvažte spotové virtuální počítače pro tyto úlohy:

  • Scénáře s vysoce výkonnými výpočetními operacemi, úlohy dávkového zpracování nebo aplikace pro vizuální vykreslení
  • Testovací prostředí, včetně kontinuální integrace a úloh průběžného doručování
  • Bezstavové aplikace ve velkém měřítku

K odhadu nákladů použijte cenovou kalkulačku Azure.

Další informace najdete v části věnované nákladům v tématu Dobře navržená architektura Microsoft Azure.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

Pomocí Microsoft Defenderu pro cloud získáte centrální přehled o stavu zabezpečení vašich prostředků Azure. Defender for Cloud monitoruje potenciální problémy se zabezpečením a poskytuje komplexní přehled o stavu zabezpečení vašeho nasazení. Defender pro cloud je nakonfigurovaný pro každé předplatné Azure. Povolte shromažďování dat zabezpečení, jak je popsáno v onboardingu předplatného Azure do služby Defender for Cloud Standard. Když je shromažďování dat povolené, Defender for Cloud automaticky prohledá všechny virtuální počítače vytvořené v rámci daného předplatného.

Správa oprav: Pokud je tato možnost povolená, Defender for Cloud zkontroluje, jestli chybí nějaké aktualizace zabezpečení a důležité aktualizace. K povolení automatických aktualizací systému použijte nastavení zásad skupiny na virtuálním počítači.

Antimalware: Pokud je tato možnost povolená, Defender for Cloud zkontroluje, jestli je nainstalovaný antimalwarový software. K instalaci antimalwarového softwaru z webu Azure Portal můžete použít také Defender for Cloud.

Řízení přístupu K řízení přístupu k prostředkům Azure použijte řízení přístupu na základě role (Azure RBAC ). Azure RBAC umožňuje přiřazovat autorizační role členům týmu DevOps. Třeba role čtenáře může zobrazovat prostředky Azure, ale nemůže je vytvářet, spravovat ani odstraňovat. Některá oprávnění jsou specifická pro typ prostředku Azure. Třeba role Přispěvatel virtuálních počítačů může restartovat nebo zrušit přidělení virtuálního počítače, resetovat heslo správce, vytvořit nový virtuální počítač a tak dále. Mezi další předdefinované role , které můžou být užitečné pro tuto architekturu, patří uživatel DevTest Labs a přispěvatel sítě.

Poznámka:

Azure RBAC neomezuje akce, které může uživatel přihlášený k virtuálnímu počítači provést. Tato oprávnění určuje typ účtu v hostovaném operačním systému.

Protokoly auditu Pomocí protokolů auditu můžete zjistit akce zřizování a další události virtuálního počítače.

Šifrování dat: Azure Disk Encryption použijte, pokud potřebujete šifrovat disky s operačním systémem a datovými disky.

Provozní dokonalost

Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.

Infrastrukturu použijte jako kód (IaC) buď pomocí jedné šablony Azure Resource Manageru pro zřizování prostředků Azure (deklarativní přístup), nebo pomocí jednoho skriptu PowerShellu (imperativního přístupu). Vzhledem k tomu, že všechny prostředky jsou ve stejné virtuální síti, jsou izolované ve stejné základní úloze. To usnadňuje přidružení konkrétních prostředků úlohy k týmu DevOps, aby tým mohl nezávisle spravovat všechny aspekty těchto prostředků. Tato izolace umožňuje týmu a službám DevOps provádět kontinuální integraci a průběžné doručování (CI/CD).

Můžete také použít různé šablony Azure Resource Manageru a integrovat je se službou Azure DevOps Services k zřizování různých prostředí během několika minut, například k replikaci produkčního prostředí, jako jsou scénáře nebo prostředí zátěžového testování, pouze v případě potřeby, což šetří náklady.

Zvažte použití služby Azure Monitor k analýze a optimalizaci výkonu infrastruktury a monitorování a diagnostice problémů se sítěmi bez protokolování na virtuálních počítačích.

Další kroky