Zřízení virtuálního počítače v Azure vyžaduje několik dalších komponent kromě samotného virtuálního počítače, včetně síťových prostředků a prostředků úložiště. Tento článek ukazuje osvědčené postupy pro spuštění virtuálního počítače s Windows v Azure.
Architektura
Stáhněte si soubor aplikace Visio s touto architekturou.
Workflow
Skupina prostředků
Skupina prostředků je logický kontejner, který obsahuje související prostředky Azure. Obecně platí, že seskupí prostředky podle jejich životnosti a kdo je bude spravovat.
Do jedné skupiny prostředků byste měli umístit úzce související prostředky, které mají stejný životní cyklus. Skupiny prostředků umožňují nasadit a monitorovat prostředky jako skupinu a sledovat fakturační náklady podle skupin prostředků. Prostředky můžete také odstranit jako sadu, což je velmi užitečné pro testovací nasazení. Přiřaďte prostředkům smysluplné názvy a zjednodušte tak vyhledání konkrétních prostředků a pochopení jejich rolí. Další informace najdete v tématu Doporučené zásady vytváření názvů pro prostředky Azure.
Virtuální počítač
Virtuální počítač můžete zřídit ze seznamu publikovaných imagí nebo z vlastní spravované image nebo ze souboru virtuálního pevného disku (VHD) nahraného do Azure Blob Storage.
Azure nabízí mnoho různých velikostí virtuálních počítačů. Další informace najdete v tématu Velikosti virtuálních počítačů v Azure. Pokud přesouváte existující úlohy do Azure, začněte s velikostí virtuálního počítače, která nejvíce odpovídá vašim místním serverům. Pak změřte výkon skutečné úlohy z hlediska procesoru, paměti a vstupně-výstupních operací disku za sekundu (IOPS) a podle potřeby upravte velikost.
Obecně zvolte oblast Azure, která je nejblíže vašim interním uživatelům nebo zákazníkům. Ne všechny velikosti virtuálních počítačů jsou dostupné ve všech oblastech. Další informace najdete v tématu Služby v jednotlivých oblastech. Seznam velikostí virtuálních počítačů dostupných v konkrétní oblasti zobrazíte spuštěním následujícího příkazu z Azure CLI:
az vm list-sizes --location <location>
Informace o výběru publikované image virtuálního počítače najdete v tématu Vyhledání imagí virtuálních počítačů s Windows.
Disky
Pro zajištění nejlepšího výkonu diskových operací doporučujeme použít službu Premium Storage, která ukládá data na discích SSD (solid-state drive). Náklady závisí na kapacitě zřízeného disku. IOPS a propustnost také závisí na velikosti disku, takže při zřizování disku zvažte všechny tři faktory (kapacita, IOPS a propustnost). Premium Storage také nabízí bezplatné rozšíření, v kombinaci s pochopením vzorů úloh, nabízí efektivní strategii výběru skladové položky a optimalizace nákladů pro infrastrukturu IaaS, která umožňuje vysoký výkon bez nadměrného zřizování a minimalizace nákladů na nevyužitou kapacitu.
Spravované disky zjednodušení správy disků tím, že za vás zpracovává úložiště. Spravované disky zjednodušují správu disků tím, že za vás zpracovávají úložiště. Spravované disky nevyžadují účet úložiště. Jednoduše zadáte velikost a typ disku a nasadíte ho jako vysoce dostupný prostředek. Spravované disky také nabízejí optimalizaci nákladů tím, že poskytují požadovaný výkon bez nutnosti nadměrného zřizování, započítávání vzorců úloh a minimalizace nevyužité zřízené kapacity.
Disk operačního systému je virtuální pevný disk uložený v Azure Storage, takže dál funguje i pokud je hostitelský počítač mimo provoz. Doporučujeme také vytvořit jeden nebo více datových disků, což jsou trvalé virtuální pevné disky používané pro data aplikací.
Dočasné disky poskytují dobrý výkon bez dalších nákladů, ale mají významné nevýhody, že jsou trvalé, mají omezenou kapacitu a omezují se jenom na operační systém a dočasné disky. Pokud je to možné, instalujte aplikace na datový disk, nikoli na disk operačního systému. U některých starších aplikací může být potřeba nainstalovat komponenty na jednotku C:; v takovém případě můžete s použitím PowerShellu změnit velikost disku operačního systému.
Virtuální počítač se vytvoří také s dočasným diskem ( D: jednotka ve Windows). Tento disk je uložený na fyzické jednotce hostitelského počítače. Neukládá se v Azure Storage a při restartování nebo jiných událostech životního cyklu virtuálního počítače může dojít k jeho odstranění. Tento disk používejte jenom pro dočasná data, jako jsou stránkovací nebo odkládací soubory.
Síť
Mezi síťové komponenty patří následující zdroje informací:
Virtuální síť: Každý virtuální počítač se nasadí do virtuální sítě, která se dá segmentovat do několika podsítí.
Síťové rozhraní (NIC): Síťové rozhraní umožňuje virtuálnímu počítači komunikovat s virtuální sítí. Pokud potřebujete více síťových rozhraní pro virtuální počítač, mějte na paměti, že pro každou velikost virtuálního počítače je definovaný maximální počet síťových karet.
Veřejná IP adresa: K komunikaci s virtuálním počítačem je potřeba veřejná IP adresa – například přes vzdálenou plochu (RDP). Veřejná IP adresa může být dynamická nebo statická. Ve výchozím nastavení je dynamická.
Vyhraďte si statickou IP adresu, pokud potřebujete pevnou IP adresu, která se nezmění – například pokud potřebujete vytvořit záznam DNS A nebo přidat IP adresu do seznamu bezpečných adres.
Pro IP adresu můžete také vytvořit plně kvalifikovaný název domény (FQDN). Potom můžete v DNS zaregistrovat záznam CNAME, který na tento plně kvalifikovaný název odkazuje. Další informace najdete v tématu Vytvoření plně kvalifikovaného názvu domény (FQDN) na webu Azure Portal.
Skupina zabezpečení sítě (NSG): Skupiny zabezpečení sítě slouží k povolení nebo odepření síťového provozu do virtuálních počítačů. Skupiny zabezpečení sítě je možné přidružit buď k podsítím, nebo k jednotlivým instancím virtuálních počítačů.
Každá skupina zabezpečení sítě obsahuje sadu výchozích pravidel, včetně pravidla, které blokuje veškerou příchozí internetovou komunikaci. Výchozí pravidla nejde odstranit, ale ostatní pravidla je mohou potlačit. Pokud chcete povolit internetový provoz, vytvořte pravidla, která povolují příchozí provoz na konkrétní porty – například port 80 pro PROTOKOL HTTP. Pokud chcete povolit RDP, přidejte pravidlo NSG, které povoluje příchozí přenosy na TCP port 3389.
Operace
Diagnostika: Povolte monitorování a diagnostiku, včetně základních metrik stavu, diagnostických protokolů infrastruktury a diagnostiky spouštění. Diagnostika spouštění vám pomůže zjistit chyby spouštění, pokud se virtuální počítač dostane do stavu, kdy ho nebude možné spustit. Vytvořte účet Azure Storage pro ukládání protokolů. Pro diagnostické protokoly stačí standardní účet místně redundantního úložiště (LRS). Další informace najdete v tématu Povolení monitorování a diagnostiky.
Dostupnost. Na virtuální počítač může mít vliv plánovaná údržba nebo neplánovaný výpadek. Ke zjištění toho, jestli restartování virtuálního počítače způsobila plánovaná údržba, můžete použít protokoly restartování virtuálního počítače. Pro zajištění vyšší dostupnosti nasaďte několik virtuálních počítačů ve skupině dostupnosti. Tato konfigurace poskytuje vyšší smlouvu o úrovni služeb (SLA).
Zálohy, které chrání před náhodným únikem dat, použijte službu Azure Backup k zálohování virtuálních počítačů do geograficky redundantního úložiště. Azure Backup poskytuje zálohy konzistentní s aplikací.
Zastavení virtuálního počítače: Azure rozlišuje mezi tím, když je virtuální počítač zastavený a když má zrušené přidělení. Když se virtuální počítač v zastaveném stavu, fakturuje se vám, ale když má zrušené přidělení, tak ne. Virtuální počítač můžete uvolnit pomocí tlačítka Stop na webu Azure Portal. Pokud virtuální počítač vypnete pomocí operačního systému, když jste přihlášení, zastaví se, ale neuvolní, takže se vám bude nadále účtovat.
Odstranění virtuálního počítače: Pokud odstraníte virtuální počítač, virtuální pevné disky se odstraní. To znamená, že virtuální počítač můžete bezpečně odstranit bez obav ze ztráty dat. Bude se vám ale účtovat poplatek za úložiště. Pokud chcete odstranit virtuální pevný disku, odstraňte příslušný soubor z úložiště objektů blob. Pokud chcete zabránit neúmyslnému odstranění, použijte zámek prostředku a uzamkněte celou skupinu prostředků nebo jenom vybrané prostředky, jako je třeba virtuální počítač.
Důležité informace
Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.
Optimalizace nákladů
Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.
V závislosti na využití a úloze existují různé možnosti velikostí virtuálních počítačů. Rozsah zahrnuje nejekonomičtější možnost řady Bs-series na nejnovější virtuální počítače GPU optimalizované pro strojové učení. Informace o dostupných možnostech najdete v tématu Ceny virtuálních počítačů Azure s Windows.
V případě předvídatelných úloh využijte rezervace Azure a plán úspor Azure pro výpočetní prostředky s ročním nebo tříletým kontraktem a získejte výrazné úspory oproti průběžným platbám. U úloh bez předvídatelného času dokončení nebo spotřeby prostředků zvažte možnost Průběžné platby.
Pomocí spotových virtuálních počítačů Azure můžete spouštět úlohy, které je možné přerušit a nevyžadují dokončení v rámci předem určeného časového rámce nebo smlouvy SLA. Azure nasadí spotové virtuální počítače, pokud je k dispozici kapacita a vyřazuje se, když kapacitu potřebuje zpět. Náklady spojené s spotovými virtuálními počítači jsou výrazně nižší. Zvažte spotové virtuální počítače pro tyto úlohy:
- Scénáře s vysoce výkonnými výpočetními operacemi, úlohy dávkového zpracování nebo aplikace pro vizuální vykreslení
- Testovací prostředí, včetně kontinuální integrace a úloh průběžného doručování
- Bezstavové aplikace ve velkém měřítku
K odhadu nákladů použijte cenovou kalkulačku Azure.
Další informace najdete v části věnované nákladům v tématu Dobře navržená architektura Microsoft Azure.
Zabezpečení
Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.
Pomocí Microsoft Defenderu pro cloud získáte centrální přehled o stavu zabezpečení vašich prostředků Azure. Defender for Cloud monitoruje potenciální problémy se zabezpečením a poskytuje komplexní přehled o stavu zabezpečení vašeho nasazení. Defender pro cloud je nakonfigurovaný pro každé předplatné Azure. Povolte shromažďování dat zabezpečení, jak je popsáno v onboardingu předplatného Azure do služby Defender for Cloud Standard. Když je shromažďování dat povolené, Defender for Cloud automaticky prohledá všechny virtuální počítače vytvořené v rámci daného předplatného.
Správa oprav: Pokud je tato možnost povolená, Defender for Cloud zkontroluje, jestli chybí nějaké aktualizace zabezpečení a důležité aktualizace. K povolení automatických aktualizací systému použijte nastavení zásad skupiny na virtuálním počítači.
Antimalware: Pokud je tato možnost povolená, Defender for Cloud zkontroluje, jestli je nainstalovaný antimalwarový software. K instalaci antimalwarového softwaru z webu Azure Portal můžete použít také Defender for Cloud.
Řízení přístupu K řízení přístupu k prostředkům Azure použijte řízení přístupu na základě role (Azure RBAC ). Azure RBAC umožňuje přiřazovat autorizační role členům týmu DevOps. Třeba role čtenáře může zobrazovat prostředky Azure, ale nemůže je vytvářet, spravovat ani odstraňovat. Některá oprávnění jsou specifická pro typ prostředku Azure. Třeba role Přispěvatel virtuálních počítačů může restartovat nebo zrušit přidělení virtuálního počítače, resetovat heslo správce, vytvořit nový virtuální počítač a tak dále. Mezi další předdefinované role , které můžou být užitečné pro tuto architekturu, patří uživatel DevTest Labs a přispěvatel sítě.
Poznámka:
Azure RBAC neomezuje akce, které může uživatel přihlášený k virtuálnímu počítači provést. Tato oprávnění určuje typ účtu v hostovaném operačním systému.
Protokoly auditu Pomocí protokolů auditu můžete zjistit akce zřizování a další události virtuálního počítače.
Šifrování dat: Azure Disk Encryption použijte, pokud potřebujete šifrovat disky s operačním systémem a datovými disky.
Provozní dokonalost
Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.
Infrastrukturu použijte jako kód (IaC) buď pomocí jedné šablony Azure Resource Manageru pro zřizování prostředků Azure (deklarativní přístup), nebo pomocí jednoho skriptu PowerShellu (imperativního přístupu). Vzhledem k tomu, že všechny prostředky jsou ve stejné virtuální síti, jsou izolované ve stejné základní úloze. To usnadňuje přidružení konkrétních prostředků úlohy k týmu DevOps, aby tým mohl nezávisle spravovat všechny aspekty těchto prostředků. Tato izolace umožňuje týmu a službám DevOps provádět kontinuální integraci a průběžné doručování (CI/CD).
Můžete také použít různé šablony Azure Resource Manageru a integrovat je se službou Azure DevOps Services k zřizování různých prostředí během několika minut, například k replikaci produkčního prostředí, jako jsou scénáře nebo prostředí zátěžového testování, pouze v případě potřeby, což šetří náklady.
Zvažte použití služby Azure Monitor k analýze a optimalizaci výkonu infrastruktury a monitorování a diagnostice problémů se sítěmi bez protokolování na virtuálních počítačích.
Další kroky
- Postup vytvoření virtuálního počítače s Windows najdete v tématu Rychlý start: Vytvoření virtuálního počítače s Windows na webu Azure Portal
- Chcete-li nainstalovat ovladače NVIDIA na virtuální počítač s Windows, přečtěte si téma Instalace ovladačů NVIDIA GPU na virtuálních počítačích řady N-series s Windows.
- Pokud chcete na virtuální počítač s Windows nainstalovat ovladače AMD, přečtěte si téma Instalace ovladačů AMD GPU na virtuálních počítačích řady N-series s Windows.
- Informace o zřízení virtuálního počítače s Windows najdete v tématu Vytvoření a správa virtuálních počítačů s Windows pomocí Azure PowerShellu.