Ausführen einer Linux-VM auf Azure

Azure Backup

Azure Bastion

Azure Blob Storage

Azure Resource Manager

Azure Storage

Azure Virtual Machines

Die Bereitstellung eines virtuellen Computers (VM) in Azure erfordert neben dem virtuellen Computer selbst zusätzliche Komponenten, einschließlich Netzwerk- und Speicherressourcen. In diesem Artikel werden bewährte Methoden zum Ausführen einer sicheren Linux-VM auf Azure gezeigt.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter.

Arbeitsablauf

Dieses Beispiel zeigt eine einfache Bereitstellung mithilfe eines einzelnen virtuellen Computers mit den erforderlichen Komponenten. Der virtuelle Computer kann Workloads ausführen, ist verwaltbar und kann mit dem öffentlichen Internet kommunizieren. Es wurde entwickelt, um direkte Exposition gegenüber externen Bedrohungen zu vermeiden.

• Alle Arbeitslasten, die auf dem virtuellen Computer ausgeführt werden, sind nicht extern zugänglich gemacht und sind nur innerhalb desselben oder eines verbundenen virtuellen Netzwerks zugänglich, z. B. in einer Hub- und Speichenkonfiguration.
• Der Verwaltungszugriff auf den virtuellen Computer wird mithilfe von Azure Bastion über Secure Shell (SSH) angezeigt und ist nicht direkt über das öffentliche Internet zulässig.
• Ausgehender externer Internetzugriff wird über die Verwendung des NAT-Gateways (Network Address Translation) und der zugehörigen öffentlichen IP-Adresse bereitgestellt.

Komponenten

Ressourcengruppe

Eine ressource-Gruppe ist ein logischer Container, der verwandte Azure Ressourcen enthält. Ressourcen sollten allgemein auf der Grundlage ihrer Lebensdauer sowie auf der Grundlage der Benutzer gruppiert werden, die sie verwalten.

Stellen Sie eng zugeordnete Ressourcen bereit, die denselben Lebenszyklus in derselben Ressourcengruppe gemeinsam nutzen. Mithilfe von Ressourcengruppen können Sie Ressourcen als Gruppe bereitstellen und überwachen und Abrechnungskosten nach Ressourcengruppe verfolgen. Sie können auch Ressourcen als Gruppe löschen. Dies ist für Testbereitstellungen nützlich. Vergeben Sie aussagekräftige Ressourcennamen, um das Auffinden einer bestimmten Ressource und das Erfassen ihrer Rolle zu vereinfachen. Weitere Informationen finden Sie unter Recommended Naming Conventions for Azure Resources.

Virtueller Computer

Sie können einen virtuellen Computer aus einer Liste veröffentlichter Images oder aus einer benutzerdefinierten verwalteten Image- oder VHD-Datei (Virtual Hard Disk) bereitstellen, die in Azure BLOB-Speicher hochgeladen wurde. Azure unterstützt die Ausführung verschiedener beliebter Linux-Distributionen, darunter Debian, Red Hat Enterprise Linux (RHEL) und Ubuntu. Weitere Informationen finden Sie unter Azure und Linux.

Azure bietet viele verschiedene virtuelle Maschinengrößen. Wenn Sie eine vorhandene Workload auf Azure verschieben, beginnen Sie mit der VM-Größe, die am besten Ihren lokalen Servern entspricht. Messen Sie dann die Leistung Ihrer tatsächlichen Workload in Bezug auf CPU, Arbeitsspeicher und Datenträger-IOPS (E/A-Vorgänge pro Sekunde), und passen Sie die Größe nach Bedarf an.

Wählen Sie im Allgemeinen eine Azure Region aus, die Ihren internen Benutzern oder Kunden am nächsten kommt. Es sind nicht alle VM-Größen in allen Regionen verfügbar. Weitere Informationen finden Sie unter Dienste nach Region. Führen Sie für eine Liste der in einer bestimmten Region verfügbaren VM-Größen den folgenden Befehl aus dem Azure CLI aus:

az vm list-sizes --location <location>

Informationen zum Auswählen eines veröffentlichten VM-Images finden Sie unter Suchen nach Linux-VM-Images.

Datenträger

Für optimale Datenträger-E/A-Leistung empfehlen wir Premium-SSDs, die Daten auf Festkörperlaufwerken (SSDs) speichern. Die Kosten basieren auf der Kapazität des bereitgestellten Datenträgers. IOPS und Durchsatz (also die Datenübertragungsrate) richten sich ebenfalls nach der Datenträgergröße. Berücksichtigen Sie beim Bereitstellen eines Datenträgers also alle drei Faktoren (Kapazität, IOPS und Durchsatz). Premium-SSDs bieten kostenloses Bursting, das in Kombination mit einem Verständnis von Arbeitslastmustern eine effektive SKU-Auswahl- und Kostenoptimierungsstrategie für IaaS-Infrastruktur ermöglicht. Dies ermöglicht hohe Leistung ohne übermäßige Überbereitstellung und Minimierung der Kosten für nicht verwendete Kapazität.

Hinweis

Derzeit können Premium SSD v2- und Ultra-Datenträger nur als Datenlaufwerke verwendet werden. Sie werden für Betriebssystemdatenträger nicht unterstützt.

Managed Disks vereinfachen die Datenträgerverwaltung, indem sie den Speicher für Sie verwalten. Verwaltete Festplatten benötigen kein Speicherkonto. Sie geben die Größe und den Typ des Datenträgers an. Dieser wird dann als Ressource mit Hochverfügbarkeit bereitgestellt. Verwaltete Festplatten bieten auch eine Kostenoptimierung, indem sie die gewünschte Leistung bereitstellen, ohne dass eine Überbereitstellung erforderlich ist, indem sie schwankende Arbeitsauslastungsmuster berücksichtigen und die nicht genutzte bereitgestellte Kapazität minimieren.

Standardmäßig ist der Betriebssystemdatenträger ein verwalteter Datenträger, der in Azure Disk Storage gespeichert ist, sodass er auch dann beibehalten wird, wenn der Hostcomputer deaktiviert ist. Im Fall von zustandslosen Workloads, bei denen schnelle Bereitstellung und keine Betriebssystempersistenz gewünscht werden, werden kurzlebige Betriebssystemdatenträger empfohlen. Diese Datenträger platzieren das Betriebssystemimage auf dem lokalen Speicher des VM-Hosts anstelle von Remote-Azure Storage, verringern die Leselatenz, beschleunigen das Reimaging und beseitigen die Kosten für verwaltete Datenträger. Alle Daten auf einem kurzlebigen Betriebssystemdatenträger gehen jedoch beim Anhalten (Deallocate), bei der Neuabbildung oder bei Wartungsveranstaltungen des Hosts verloren. Kurzlebige Betriebssystemdatenträger unterstützen keine Momentaufnahmen oder Azure Backup. Verwenden Sie flüchtige Betriebssystemdatenträger nur, wenn die virtuellen Maschinen vollständig automatisiert erneut bereitgestellt werden können.

Viele Linux-Images konfigurieren standardmäßig keinen Swapspace. Wenn Ihr Workload Swap erfordert, erstellen Sie diesen auf dem temporären Datenträger, indem Sie cloud-init verwenden, anstatt auf dem Betriebssystemdatenträger oder einem anderen Datenträger.

Es wird empfohlen, einen oder mehrere Datenträger für Anwendungsdaten zu erstellen. Datenträger sind permanent verwaltete Datenträger, die von Azure Storage gesichert werden.

Wenn Sie einen Datenträger erstellen, ist er unformatiert. Melden Sie sich an der VM an, um den Datenträger zu formatieren. In der Linux-Shell werden Datenträger als /dev/sdc, /dev/sddund spätere Buchstaben in der Serie angezeigt. Sie können lsblk ausführen, um die Blockgeräte einschließlich der Datenträger aufzulisten. Um einen Datenträger für Daten zu verwenden, erstellen Sie eine Partition und ein Dateisystem und binden den Datenträger ein. Beispiel:

# Create a partition.

sudo fdisk /dev/sdc     # Enter 'n' to partition, 'w' to write the change.

# Create a file system.

sudo mkfs -t ext3 /dev/sdc1

# Mount the drive.

sudo mkdir /data1
sudo mount /dev/sdc1 /data1

Wenn Sie einen Datenträger für Daten hinzufügen, wird dem Datenträger eine logische Einheitennummer (Logical Unit Number, LUN) zugewiesen. Optional können Sie die LUN-ID angeben, z. B. wenn Sie einen Datenträger austauschen und dieselbe LUN-ID beibehalten möchten oder über eine Anwendung verfügen, die nach einer bestimmten LUN-ID sucht. Beachten Sie jedoch, dass die LUN-IDs für jeden Datenträger eindeutig sein muss.

Möglicherweise möchten Sie den E/A-Zeitplan ändern, um die Leistung auf SSDs zu optimieren, wenn Sie Storage Premium Datenträger verwenden. Eine häufige Empfehlung besteht darin, den No Operation (NOOP)-Scheduler für SSDs zu verwenden. Sie sollten jedoch ein Tool wie iostat verwenden, um die Datenträger-E/A-Leistung für Ihre Workload zu überwachen.

Viele VMs werden mit einem temporären Datenträger erstellt, der auf einem physischen Laufwerk auf dem Hostcomputer gespeichert ist. Es ist not in Azure Storage gespeichert und kann während Neustarts und anderen VM-Lebenszyklusereignissen gelöscht werden. Verwenden Sie diesen Datenträger nur für temporäre Daten, wie Seiten- oder Auslagerungsdateien. Für Linux-VMs ist der temporäre Datenträger /dev/disk/azure/resource-part1 und wird an /mnt/resource oder /mnt bereitgestellt.

Netzwerk

Die Netzwerkkomponenten enthalten die folgenden Ressourcen:

• Virtuelles Netzwerk. Jede VM wird in einer virtual network bereitgestellt, die in Subnetze segmentiert wird.

• Netzwerkschnittstelle (NIC) Die NIC ermöglicht der VM die Kommunikation mit dem virtual network. Wenn Sie mehrere NICs für Ihren virtuellen Computer benötigen, wird für jede VM-Größe eine maximale Anzahl von NICs definiert.

• Öffentliche IP-Adresse: Eine öffentliche IP-Adresse kann zur Kommunikation mit der virtuellen Maschine von außerhalb von Azure über SSH verwendet werden. Dies wird jedoch abgeraten, da es sich um ein potenzielles Sicherheitsrisiko handelt.

  Warning

  Das Direkte Anfügen einer öffentlichen IP-Adresse stellt ein potenzielles Sicherheitsrisiko dar. Dies sollte nur unter extremen Umständen und nur in Verbindung mit anderen Sicherheitsmethoden erfolgen, z. B. das Filtern von Datenverkehr mithilfe von Netzwerksicherheitsgruppen.

  Für den Verwaltungszugriff auf einen virtuellen Computer empfehlen wir, Azure Bastion oder intern zu verwenden, wenn sie über ein VPN oder Azure ExpressRoute verbunden sind.

  • Die öffentliche IP-Adresse kann dynamisch oder statisch sein. Die Standardeinstellung ist „Dynamisch“. Reservieren Sie eine statische IP-Adresse, wenn Sie eine feste IP-Adresse benötigen, die sich nicht ändert — zum Beispiel, wenn Sie einen DNS-'A'-Record erstellen oder die IP-Adresse zu einer sicheren Liste hinzufügen müssen.
  • Sie können auch einen vollständig qualifizierten Domänennamen (FQDN) für die IP-Adresse erstellen. Sie können anschließend einen CNAME-Eintrag in DNS registrieren, der auf den FQDN verweist. Weitere Informationen finden Sie unter Einen vollständig qualifizierten Domänennamen im Azure-Portal erstellen.

• Netzwerksicherheitsgruppen (NSG) Netzwerksicherheitsgruppen werden verwendet, um den Netzwerkdatenverkehr für VMs und/oder Subnetze zuzulassen oder zu verweigern. Sie können den Subnetzen oder einzelnen NICs zugeordnet werden, die an VMs angefügt sind.

  • Alle NSGs enthalten eine Reihe von default-Regeln, einschließlich einer Regel, die den gesamten eingehenden Internetdatenverkehr blockiert. Die Standardregeln können nicht gelöscht, aber von anderen Regeln überschrieben werden. Um z. B. Internetdatenverkehr zu aktivieren, erstellen Sie Regeln, die eingehenden Datenverkehr zu bestimmten Ports zulassen , z. B. Port 443 für HTTPS.

• Azure Network Address Translation (NAT)-Gateway.Network Address Translation (NAT)-Gateways ermöglichen es allen Instanzen in einem privaten Subnetz, ausgehende Verbindungen zum Internet herzustellen, während sie vollständig privat bleiben. Es können nur Pakete über ein NAT-Gateway weitergeleitet werden, die als Antwortpakete an eine ausgehende Verbindung eingehen. Nicht angeforderte eingehende Verbindungen aus dem Internet werden nicht zugelassen.

  Hinweis

  Um die Standardsicherheit zu verbessern, wird der voreingestellte ausgehende Internetzugriff für alle neuen virtuellen Netzwerke nicht mehr empfohlen. Ausgehende Internetverbindung muss explizit über die Verwendung anderer Ressourcen wie NAT-Gateways, Azure Standardlastenausgleichsgeräte oder Firewalls konfiguriert werden. Weitere Informationen finden Sie unter Default ausgehender Zugriff in Azure.

• Azure Bastion.Azure Bastion ist eine vollständig verwaltete Plattform als Dienstlösung, die sicheren Zugriff auf VMs über private IP-Adressen ermöglicht. Bei dieser Konfiguration benötigen VMs keine öffentliche IP-Adresse, die sie für das Internet verfügbar macht, wodurch ihr Sicherheitsstatus verbessert wird. Azure Bastion bietet sichere Remotedesktop Protocol (RDP) oder SSH-Konnektivität mit Ihren VMs direkt über Transport Layer Security (TLS) über verschiedene Methoden, einschließlich des Azure Portals oder systemeigenen SSH- oder RDP-Clients.

Vorgänge

SSH. Bevor Sie eine Linux-VM erstellen, wird ein 2048-Bit-RSA-Paar aus privatem und öffentlichem Schlüssel generiert. Verwenden Sie die öffentliche Schlüsseldatei bei der Erstellung der VM. Weitere Informationen finden Sie unter How to Use SSH with Linux and Mac on Azure.

Diagnose: Aktivieren Sie die Überwachung und Diagnose, einschließlich grundlegender Gesundheitsmetriken, Infrastrukturprotokolle zur Diagnose sowie der Startdiagnose. Startdiagnosen dienen dazu, einen Fehler beim Startvorgang zu untersuchen, wenn Ihre VM einen nicht startfähigen Zustand hat. Erstellen Sie ein Azure Storage Konto zum Speichern der Protokolle. Ein lokal redundantes Standardspeicherkonto (LRS) reicht für Diagnoseprotokolle aus. Weitere Informationen finden Sie unter Aktivieren von Überwachung und Diagnose.

Verfügbarkeit: Ihre VM kann durch planierte Wartung oder unplanierte Ausfallzeiten betroffen sein. Sie können VM-Neustartprotokolle verwenden, um zu ermitteln, ob ein VM-Neustart durch einen geplanten Wartungsvorgang verursacht wurde. Um eine höhere Verfügbarkeit zu erzielen, stellen Sie mehrere virtuelle Computer über Verfügbarkeitszonen innerhalb einer Region bereit. Dies bietet eine vereinbarung auf höherer Serviceebene (SLA) an. Wenn Verfügbarkeitszonen nicht unterstützt werden, können Verfügbarkeitssätze den Schutz vor Hostfehlern oder Hostupdates bieten. Verfügbarkeitszonen sind jedoch nach Möglichkeit die empfohlene Option.

Sicherungen. Verwenden Sie zum Schutz vor versehentlichem Datenverlust den Dienst Azure Backup, um Ihre virtuellen Computer im Speicher zu sichern. Je nach Region können Sie georedundanten oder zonenredundanten Speicher für Sicherungen verwenden. Azure Backup bietet anwendungskonsensige Sicherungen. Verwenden Sie für leistungssensitive Workloads oder spezielle Linux-Distributionen, die herkömmliche Sicherungs-Agents nicht unterstützen, die Funktion des agentlosen Multi-Disk-crash-konsistenten Backups, die automatisierten Sicherungsschutz ermöglicht, ohne die Anwendungsleistung zu beeinträchtigen.

Das Anhalten einer virtuellen Maschine Azure unterscheidet zwischen "angehaltenen" und "freigegebenen" Zuständen. Ihnen werden Gebühren berechnet, wenn der VM-Status angehalten ist, aber nicht, wenn die VM deallokiert ist. Im Azure-Portal wird die Schaltfläche Stop verwendet, um die VM freizugeben. Wenn Sie über das Betriebssystem herunterfahren, während Sie angemeldet sind, wird die VM zwar gestoppt, aber nicht freigegeben, sodass weiterhin Kosten anfallen.

Löschen eines virtuellen Computers: Beim Löschen einer VM können Sie die Datenträger wahlweise löschen oder aufbewahren. Dies bedeutet, dass Sie die VM problemlos löschen können, ohne dass Daten verloren gehen. Allerdings werden Ihnen die Datenträger weiter in Rechnung gestellt. Sie können verwaltete Datenträger wie jede andere Azure Ressource löschen. Zur Verhinderung des versehentlichen Löschens verwenden Sie eine Ressourcensperre, um die gesamte Ressourcengruppe oder einzelne Ressourcen, z. B. einen virtuellen Computer, zu sperren.

Alternatives

• Skalierungssätze für virtuelle Computer – Arbeitsauslastungen, die für Geschäftsvorgänge wichtig sind, sollten niemals von einem einzelnen virtuellen Computer abhängen. Skalierungssätze bieten die Möglichkeit, Workloads über Knoten zu verteilen und in Zeiten höheren Datenverkehrs hochzuskalieren oder bei minimalem Datenverkehr wieder zu reduzieren, um Kosten zu minimieren.

• Azure Load Balancer wäre nützlich, um einen Lastenausgleich zwischen mehreren virtuellen Computern oder einem Skalierungssatz für virtuelle Computer bereitzustellen. Sie kann auch als Alternative zu einem NAT-Gateway verwendet werden, um den Zugriff auf eine Workload über das Internet zu ermöglichen und gleichzeitig ausgehenden Zugriff zu unterstützen.

• Application Gateway würde dem Azure Load Balancer für HTTP/HTTPS-Workloads innerhalb einer Azure Region Lastenausgleichsfunktionen bereitstellen.

• Eine weitere Bereitstellung auf Unternehmensebene finden Sie unter Azure Virtual Machines Basisarchitektur in einer Azure Zielzone.

Details zum Szenario

Im obigen Diagramm wäre dieses Szenario hilfreich, um eine nicht kritische Workload bereitzustellen, die für nur interne Benutzer nützlich ist.

Potenzielle Anwendungsfälle

Eine einzelne VM-Bereitstellung kann verwendet werden, um eine einfache Anwendung zu hosten, die nicht für das Internet verfügbar gemacht werden muss und einigen Ausfallzeiten standhalten kann. Dies kann z. B. eine einfache interne Berichterstellungsanwendung sein.

Überlegungen

Diese Überlegungen implementieren die Säulen des Azure Well-Architected Frameworks, bei dem es sich um eine Reihe von Leitsätzen handelt, die verwendet werden können, um die Qualität einer Arbeitsauslastung zu verbessern. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Reliability

Zuverlässigkeit stellt sicher, dass Ihre Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für Zuverlässigkeit.

Da diese Architektur nur ein einfaches Beispiel für einen einzelnen virtuellen Computer ist, verfügt sie über eine minimale Zuverlässigkeit. Jedes Problem mit dem virtuellen Computer selbst oder dem Host, auf dem er ausgeführt wird, führt zu einem Ausfall, was dazu führt, dass alle gehosteten Workloads nicht verfügbar sind. Für alle Workloads, die eine höhere Verfügbarkeit benötigen, sollten mehrere virtuelle Maschinen bereitgestellt werden, die denselben Workload enthalten, wobei diese Instanzen hinter einem geeigneten Load-Balancer stehen. Wenn sich diese innerhalb derselben Region befinden, sollten diese virtuellen Computer über Verfügbarkeitszonen (sofern unterstützt) bereitgestellt und dem Back-End eines Azure Load Balancer Standard oder eines Anwendungsgateways hinzugefügt werden, wenn die Workload HTTP/HTTPS-basiert ist. Dies ermöglicht es, dass die Workload weiterhin verfügbar ist, wenn ein einzelner virtueller Computer im Back-End abfällt.

Skalierungssätze für virtuelle Computer sind eine weitere Option, um die Verwaltung von mehrknotigen Arbeitslasten zu vereinfachen, die die Möglichkeit benötigen, automatisch die Anzahl der Instanzen anhand verschiedener Metriken wie CPU- oder Arbeitsspeichernutzung ein- oder auszublenden.

Hohe Verfügbarkeit/Notfallwiederherstellung (HA/DR)

Für einen reduzierten "Auswirkungsbereich" sollte die Workload in mehreren Regionen bereitgestellt werden und den Azure Landing Zone Leitfaden nutzen. Dies kann in einer Active-Passive-Konfiguration erfolgen, bei der ein Failover in die sekundäre Region erfolgt, wenn die primäre Region nicht verfügbar ist, oder in einer Active-Active-Architektur, bei der beide Regionen Datenverkehr für Nutzer bereitstellen. Ein Beispiel finden Sie unter "Mehrstufige Webanwendung", die für HA/DR unter"Nächste Schritte " erstellt wurde.

Im Beispiel in diesem Artikel wird Azure Site Recovery verwendet, um die Datenträger einzelner virtueller Computer in eine sekundäre Region zu replizieren, in der Site Recovery verwendet werden kann, um diese virtuellen Computer in die sekundäre Region mit einem niedrigen Recovery Point Objective (RPO)/Wiederherstellungszeitziel (Recovery Time Objective, RTO) zu übergeben.

Stellen Sie sicher, dass Sie Ihre Architektur bewerten, um Ihre HA/DR-Anforderungen über alle Komponenten hinweg zu erfüllen, nicht nur die virtuellen Computer. In all diesen Entscheidungen sind Überlegungen wie Netzwerk, Identität und Daten enthalten.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Entwurfsprüfliste für die Sicherheit.

Verwenden Sie Microsoft Defender for Cloud, um einen zentralen Überblick über den Sicherheitsstatus Ihrer Azure Ressourcen zu erhalten. Mit Defender for Cloud werden potenzielle Sicherheitsprobleme überwacht, und Sie erhalten eine umfassende Darstellung des Sicherheitszustands Ihrer Bereitstellung. Defender für Cloud ist pro Azure Abonnement konfiguriert. Aktivieren Sie die Sicherheitsdatensammlung, wie in Connect your Azure subscriptions beschrieben. Nachdem die Datensammlung aktiviert wurde, durchsucht Defender für Cloud VMs automatisch, die unter diesem Abonnement erstellt werden.

Patchverwaltung: Wenn aktiviert, überprüft Defender for Cloud, ob Sicherheits- und kritische Updates fehlen.

Antischadsoftware. Wenn diese Option aktiviert ist, überprüft Defender for Cloud, ob Antischadsoftware installiert ist. Sie können auch Defender for Cloud verwenden, um Antischadsoftware aus dem Azure-Portal zu installieren.

Zugriffssteuerung. Verwenden Sie Azure rollenbasierte Zugriffssteuerung (Azure RBAC), um den Zugriff auf Azure Ressourcen zu steuern. mit Azure RBAC können Sie Mitgliedern Ihres DevOps-Teams Autorisierungsrollen zuweisen. Die Rolle "Leser" kann z. B. Azure Ressourcen anzeigen, aber nicht erstellen, verwalten oder löschen. Einige Berechtigungen sind spezifisch für einen Azure Ressourcentyp. Die Rolle "Mitwirkender virtueller Computer" kann z. B. einen virtuellen Computer neu starten oder neu zuweisen, das Administratorkennwort zurücksetzen und einen neuen virtuellen Computer erstellen. Andere integrierte Rollen , die für diese Architektur nützlich sein können, sind DevTest Labs-Benutzer und Netzwerkmitwirkender.

Hinweis

Azure RBAC beschränkt nicht die Aktionen, die ein Benutzer bei einer VM ausführen kann. Diese Berechtigungen werden vom Kontotyp im Gastbetriebssystem bestimmt.

Überwachungsprotokolle: Verwenden Sie Überwachungsprotokolle, um Bereitstellungsaktionen und andere VM-Ereignisse anzuzeigen.

Datenverschlüsselung. Aktivieren Sie encryption auf host, um End-to-End-Verschlüsselung für Ihre VM-Daten zu erreichen, einschließlich temporärer Datenträger und Datenträgercaches. Die Verschlüsselung bei Host verarbeitet die Verschlüsselung in der VM-Hostinfrastruktur und verbraucht keine VM-CPU-Ressourcen, im Gegensatz zur gastbasierten Verschlüsselung. Sie können customer-managed keys mit Azure Key Vault für persistente Betriebssystem- und Datenträger verwenden. Temporäre Datenträger und ephemerale Betriebssystemdatenträger werden mit plattformverwalteten Schlüsseln verschlüsselt. Vergewissern Sie sich, dass die ausgewählte VM-Größe die Verschlüsselung auf host unterstützt, bevor Sie die VM bereitstellen.

Kostenoptimierung

Bei der Kostenoptimierung geht es um Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie unter Design Review-Checkliste für die Kostenoptimierung.

Je nach Nutzung und Workload gibt es verschiedene Optionen für VM-Größen. Der Bereich umfasst die wirtschaftlichste Option der Bs-Serie bis zu den neuesten GPU-VMs, die für machine learning optimiert sind. Informationen zu den verfügbaren Optionen finden Sie unter Azure Linux VM Pricing.

Verwenden Sie für vorhersehbare Workloads Azure Reservations und Azure Savings Plan für Computeleistung mit einem einjährigen oder dreijährigen Vertrag, und erhalten Sie erhebliche Einsparungen bei den Pay-as-you-go-Preisen. Für Workloads, bei denen der Zeitpunkt des Abschlusses oder der Ressourcenverbrauch nicht vorhersehbar ist, bietet sich die nutzungsbasierte Bezahlung an.

Verwenden Sie Azure Spot-VMs um Arbeitslasten auszuführen, die unterbrochen werden können und nicht innerhalb eines vordefinierten Zeitrahmens oder einer SLA abgeschlossen werden müssen. Azure stellt Spot-VMs bereit, wenn kapazität verfügbar ist und entfernt wird, wenn sie die Kapazität zurück benötigt. Die Kosten im Zusammenhang mit Spot virtual machines sind deutlich niedriger. Spot-VMs bieten sich für die folgenden Workloads an:

• Hochleistungsrechnen, Batch-Verarbeitungsaufträge oder visuelle Rendering-Anwendungen
• Testumgebungen, einschließlich Continuous Integration- und Continuous Delivery-Workloads
• Großflächige zustandslose Anwendungen

Verwenden Sie den Azure Preisrechner, um Kosten zu schätzen.

Weitere Informationen finden Sie im Abschnitt "Kosten" in Microsoft Azure Well-Architected Framework.

Operative Exzellenz

Operational Excellence deckt die Betriebsprozesse ab, mit denen eine Anwendung bereitgestellt und in der Produktion ausgeführt wird. Weitere Informationen finden Sie in der Checkliste zur Designüberprüfung für operationale Exzellenz.

Verwenden Sie IaC-Vorlagen (Infrastructure-as-Code), um Azure Ressourcen und deren Abhängigkeiten bereitzustellen. Diese können mithilfe von Bicep, Azure Resource Manager Vorlagen (ARM-Vorlagen) oder Terraform geschrieben werden, je nach Ihren Einstellungen und etablierten Tooloptionen. Diese Vorlagen ermöglichen einen Prozess für kontinuierliche Integration/kontinuierliche Bereitstellung (CI/CD) als Teil einer automatisierten Bereitstellungsmethode für die Bereitstellung und Konfiguration von Ressourcen. Dieser Ansatz ermöglicht die Versionsverwaltung von Architekturen und gewährleistet die Konsistenz zwischen Umgebungen sowie die Erzwingung von Reproduzierbarkeit, Sicherheit und Compliance.

Um bei der Überwachung und Diagnose von Problemen zu helfen, stellen Sie sicher, dass Diagnoseprotokolle für Ihre Ressourcen aktiviert sind und für Azure Monitor zur Verfügung gestellt werden, um die Analyse und Optimierung Ihrer Ressourcen zu unterstützen. Diese Protokolle können verwendet werden, um Warnungen und Benachrichtigungen kritischer Ereignisse zu implementieren und in einigen Fällen eine automatisierte Wartung oder Protokollierung eines Tickets in Ihrem IT Service Management (ITSM)-System zu ermöglichen.

Leistungseffizienz

Die Leistungseffizienz konzentriert sich auf die Optimierung von Cloud-Workloads für Geschwindigkeit, Reaktionsfähigkeit und Skalierbarkeit. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung zur Leistungseffizienz.

Zu den wichtigsten Zielen zählen die Minimierung der Latenz, die Sicherstellung skalierbarer Architekturen, die Optimierung der Ressourcenauslastung und eine kontinuierliche Verbesserung der Systemleistung.

Wie bereits erwähnt, können die Entscheidungen bezüglich der Workloadarchitektur, der VM-SKU und der Datenträgerkonfigurationen einen großen Einfluss auf die Leistung Ihrer Workload haben. Wenn Sie die richtigen Entscheidungen treffen, können Sie verhindern, dass Sie die Lösung in Zukunft neu entwerfen müssen, indem Sie Flexibilität und Kosten sparen.

Berücksichtigen Sie beim Entwickeln Ihrer Architektur unbedingt diese Punkte:

• Verwenden Sie Skalierungssätze für virtuelle Computer, wenn die Workload eine dynamische Last aufweist. Skalieren Sie z. B. in Zeiten großer Verkehrsaufkommen, und skalieren Sie dann wieder zurück, wenn das Verkehrsaufkommen abnimmt. Dadurch wird eine angemessene Verarbeitungsleistung gewährleistet, während die Kosten weiterhin unter Kontrolle bleiben.
• Wählen Sie die entsprechenden VM- und Datenträger-SKUs aus, um die erforderlichen IOPS während der Verarbeitung zu erfüllen. Konfigurieren Sie die Zwischenspeicherung, um die Leistung weiter zu verbessern.
• Wenn Ihre Workload ungewöhnlich latenzempfindlich ist, verwenden Sie Näherungsplatzierungsgruppen (Proximity Placement Groups, PPGs), um sicherzustellen, dass sich mehrere VMs physisch nahe beieinander befinden, um eine bessere Leistung zu erzielen. PPGs können auch in Verbindung mit Verfügbarkeitssätzen verwendet werden, um niedrige Latenz mit hoher Verfügbarkeit innerhalb eines einzigen physischen Rechenzentrums zu kombinieren.
• Aktivieren Sie nach Möglichkeit beschleunigte Netzwerke, um die Latenz zwischen Komponenten zu minimieren.
• Entwerfen Sie die Netzwerkarchitektur, um überflüssige Sprünge zu minimieren.
• Verwenden Sie Azure Monitor, VM Insights und andere Tools, um Metriken kontinuierlich zu analysieren und aktualisierte Leistungsbaselines zu erstellen. Verwenden Sie die Leistungsinformationen, um zu bestimmen, wo Änderungen implementiert werden sollen, und testen Sie dann anhand dieser Basispläne.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Sie wurde ursprünglich von den folgenden Mitwirkenden verfasst.

Hauptautor:

• Donnie Trumpower | Senior Cloud & AI Solutions Architect

Nächste Schritte

• Informationen zum Erstellen einer Linux-VM finden Sie unter Quickstart: Erstellen eines virtuellen Linux-Computers im Azure-Portal.
• Informationen zum Installieren eines NVIDIA-Treibers auf einer Linux-VM finden Sie unter Installieren von NVIDIA GPU-Treibern auf VMs der N-Serie, auf denen Linux ausgeführt wird.
• Informationen zum Bereitstellen einer Linux-VM finden Sie unter Create and Manage Linux VMs with the Azure CLI.
• Default ausgehender Netzwerkzugriff in Azure.
• Ein Beispiel für eine komplexere Architektur finden Sie unter Azure Virtual Machines Basisarchitektur in einer Azure Zielzone.
• Informationen zum Bereitstellen einer Webanwendung über Regionen hinweg finden Sie unter "Webanwendung mit mehreren Ebenen", die für HA/DR erstellt wurde.

Zugehörige Ressource

• Ausführen einer Windows-VM auf Azure

Die Bereitstellung eines virtuellen Computers (VM) in Azure erfordert neben dem virtuellen Computer selbst zusätzliche Komponenten, einschließlich Netzwerk- und Speicherressourcen. In diesem Artikel werden bewährte Methoden zum Ausführen einer sicheren Linux-VM auf Azure gezeigt.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter.

Arbeitsablauf

Dieses Beispiel zeigt eine einfache Bereitstellung mithilfe eines einzelnen virtuellen Computers mit den erforderlichen Komponenten. Der virtuelle Computer kann Workloads ausführen, ist verwaltbar und kann mit dem öffentlichen Internet kommunizieren. Es wurde entwickelt, um direkte Exposition gegenüber externen Bedrohungen zu vermeiden.

• Alle Arbeitslasten, die auf dem virtuellen Computer ausgeführt werden, sind nicht extern zugänglich gemacht und sind nur innerhalb desselben oder eines verbundenen virtuellen Netzwerks zugänglich, z. B. in einer Hub- und Speichenkonfiguration.
• Der Verwaltungszugriff auf den virtuellen Computer wird mithilfe von Azure Bastion über Secure Shell (SSH) angezeigt und ist nicht direkt über das öffentliche Internet zulässig.
• Ausgehender externer Internetzugriff wird über die Verwendung des NAT-Gateways (Network Address Translation) und der zugehörigen öffentlichen IP-Adresse bereitgestellt.

Komponenten

Ressourcengruppe

Eine ressource-Gruppe ist ein logischer Container, der verwandte Azure Ressourcen enthält. Ressourcen sollten allgemein auf der Grundlage ihrer Lebensdauer sowie auf der Grundlage der Benutzer gruppiert werden, die sie verwalten.

Stellen Sie eng zugeordnete Ressourcen bereit, die denselben Lebenszyklus in derselben Ressourcengruppe gemeinsam nutzen. Mithilfe von Ressourcengruppen können Sie Ressourcen als Gruppe bereitstellen und überwachen und Abrechnungskosten nach Ressourcengruppe verfolgen. Sie können auch Ressourcen als Gruppe löschen. Dies ist für Testbereitstellungen nützlich. Vergeben Sie aussagekräftige Ressourcennamen, um das Auffinden einer bestimmten Ressource und das Erfassen ihrer Rolle zu vereinfachen. Weitere Informationen finden Sie unter Recommended Naming Conventions for Azure Resources.

Virtueller Computer

Sie können einen virtuellen Computer aus einer Liste veröffentlichter Images oder aus einer benutzerdefinierten verwalteten Image- oder VHD-Datei (Virtual Hard Disk) bereitstellen, die in Azure BLOB-Speicher hochgeladen wurde. Azure unterstützt die Ausführung verschiedener beliebter Linux-Distributionen, darunter Debian, Red Hat Enterprise Linux (RHEL) und Ubuntu. Weitere Informationen finden Sie unter Azure und Linux.

Azure bietet viele verschiedene virtuelle Maschinengrößen. Wenn Sie eine vorhandene Workload auf Azure verschieben, beginnen Sie mit der VM-Größe, die am besten Ihren lokalen Servern entspricht. Messen Sie dann die Leistung Ihrer tatsächlichen Workload in Bezug auf CPU, Arbeitsspeicher und Datenträger-IOPS (E/A-Vorgänge pro Sekunde), und passen Sie die Größe nach Bedarf an.

Wählen Sie im Allgemeinen eine Azure Region aus, die Ihren internen Benutzern oder Kunden am nächsten kommt. Es sind nicht alle VM-Größen in allen Regionen verfügbar. Weitere Informationen finden Sie unter Dienste nach Region. Führen Sie für eine Liste der in einer bestimmten Region verfügbaren VM-Größen den folgenden Befehl aus dem Azure CLI aus:

az vm list-sizes --location <location>

Informationen zum Auswählen eines veröffentlichten VM-Images finden Sie unter Suchen nach Linux-VM-Images.

Datenträger

Für optimale Datenträger-E/A-Leistung empfehlen wir Premium-SSDs, die Daten auf Festkörperlaufwerken (SSDs) speichern. Die Kosten basieren auf der Kapazität des bereitgestellten Datenträgers. IOPS und Durchsatz (also die Datenübertragungsrate) richten sich ebenfalls nach der Datenträgergröße. Berücksichtigen Sie beim Bereitstellen eines Datenträgers also alle drei Faktoren (Kapazität, IOPS und Durchsatz). Premium-SSDs bieten kostenloses Bursting, das in Kombination mit einem Verständnis von Arbeitslastmustern eine effektive SKU-Auswahl- und Kostenoptimierungsstrategie für IaaS-Infrastruktur ermöglicht. Dies ermöglicht hohe Leistung ohne übermäßige Überbereitstellung und Minimierung der Kosten für nicht verwendete Kapazität.

Hinweis

Derzeit können Premium SSD v2- und Ultra-Datenträger nur als Datenlaufwerke verwendet werden. Sie werden für Betriebssystemdatenträger nicht unterstützt.

Managed Disks vereinfachen die Datenträgerverwaltung, indem sie den Speicher für Sie verwalten. Verwaltete Festplatten benötigen kein Speicherkonto. Sie geben die Größe und den Typ des Datenträgers an. Dieser wird dann als Ressource mit Hochverfügbarkeit bereitgestellt. Verwaltete Festplatten bieten auch eine Kostenoptimierung, indem sie die gewünschte Leistung bereitstellen, ohne dass eine Überbereitstellung erforderlich ist, indem sie schwankende Arbeitsauslastungsmuster berücksichtigen und die nicht genutzte bereitgestellte Kapazität minimieren.

Standardmäßig ist der Betriebssystemdatenträger ein verwalteter Datenträger, der in Azure Disk Storage gespeichert ist, sodass er auch dann beibehalten wird, wenn der Hostcomputer deaktiviert ist. Im Fall von zustandslosen Workloads, bei denen schnelle Bereitstellung und keine Betriebssystempersistenz gewünscht werden, werden kurzlebige Betriebssystemdatenträger empfohlen. Diese Datenträger platzieren das Betriebssystemimage auf dem lokalen Speicher des VM-Hosts anstelle von Remote-Azure Storage, verringern die Leselatenz, beschleunigen das Reimaging und beseitigen die Kosten für verwaltete Datenträger. Alle Daten auf einem kurzlebigen Betriebssystemdatenträger gehen jedoch beim Anhalten (Deallocate), bei der Neuabbildung oder bei Wartungsveranstaltungen des Hosts verloren. Kurzlebige Betriebssystemdatenträger unterstützen keine Momentaufnahmen oder Azure Backup. Verwenden Sie flüchtige Betriebssystemdatenträger nur, wenn die virtuellen Maschinen vollständig automatisiert erneut bereitgestellt werden können.

Viele Linux-Images konfigurieren standardmäßig keinen Swapspace. Wenn Ihr Workload Swap erfordert, erstellen Sie diesen auf dem temporären Datenträger, indem Sie cloud-init verwenden, anstatt auf dem Betriebssystemdatenträger oder einem anderen Datenträger.

Es wird empfohlen, einen oder mehrere Datenträger für Anwendungsdaten zu erstellen. Datenträger sind permanent verwaltete Datenträger, die von Azure Storage gesichert werden.

Wenn Sie einen Datenträger erstellen, ist er unformatiert. Melden Sie sich an der VM an, um den Datenträger zu formatieren. In der Linux-Shell werden Datenträger als /dev/sdc, /dev/sddund spätere Buchstaben in der Serie angezeigt. Sie können lsblk ausführen, um die Blockgeräte einschließlich der Datenträger aufzulisten. Um einen Datenträger für Daten zu verwenden, erstellen Sie eine Partition und ein Dateisystem und binden den Datenträger ein. Beispiel:

# Create a partition.

sudo fdisk /dev/sdc     # Enter 'n' to partition, 'w' to write the change.

# Create a file system.

sudo mkfs -t ext3 /dev/sdc1

# Mount the drive.

sudo mkdir /data1
sudo mount /dev/sdc1 /data1

Wenn Sie einen Datenträger für Daten hinzufügen, wird dem Datenträger eine logische Einheitennummer (Logical Unit Number, LUN) zugewiesen. Optional können Sie die LUN-ID angeben, z. B. wenn Sie einen Datenträger austauschen und dieselbe LUN-ID beibehalten möchten oder über eine Anwendung verfügen, die nach einer bestimmten LUN-ID sucht. Beachten Sie jedoch, dass die LUN-IDs für jeden Datenträger eindeutig sein muss.

Möglicherweise möchten Sie den E/A-Zeitplan ändern, um die Leistung auf SSDs zu optimieren, wenn Sie Storage Premium Datenträger verwenden. Eine häufige Empfehlung besteht darin, den No Operation (NOOP)-Scheduler für SSDs zu verwenden. Sie sollten jedoch ein Tool wie iostat verwenden, um die Datenträger-E/A-Leistung für Ihre Workload zu überwachen.

Viele VMs werden mit einem temporären Datenträger erstellt, der auf einem physischen Laufwerk auf dem Hostcomputer gespeichert ist. Es ist not in Azure Storage gespeichert und kann während Neustarts und anderen VM-Lebenszyklusereignissen gelöscht werden. Verwenden Sie diesen Datenträger nur für temporäre Daten, wie Seiten- oder Auslagerungsdateien. Für Linux-VMs ist der temporäre Datenträger /dev/disk/azure/resource-part1 und wird an /mnt/resource oder /mnt bereitgestellt.

Netzwerk

Die Netzwerkkomponenten enthalten die folgenden Ressourcen:

• Virtuelles Netzwerk. Jede VM wird in einer virtual network bereitgestellt, die in Subnetze segmentiert wird.

• Netzwerkschnittstelle (NIC) Die NIC ermöglicht der VM die Kommunikation mit dem virtual network. Wenn Sie mehrere NICs für Ihren virtuellen Computer benötigen, wird für jede VM-Größe eine maximale Anzahl von NICs definiert.

• Öffentliche IP-Adresse: Eine öffentliche IP-Adresse kann zur Kommunikation mit der virtuellen Maschine von außerhalb von Azure über SSH verwendet werden. Dies wird jedoch abgeraten, da es sich um ein potenzielles Sicherheitsrisiko handelt.

  Warning

  Das Direkte Anfügen einer öffentlichen IP-Adresse stellt ein potenzielles Sicherheitsrisiko dar. Dies sollte nur unter extremen Umständen und nur in Verbindung mit anderen Sicherheitsmethoden erfolgen, z. B. das Filtern von Datenverkehr mithilfe von Netzwerksicherheitsgruppen.

  Für den Verwaltungszugriff auf einen virtuellen Computer empfehlen wir, Azure Bastion oder intern zu verwenden, wenn sie über ein VPN oder Azure ExpressRoute verbunden sind.

  • Die öffentliche IP-Adresse kann dynamisch oder statisch sein. Die Standardeinstellung ist „Dynamisch“. Reservieren Sie eine statische IP-Adresse, wenn Sie eine feste IP-Adresse benötigen, die sich nicht ändert — zum Beispiel, wenn Sie einen DNS-'A'-Record erstellen oder die IP-Adresse zu einer sicheren Liste hinzufügen müssen.
  • Sie können auch einen vollständig qualifizierten Domänennamen (FQDN) für die IP-Adresse erstellen. Sie können anschließend einen CNAME-Eintrag in DNS registrieren, der auf den FQDN verweist. Weitere Informationen finden Sie unter Einen vollständig qualifizierten Domänennamen im Azure-Portal erstellen.

• Netzwerksicherheitsgruppen (NSG) Netzwerksicherheitsgruppen werden verwendet, um den Netzwerkdatenverkehr für VMs und/oder Subnetze zuzulassen oder zu verweigern. Sie können den Subnetzen oder einzelnen NICs zugeordnet werden, die an VMs angefügt sind.

  • Alle NSGs enthalten eine Reihe von default-Regeln, einschließlich einer Regel, die den gesamten eingehenden Internetdatenverkehr blockiert. Die Standardregeln können nicht gelöscht, aber von anderen Regeln überschrieben werden. Um z. B. Internetdatenverkehr zu aktivieren, erstellen Sie Regeln, die eingehenden Datenverkehr zu bestimmten Ports zulassen , z. B. Port 443 für HTTPS.

• Azure Network Address Translation (NAT)-Gateway.Network Address Translation (NAT)-Gateways ermöglichen es allen Instanzen in einem privaten Subnetz, ausgehende Verbindungen zum Internet herzustellen, während sie vollständig privat bleiben. Es können nur Pakete über ein NAT-Gateway weitergeleitet werden, die als Antwortpakete an eine ausgehende Verbindung eingehen. Nicht angeforderte eingehende Verbindungen aus dem Internet werden nicht zugelassen.

  Hinweis

  Um die Standardsicherheit zu verbessern, wird der voreingestellte ausgehende Internetzugriff für alle neuen virtuellen Netzwerke nicht mehr empfohlen. Ausgehende Internetverbindung muss explizit über die Verwendung anderer Ressourcen wie NAT-Gateways, Azure Standardlastenausgleichsgeräte oder Firewalls konfiguriert werden. Weitere Informationen finden Sie unter Default ausgehender Zugriff in Azure.

• Azure Bastion.Azure Bastion ist eine vollständig verwaltete Plattform als Dienstlösung, die sicheren Zugriff auf VMs über private IP-Adressen ermöglicht. Bei dieser Konfiguration benötigen VMs keine öffentliche IP-Adresse, die sie für das Internet verfügbar macht, wodurch ihr Sicherheitsstatus verbessert wird. Azure Bastion bietet sichere Remotedesktop Protocol (RDP) oder SSH-Konnektivität mit Ihren VMs direkt über Transport Layer Security (TLS) über verschiedene Methoden, einschließlich des Azure Portals oder systemeigenen SSH- oder RDP-Clients.

Vorgänge

SSH. Bevor Sie eine Linux-VM erstellen, wird ein 2048-Bit-RSA-Paar aus privatem und öffentlichem Schlüssel generiert. Verwenden Sie die öffentliche Schlüsseldatei bei der Erstellung der VM. Weitere Informationen finden Sie unter How to Use SSH with Linux and Mac on Azure.

Diagnose: Aktivieren Sie die Überwachung und Diagnose, einschließlich grundlegender Gesundheitsmetriken, Infrastrukturprotokolle zur Diagnose sowie der Startdiagnose. Startdiagnosen dienen dazu, einen Fehler beim Startvorgang zu untersuchen, wenn Ihre VM einen nicht startfähigen Zustand hat. Erstellen Sie ein Azure Storage Konto zum Speichern der Protokolle. Ein lokal redundantes Standardspeicherkonto (LRS) reicht für Diagnoseprotokolle aus. Weitere Informationen finden Sie unter Aktivieren von Überwachung und Diagnose.

Verfügbarkeit: Ihre VM kann durch planierte Wartung oder unplanierte Ausfallzeiten betroffen sein. Sie können VM-Neustartprotokolle verwenden, um zu ermitteln, ob ein VM-Neustart durch einen geplanten Wartungsvorgang verursacht wurde. Um eine höhere Verfügbarkeit zu erzielen, stellen Sie mehrere virtuelle Computer über Verfügbarkeitszonen innerhalb einer Region bereit. Dies bietet eine vereinbarung auf höherer Serviceebene (SLA) an. Wenn Verfügbarkeitszonen nicht unterstützt werden, können Verfügbarkeitssätze den Schutz vor Hostfehlern oder Hostupdates bieten. Verfügbarkeitszonen sind jedoch nach Möglichkeit die empfohlene Option.

Sicherungen. Verwenden Sie zum Schutz vor versehentlichem Datenverlust den Dienst Azure Backup, um Ihre virtuellen Computer im Speicher zu sichern. Je nach Region können Sie georedundanten oder zonenredundanten Speicher für Sicherungen verwenden. Azure Backup bietet anwendungskonsensige Sicherungen. Verwenden Sie für leistungssensitive Workloads oder spezielle Linux-Distributionen, die herkömmliche Sicherungs-Agents nicht unterstützen, die Funktion des agentlosen Multi-Disk-crash-konsistenten Backups, die automatisierten Sicherungsschutz ermöglicht, ohne die Anwendungsleistung zu beeinträchtigen.

Das Anhalten einer virtuellen Maschine Azure unterscheidet zwischen "angehaltenen" und "freigegebenen" Zuständen. Ihnen werden Gebühren berechnet, wenn der VM-Status angehalten ist, aber nicht, wenn die VM deallokiert ist. Im Azure-Portal wird die Schaltfläche Stop verwendet, um die VM freizugeben. Wenn Sie über das Betriebssystem herunterfahren, während Sie angemeldet sind, wird die VM zwar gestoppt, aber nicht freigegeben, sodass weiterhin Kosten anfallen.

Löschen eines virtuellen Computers: Beim Löschen einer VM können Sie die Datenträger wahlweise löschen oder aufbewahren. Dies bedeutet, dass Sie die VM problemlos löschen können, ohne dass Daten verloren gehen. Allerdings werden Ihnen die Datenträger weiter in Rechnung gestellt. Sie können verwaltete Datenträger wie jede andere Azure Ressource löschen. Zur Verhinderung des versehentlichen Löschens verwenden Sie eine Ressourcensperre, um die gesamte Ressourcengruppe oder einzelne Ressourcen, z. B. einen virtuellen Computer, zu sperren.

Alternatives

• Skalierungssätze für virtuelle Computer – Arbeitsauslastungen, die für Geschäftsvorgänge wichtig sind, sollten niemals von einem einzelnen virtuellen Computer abhängen. Skalierungssätze bieten die Möglichkeit, Workloads über Knoten zu verteilen und in Zeiten höheren Datenverkehrs hochzuskalieren oder bei minimalem Datenverkehr wieder zu reduzieren, um Kosten zu minimieren.

• Azure Load Balancer wäre nützlich, um einen Lastenausgleich zwischen mehreren virtuellen Computern oder einem Skalierungssatz für virtuelle Computer bereitzustellen. Sie kann auch als Alternative zu einem NAT-Gateway verwendet werden, um den Zugriff auf eine Workload über das Internet zu ermöglichen und gleichzeitig ausgehenden Zugriff zu unterstützen.

• Application Gateway würde dem Azure Load Balancer für HTTP/HTTPS-Workloads innerhalb einer Azure Region Lastenausgleichsfunktionen bereitstellen.

• Eine weitere Bereitstellung auf Unternehmensebene finden Sie unter Azure Virtual Machines Basisarchitektur in einer Azure Zielzone.

Details zum Szenario

Im obigen Diagramm wäre dieses Szenario hilfreich, um eine nicht kritische Workload bereitzustellen, die für nur interne Benutzer nützlich ist.

Potenzielle Anwendungsfälle

Eine einzelne VM-Bereitstellung kann verwendet werden, um eine einfache Anwendung zu hosten, die nicht für das Internet verfügbar gemacht werden muss und einigen Ausfallzeiten standhalten kann. Dies kann z. B. eine einfache interne Berichterstellungsanwendung sein.

Überlegungen

Diese Überlegungen implementieren die Säulen des Azure Well-Architected Frameworks, bei dem es sich um eine Reihe von Leitsätzen handelt, die verwendet werden können, um die Qualität einer Arbeitsauslastung zu verbessern. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Reliability

Zuverlässigkeit stellt sicher, dass Ihre Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für Zuverlässigkeit.

Da diese Architektur nur ein einfaches Beispiel für einen einzelnen virtuellen Computer ist, verfügt sie über eine minimale Zuverlässigkeit. Jedes Problem mit dem virtuellen Computer selbst oder dem Host, auf dem er ausgeführt wird, führt zu einem Ausfall, was dazu führt, dass alle gehosteten Workloads nicht verfügbar sind. Für alle Workloads, die eine höhere Verfügbarkeit benötigen, sollten mehrere virtuelle Maschinen bereitgestellt werden, die denselben Workload enthalten, wobei diese Instanzen hinter einem geeigneten Load-Balancer stehen. Wenn sich diese innerhalb derselben Region befinden, sollten diese virtuellen Computer über Verfügbarkeitszonen (sofern unterstützt) bereitgestellt und dem Back-End eines Azure Load Balancer Standard oder eines Anwendungsgateways hinzugefügt werden, wenn die Workload HTTP/HTTPS-basiert ist. Dies ermöglicht es, dass die Workload weiterhin verfügbar ist, wenn ein einzelner virtueller Computer im Back-End abfällt.

Skalierungssätze für virtuelle Computer sind eine weitere Option, um die Verwaltung von mehrknotigen Arbeitslasten zu vereinfachen, die die Möglichkeit benötigen, automatisch die Anzahl der Instanzen anhand verschiedener Metriken wie CPU- oder Arbeitsspeichernutzung ein- oder auszublenden.

Hohe Verfügbarkeit/Notfallwiederherstellung (HA/DR)

Für einen reduzierten "Auswirkungsbereich" sollte die Workload in mehreren Regionen bereitgestellt werden und den Azure Landing Zone Leitfaden nutzen. Dies kann in einer Active-Passive-Konfiguration erfolgen, bei der ein Failover in die sekundäre Region erfolgt, wenn die primäre Region nicht verfügbar ist, oder in einer Active-Active-Architektur, bei der beide Regionen Datenverkehr für Nutzer bereitstellen. Ein Beispiel finden Sie unter "Mehrstufige Webanwendung", die für HA/DR unter"Nächste Schritte " erstellt wurde.

Im Beispiel in diesem Artikel wird Azure Site Recovery verwendet, um die Datenträger einzelner virtueller Computer in eine sekundäre Region zu replizieren, in der Site Recovery verwendet werden kann, um diese virtuellen Computer in die sekundäre Region mit einem niedrigen Recovery Point Objective (RPO)/Wiederherstellungszeitziel (Recovery Time Objective, RTO) zu übergeben.

Stellen Sie sicher, dass Sie Ihre Architektur bewerten, um Ihre HA/DR-Anforderungen über alle Komponenten hinweg zu erfüllen, nicht nur die virtuellen Computer. In all diesen Entscheidungen sind Überlegungen wie Netzwerk, Identität und Daten enthalten.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Entwurfsprüfliste für die Sicherheit.

Verwenden Sie Microsoft Defender for Cloud, um einen zentralen Überblick über den Sicherheitsstatus Ihrer Azure Ressourcen zu erhalten. Mit Defender for Cloud werden potenzielle Sicherheitsprobleme überwacht, und Sie erhalten eine umfassende Darstellung des Sicherheitszustands Ihrer Bereitstellung. Defender für Cloud ist pro Azure Abonnement konfiguriert. Aktivieren Sie die Sicherheitsdatensammlung, wie in Connect your Azure subscriptions beschrieben. Nachdem die Datensammlung aktiviert wurde, durchsucht Defender für Cloud VMs automatisch, die unter diesem Abonnement erstellt werden.

Patchverwaltung: Wenn aktiviert, überprüft Defender for Cloud, ob Sicherheits- und kritische Updates fehlen.

Antischadsoftware. Wenn diese Option aktiviert ist, überprüft Defender for Cloud, ob Antischadsoftware installiert ist. Sie können auch Defender for Cloud verwenden, um Antischadsoftware aus dem Azure-Portal zu installieren.

Zugriffssteuerung. Verwenden Sie Azure rollenbasierte Zugriffssteuerung (Azure RBAC), um den Zugriff auf Azure Ressourcen zu steuern. mit Azure RBAC können Sie Mitgliedern Ihres DevOps-Teams Autorisierungsrollen zuweisen. Die Rolle "Leser" kann z. B. Azure Ressourcen anzeigen, aber nicht erstellen, verwalten oder löschen. Einige Berechtigungen sind spezifisch für einen Azure Ressourcentyp. Die Rolle "Mitwirkender virtueller Computer" kann z. B. einen virtuellen Computer neu starten oder neu zuweisen, das Administratorkennwort zurücksetzen und einen neuen virtuellen Computer erstellen. Andere integrierte Rollen , die für diese Architektur nützlich sein können, sind DevTest Labs-Benutzer und Netzwerkmitwirkender.

Hinweis

Azure RBAC beschränkt nicht die Aktionen, die ein Benutzer bei einer VM ausführen kann. Diese Berechtigungen werden vom Kontotyp im Gastbetriebssystem bestimmt.

Überwachungsprotokolle: Verwenden Sie Überwachungsprotokolle, um Bereitstellungsaktionen und andere VM-Ereignisse anzuzeigen.

Datenverschlüsselung. Aktivieren Sie encryption auf host, um End-to-End-Verschlüsselung für Ihre VM-Daten zu erreichen, einschließlich temporärer Datenträger und Datenträgercaches. Die Verschlüsselung bei Host verarbeitet die Verschlüsselung in der VM-Hostinfrastruktur und verbraucht keine VM-CPU-Ressourcen, im Gegensatz zur gastbasierten Verschlüsselung. Sie können customer-managed keys mit Azure Key Vault für persistente Betriebssystem- und Datenträger verwenden. Temporäre Datenträger und ephemerale Betriebssystemdatenträger werden mit plattformverwalteten Schlüsseln verschlüsselt. Vergewissern Sie sich, dass die ausgewählte VM-Größe die Verschlüsselung auf host unterstützt, bevor Sie die VM bereitstellen.

Kostenoptimierung

Bei der Kostenoptimierung geht es um Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie unter Design Review-Checkliste für die Kostenoptimierung.

Je nach Nutzung und Workload gibt es verschiedene Optionen für VM-Größen. Der Bereich umfasst die wirtschaftlichste Option der Bs-Serie bis zu den neuesten GPU-VMs, die für machine learning optimiert sind. Informationen zu den verfügbaren Optionen finden Sie unter Azure Linux VM Pricing.

Verwenden Sie für vorhersehbare Workloads Azure Reservations und Azure Savings Plan für Computeleistung mit einem einjährigen oder dreijährigen Vertrag, und erhalten Sie erhebliche Einsparungen bei den Pay-as-you-go-Preisen. Für Workloads, bei denen der Zeitpunkt des Abschlusses oder der Ressourcenverbrauch nicht vorhersehbar ist, bietet sich die nutzungsbasierte Bezahlung an.

Verwenden Sie Azure Spot-VMs um Arbeitslasten auszuführen, die unterbrochen werden können und nicht innerhalb eines vordefinierten Zeitrahmens oder einer SLA abgeschlossen werden müssen. Azure stellt Spot-VMs bereit, wenn kapazität verfügbar ist und entfernt wird, wenn sie die Kapazität zurück benötigt. Die Kosten im Zusammenhang mit Spot virtual machines sind deutlich niedriger. Spot-VMs bieten sich für die folgenden Workloads an:

• Hochleistungsrechnen, Batch-Verarbeitungsaufträge oder visuelle Rendering-Anwendungen
• Testumgebungen, einschließlich Continuous Integration- und Continuous Delivery-Workloads
• Großflächige zustandslose Anwendungen

Verwenden Sie den Azure Preisrechner, um Kosten zu schätzen.

Weitere Informationen finden Sie im Abschnitt "Kosten" in Microsoft Azure Well-Architected Framework.

Operative Exzellenz

Operational Excellence deckt die Betriebsprozesse ab, mit denen eine Anwendung bereitgestellt und in der Produktion ausgeführt wird. Weitere Informationen finden Sie in der Checkliste zur Designüberprüfung für operationale Exzellenz.

Verwenden Sie IaC-Vorlagen (Infrastructure-as-Code), um Azure Ressourcen und deren Abhängigkeiten bereitzustellen. Diese können mithilfe von Bicep, Azure Resource Manager Vorlagen (ARM-Vorlagen) oder Terraform geschrieben werden, je nach Ihren Einstellungen und etablierten Tooloptionen. Diese Vorlagen ermöglichen einen Prozess für kontinuierliche Integration/kontinuierliche Bereitstellung (CI/CD) als Teil einer automatisierten Bereitstellungsmethode für die Bereitstellung und Konfiguration von Ressourcen. Dieser Ansatz ermöglicht die Versionsverwaltung von Architekturen und gewährleistet die Konsistenz zwischen Umgebungen sowie die Erzwingung von Reproduzierbarkeit, Sicherheit und Compliance.

Um bei der Überwachung und Diagnose von Problemen zu helfen, stellen Sie sicher, dass Diagnoseprotokolle für Ihre Ressourcen aktiviert sind und für Azure Monitor zur Verfügung gestellt werden, um die Analyse und Optimierung Ihrer Ressourcen zu unterstützen. Diese Protokolle können verwendet werden, um Warnungen und Benachrichtigungen kritischer Ereignisse zu implementieren und in einigen Fällen eine automatisierte Wartung oder Protokollierung eines Tickets in Ihrem IT Service Management (ITSM)-System zu ermöglichen.

Leistungseffizienz

Die Leistungseffizienz konzentriert sich auf die Optimierung von Cloud-Workloads für Geschwindigkeit, Reaktionsfähigkeit und Skalierbarkeit. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung zur Leistungseffizienz.

Zu den wichtigsten Zielen zählen die Minimierung der Latenz, die Sicherstellung skalierbarer Architekturen, die Optimierung der Ressourcenauslastung und eine kontinuierliche Verbesserung der Systemleistung.

Wie bereits erwähnt, können die Entscheidungen bezüglich der Workloadarchitektur, der VM-SKU und der Datenträgerkonfigurationen einen großen Einfluss auf die Leistung Ihrer Workload haben. Wenn Sie die richtigen Entscheidungen treffen, können Sie verhindern, dass Sie die Lösung in Zukunft neu entwerfen müssen, indem Sie Flexibilität und Kosten sparen.

Berücksichtigen Sie beim Entwickeln Ihrer Architektur unbedingt diese Punkte:

• Verwenden Sie Skalierungssätze für virtuelle Computer, wenn die Workload eine dynamische Last aufweist. Skalieren Sie z. B. in Zeiten großer Verkehrsaufkommen, und skalieren Sie dann wieder zurück, wenn das Verkehrsaufkommen abnimmt. Dadurch wird eine angemessene Verarbeitungsleistung gewährleistet, während die Kosten weiterhin unter Kontrolle bleiben.
• Wählen Sie die entsprechenden VM- und Datenträger-SKUs aus, um die erforderlichen IOPS während der Verarbeitung zu erfüllen. Konfigurieren Sie die Zwischenspeicherung, um die Leistung weiter zu verbessern.
• Wenn Ihre Workload ungewöhnlich latenzempfindlich ist, verwenden Sie Näherungsplatzierungsgruppen (Proximity Placement Groups, PPGs), um sicherzustellen, dass sich mehrere VMs physisch nahe beieinander befinden, um eine bessere Leistung zu erzielen. PPGs können auch in Verbindung mit Verfügbarkeitssätzen verwendet werden, um niedrige Latenz mit hoher Verfügbarkeit innerhalb eines einzigen physischen Rechenzentrums zu kombinieren.
• Aktivieren Sie nach Möglichkeit beschleunigte Netzwerke, um die Latenz zwischen Komponenten zu minimieren.
• Entwerfen Sie die Netzwerkarchitektur, um überflüssige Sprünge zu minimieren.
• Verwenden Sie Azure Monitor, VM Insights und andere Tools, um Metriken kontinuierlich zu analysieren und aktualisierte Leistungsbaselines zu erstellen. Verwenden Sie die Leistungsinformationen, um zu bestimmen, wo Änderungen implementiert werden sollen, und testen Sie dann anhand dieser Basispläne.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Sie wurde ursprünglich von den folgenden Mitwirkenden verfasst.

Hauptautor:

• Donnie Trumpower | Senior Cloud & AI Solutions Architect

Nächste Schritte

• Informationen zum Erstellen einer Linux-VM finden Sie unter Quickstart: Erstellen eines virtuellen Linux-Computers im Azure-Portal.
• Informationen zum Installieren eines NVIDIA-Treibers auf einer Linux-VM finden Sie unter Installieren von NVIDIA GPU-Treibern auf VMs der N-Serie, auf denen Linux ausgeführt wird.
• Informationen zum Bereitstellen einer Linux-VM finden Sie unter Create and Manage Linux VMs with the Azure CLI.
• Default ausgehender Netzwerkzugriff in Azure.
• Ein Beispiel für eine komplexere Architektur finden Sie unter Azure Virtual Machines Basisarchitektur in einer Azure Zielzone.
• Informationen zum Bereitstellen einer Webanwendung über Regionen hinweg finden Sie unter "Webanwendung mit mehreren Ebenen", die für HA/DR erstellt wurde.

Zugehörige Ressource

• Ausführen einer Windows-VM auf Azure