Bearbeiten

Freigeben über


Ausführen eines virtuellen Windows-Computers in Azure

Azure Backup
Azure Blob Storage
Azure Resource Manager
Azure Storage
Azure Virtual Machines

Für die Bereitstellung eines virtuellen Computers (VM) in Azure werden neben dem eigentlichen virtuellen Computer noch weitere Komponenten benötigt, z. B. Netzwerk- und Speicherressourcen. In diesem Artikel werden die bewährten Methoden für das Ausführen eines sicheren virtuellen Windows-Computers in Azure veranschaulicht.

Aufbau

Diagramm, das einen virtuellen Windows-Computer in Azure zeigt.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

Resource group

Eine Ressourcengruppe ist ein logischer Container, der zusammengehörige Azure-Ressourcen enthält. Ressourcen sollten allgemein auf der Grundlage ihrer Lebensdauer sowie auf der Grundlage der Benutzer gruppiert werden, die sie verwalten.

Legen Sie eng miteinander verknüpfte Ressourcen mit demselben Lebenszyklus in derselben Ressourcengruppe ab. Mithilfe von Ressourcengruppen können Sie Ressourcen als Gruppe bereitstellen und überwachen und Abrechnungskosten nach Ressourcengruppe verfolgen. Sie können auch Ressourcen als Gruppe löschen. Dies ist für Testbereitstellungen nützlich. Vergeben Sie aussagekräftige Ressourcennamen, um das Auffinden einer bestimmten Ressource und das Erfassen ihrer Rolle zu vereinfachen. Weitere Informationen finden Sie unter Empfohlene Namenskonventionen für Azure-Ressourcen.

Virtueller Computer

Sie können eine VM über eine Liste mit veröffentlichten Images oder über ein benutzerdefiniertes verwaltetes Image oder eine virtuelle Festplattendatei (VHD) bereitstellen, die in Azure Blob Storage hochgeladen wurde.

Azure bietet viele verschiedene Größen von virtuellen Computern. Weitere Informationen finden Sie im Artikel zu den Größen für virtuelle Computer in Azure. Starten Sie beim Verlagern einer vorhandenen Workload in Azure mit der VM-Größe, die Ihren lokalen Servern am ehesten entspricht. Messen Sie dann die Leistung Ihrer tatsächlichen Workload in Bezug auf CPU, Arbeitsspeicher und Datenträger-IOPS (E/A-Vorgänge pro Sekunde), und passen Sie die Größe nach Bedarf an.

Es empfiehlt sich generell, eine Azure-Region zu wählen, der sich in der Nähe Ihrer internen Benutzer oder Ihrer Kunden befindet. Es sind nicht alle VM-Größen in allen Regionen verfügbar. Weitere Informationen finden Sie unter Dienste nach Region. Führen Sie den folgenden Befehl über die Azure CLI aus, um eine Liste mit den in einer bestimmten Region verfügbaren VM-Größen anzuzeigen:

az vm list-sizes --location <location>

Informationen zum Auswählen eines veröffentlichten VM-Images finden Sie unter Suchen nach Windows-VM-Images.

Datenträger

Zur Erzielung einer optimalen E/A-Leistung empfehlen wir Storage Premium zum Speichern von Daten auf SSDs (Solid State Drives). Die Kosten basieren auf der Kapazität des bereitgestellten Datenträgers. IOPS und Durchsatz richten sich ebenfalls nach der Datenträgergröße. Berücksichtigen Sie beim Bereitstellen eines Datenträgers also alle drei Faktoren (Kapazität, IOPS und Durchsatz). Premium-Speicher bietet auch kostenloses Bursting, kombiniert mit einem Verständnis von Workloadmustern, eine effektive SKU-Auswahl- und Kostenoptimierungsstrategie für IaaS-Infrastruktur, die hohe Leistung ohne übermäßige Überbereitstellung ermöglicht und die Kosten nicht genutzter Kapazität minimiert.

Verwaltete Datenträger führen die Speicherverarbeitung für Sie durch, sodass die Datenträgerverwaltung vereinfacht wird. Bei verwalteten Datenträgern ist kein Speicherkonto erforderlich. Sie geben die Größe und den Typ des Datenträgers an. Dieser wird dann als Ressource mit Hochverfügbarkeit bereitgestellt. Verwaltete Datenträger bieten außerdem Kostenoptimierungsfeatures, indem sie die gewünschte Leistung bereitstellen, ohne eine Überbereitstellung zu erfordern, berücksichtigen schwankende Workloadmuster und minimieren die bereitgestellte, nicht verwendete Kapazität.

Der Datenträger für das Betriebssystem ist eine in Azure Storage gespeicherte virtuelle Festplatte, sodass diese weiterhin bestehen bleibt, auch wenn der Hostcomputer ausgefallen ist. Es empfiehlt sich zudem, mindestens einen Datenträger für Daten (VHD für Anwendungsdaten) zu erstellen.

Kurzlebige Datenträger bieten gute Leistung ohne zusätzliche Kosten, sind aber nicht persistent, verfügen über eine begrenzte Kapazität und sind nur auf die Verwendung von Betriebssystemen und temporären Datenträgern beschränkt. Installieren Sie, sofern möglich, Anwendungen auf einem Datenträger für Daten und nicht auf dem Datenträger für das Betriebssystem. Einige ältere Anwendungen müssen möglicherweise Komponenten auf dem Laufwerk „C:“ installieren. In diesem Fall können Sie die Größe des Datenträgers für das Betriebssystem mit PowerShell ändern.

Die VM wird auch mit einem temporären Datenträger erstellt (Laufwerk D: unter Windows). Dieser Datenträger wird auf dem Hostcomputer auf einem physischen Laufwerk gespeichert. Er wird nicht in Azure Storage gespeichert und kann bei Neustarts und anderen Ereignissen während des VM-Lebenszyklus gelöscht werden. Verwenden Sie diesen Datenträger nur für temporäre Daten, z. B. Auslagerungsdateien.

Netzwerk

Die Netzwerkkomponenten enthalten die folgenden Ressourcen:

  • Virtuelles Netzwerk. Jeder virtuelle Computer wird in einem virtuellen Netzwerk bereitgestellt, das in mehrere Subnetze segmentiert werden kann.

  • Netzwerkschnittstelle (NIC) Die NIC ermöglicht der VM die Kommunikation mit dem virtuellen Netzwerk. Falls Sie mehrere Netzwerkschnittstellenkarten für Ihre VM benötigen, ist für jede VM-Größe eine maximale Anzahl von Netzwerkschnittstellenkarten definiert.

  • Öffentliche IP-Adresse: Für die Kommunikation mit der VM –z. B. per Remotedesktopprotokoll (RDP) – ist eine öffentliche IP-Adresse erforderlich. Die öffentliche IP-Adresse kann dynamisch oder statisch sein. Die Standardeinstellung ist „Dynamisch“.

    • Reservieren Sie eine statische IP-Adresse, falls Sie eine statische IP-Adresse benötigen, die sich nicht ändert – wenn Sie z. B. einen A-Eintrag in DNS erstellen oder die IP-Adresse zu einer Liste mit sicheren Adressen hinzufügen müssen.
    • Sie können auch einen vollständig qualifizierten Domänennamen (FQDN) für die IP-Adresse erstellen. Sie können anschließend einen CNAME-Eintrag in DNS registrieren, der auf den FQDN verweist. Weitere Informationen finden Sie unter Erstellen eines vollqualifizierten Domänennamens im Azure-Portal.
  • Netzwerksicherheitsgruppen (NSG) Netzwerksicherheitsgruppen dienen zum Zulassen oder Verweigern von Netzwerkdatenverkehr für virtuelle Computer. NSGs können entweder Subnetzen oder einzelnen VM-Instanzen zugeordnet werden.

    • Alle Netzwerksicherheitsgruppen enthalten eine Reihe von Standardregeln, einschließlich einer Regel, die den gesamten eingehenden Internetverkehr blockiert. Die Standardregeln können nicht gelöscht, aber von anderen Regeln überschrieben werden. Um Internetdatenverkehr zu ermöglichen, erstellen Sie Regeln, die eingehenden Datenverkehr an bestimmten Ports zulassen, z. B. Port 80 für HTTP. Fügen Sie zum Aktivieren von RDP eine NSG-Regel hinzu, die eingehenden Datenverkehr am TCP-Port 3389 zulässt.
  • Azure NAT Gateway. NAT-Gateways (Network Address Translation, Netzwerkadressenübersetzung) ermöglichen es allen Instanzen in einem privaten Subnetz, eine ausgehende Internetverbindung herzustellen und gleichzeitig vollständig privat bleiben. Es können nur Pakete über ein NAT-Gateway weitergeleitet werden, die als Antwortpakete an eine ausgehende Verbindung eingehen. Nicht angeforderte eingehende Verbindungen aus dem Internet werden nicht zugelassen.

  • Azure Bastion. Azure Bastion ist eine vollständig verwaltete PaaS-Lösung, die über private IP-Adressen sicheren Zugriff auf VMs bereitstellt. Bei dieser Konfiguration benötigen VMs keine öffentliche IP-Adresse, die sie für das Internet verfügbar macht, wodurch ihr Sicherheitsstatus verbessert wird. Azure Bastion stellt mithilfe unterschiedlicher Methoden (z. B. das Azure-Portal oder native SSH- bzw. RDP-Clients) direkt über Transport Layer Security (TLS) sichere RDP- oder Secure Shell (SSH)-Konnektivität mit Ihren VMs bereit.

Vorgänge

Diagnose: Aktivieren Sie die Überwachung und Diagnose, einschließlich grundlegender Integritätsmetriken, Infrastrukturprotokolle zur Diagnose sowie der Startdiagnose. Startdiagnosen dienen dazu, einen Fehler beim Startvorgang zu untersuchen, wenn Ihre VM einen nicht startfähigen Zustand hat. Erstellen Sie ein Azure Storage-Konto zum Speichern der Protokolle. Ein standardmäßiger lokal redundanter Speicher (LRS) reicht für Diagnoseprotokolle aus. Weitere Informationen finden Sie unter Aktivieren von Überwachung und Diagnose.

Verfügbarkeit: Ihre VM kann von einer geplanten Wartung oder ungeplanten Downtime betroffen sein. Sie können VM-Neustartprotokolle verwenden, um zu ermitteln, ob ein VM-Neustart durch einen geplanten Wartungsvorgang verursacht wurde. Um die Verfügbarkeit zu verbessern, können Sie mehrere VMs in einer Verfügbarkeitsgruppe oder in mehreren Verfügbarkeitszonen in einer Region bereitstellen. Beide Konfigurationen bieten eine höhere Vereinbarung zum Servicelevel (Service Level Agreement, SLA).

Sicherungen Verwenden Sie als Schutz vor versehentlichem Datenverlust den Dienst Azure Backup, um Ihre VMs in georedundantem Speicher zu sichern. Mit Azure Backup sind anwendungskonsistente Sicherungen möglich.

Beenden eines virtuellen Computers: Unter Azure wird zwischen den Zuständen „Stopped“ (Beendet) und „Deallocated“ (Zuordnung aufgehoben) unterschieden. Ihnen werden nur Gebühren berechnet, wenn der VM-Status angehalten wird, aber nicht, wenn die Zuordnung für den virtuellen Computer aufgehoben wurde. Sie können die Zuordnung des virtuellen Computers auch mit der Schaltfläche Beenden im Azure-Portal aufheben. Wenn das Herunterfahren über das Betriebssystem erfolgt, während Sie angemeldet sind, wird der virtuelle Computer zwar beendet, aber die Zuordnung wird nicht aufgehoben. Es fallen also weiter Kosten an.

Löschen eines virtuellen Computers: Beim Löschen einer VM können Sie die Datenträger wahlweise löschen oder aufbewahren. Dies bedeutet, dass Sie die VM problemlos löschen können, ohne dass Daten verloren gehen. Allerdings werden Ihnen die Datenträger weiter in Rechnung gestellt. Sie können verwaltete Datenträger wie jede andere Azure-Ressource löschen. Zur Verhinderung des versehentlichen Löschens verwenden Sie eine Ressourcensperre, um die gesamte Ressourcengruppe oder einzelne Ressourcen, z. B. einen virtuellen Computer, zu sperren.

Überlegungen

Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

Je nach Nutzung und Workload gibt es verschiedene Optionen für VM-Größen. Der Bereich umfasst die günstigste Option der Bs-Serie für die neuesten GPU-VMs, die für Machine Learning optimiert sind. Weitere Informationen zu den verfügbaren Optionen finden Sie unter Virtuelle Windows-Computer – Preise.

Verwenden Sie für vorhersehbare Workloads Azure-Reservierungen und den Azure-Sparplan für Compute mit einem Einjahres- oder Dreijahresvertrag und erhalten Sie erhebliche Einsparungen gegenüber der nutzungsbasierten Bezahlung. Für Workloads, bei denen der Zeitpunkt des Abschlusses oder der Ressourcenverbrauch nicht vorhersehbar ist, bietet sich die nutzungsbasierte Bezahlung an.

Verwenden Sie Azure-Spot-VMs zum Ausführen von Workloads, die unterbrochen werden können und nicht innerhalb eines vordefinierten Zeitraums oder einer SLA abgeschlossen werden müssen. Azure stellt Spot-VMs bereit, wenn Kapazität verfügbar ist, und entfernt sie, wenn die Kapazität wieder benötigt wird. Die Kosten für virtuelle Spot-Computer sind deutlich niedriger. Spot-VMs bieten sich für die folgenden Workloads an:

  • High-Performance Computing, Batchverarbeitungsaufträge oder visuelle Renderinganwendungen
  • Testumgebungen, einschließlich Continuous Integration- und Continuous Delivery-Workloads
  • Umfangreiche zustandslose Anwendungen

Verwenden Sie den Azure-Preisrechner, um die Kosten zu ermitteln.

Weitere Informationen finden Sie im Abschnitt zu Kosten im Microsoft Azure Well-Architected Framework.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

In Microsoft Defender for Cloud können Sie sich den Sicherheitsstatus Ihrer Azure-Ressourcen in einer zentralen Übersicht ansehen. Mit Defender for Cloud werden potenzielle Sicherheitsprobleme überwacht, und Sie erhalten eine umfassende Darstellung des Sicherheitszustands Ihrer Bereitstellung. Defender for Cloud wird pro Azure-Abonnement konfiguriert. Aktivieren Sie die Erfassung von Sicherheitsdaten wie unter Einbinden Ihres Azure-Abonnements in Defender für Cloud Standard beschrieben. Nachdem die Datensammlung aktiviert wurde, durchsucht Defender für Cloud VMs automatisch, die unter diesem Abonnement erstellt werden.

Patchverwaltung: Falls aktiviert, prüft Defender für Cloud, ob kritische Updates und Sicherheitsupdates fehlen. Verwenden Sie Gruppenrichtlinieneinstellungen auf dem virtuellen Computer, um automatische Systemupdates zu aktivieren.

Antischadsoftware: Falls aktiviert, prüft Defender für Cloud, ob Antischadsoftware installiert ist. Sie können Defender für Cloud auch nutzen, um Antischadsoftware über das Azure-Portal zu installieren.

Zugriffssteuerung: Steuern Sie den Zugriff auf Azure-Ressourcen mithilfe der rollenbasierten Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC). Mithilfe der Azure RBAC können Sie Mitglieder Ihres DevOps-Teams Autorisierungsrollen zuweisen. Die Rolle „Leser“ kann beispielsweise Azure-Ressourcen anzeigen, diese aber nicht erstellen, verwalten oder löschen. Einige Berechtigungen gelten spezifisch für einen Azure-Ressourcentyp. Die VM-Rolle „Mitwirkender“ kann z. B. eine VM neu starten oder Ihre Zuordnung aufheben, das Administratorkennwort zurücksetzen, eine neue VM erstellen usw. Andere integrierte Rollen, die für diese Architektur nützlich sein können, sind u. a. DevTest Labs-Benutzer und Netzwerkmitwirkender.

Hinweis

Die Azure RBAC schränkt nicht die Aktionen eines Benutzers ein, der bei einer VM angemeldet ist. Diese Berechtigungen werden vom Kontotyp im Gastbetriebssystem bestimmt.

Überwachungsprotokolle: Verwenden Sie Überwachungsprotokolle, um Bereitstellungsaktionen und andere VM-Ereignisse anzuzeigen.

Datenverschlüsselung: Verwenden Sie Azure Disk Encryption, wenn Sie die Datenträger für Betriebssystem und Daten verschlüsseln müssen.

Optimaler Betrieb

Die Säule „Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie unter Übersicht über die Säule „Optimaler Betrieb“.

Nutzen Sie Infrastructure-as-Code (IaC), indem Sie entweder eine einzelne Azure Resource Manager-Vorlage für die Bereitstellung der Azure-Ressourcen (deklarativer Ansatz) oder ein einzelnes PowerShell-Skript (imperativer Ansatz) verwenden. Da sich alle Ressourcen im selben virtuellen Netzwerk befinden, werden sie in derselben grundlegenden Workload isoliert. Dadurch ist es leichter, die spezifischen Ressourcen einer Workload einem DevOps-Team zuzuordnen, damit das Team unabhängig alle Aspekte dieser Ressourcen verwalten kann. Diese Isolation ermöglicht dem DevOps-Team und den Diensten die Durchführung von Continuous Integration- und Continuous Delivery-Vorgängen (CI/CD).

Außerdem können Sie verschiedene Azure Resource Manager-Vorlagen verwenden und in Azure DevOps Services integrieren, um in wenigen Minuten unterschiedliche Umgebungen bereitzustellen. Beispielsweise können Sie das Replizieren von produktionsähnlichen Szenarien oder das Laden von Testumgebungen nur bei Bedarf durchführen, um Kosten zu sparen.

Erwägen Sie die Nutzung von Azure Monitor, um die Leistung Ihrer Infrastruktur zu analysieren und zu optimieren, die Überwachung durchzuführen und Netzwerkprobleme zu diagnostizieren, ohne dass Sie sich bei Ihren virtuellen Computern anmelden müssen.

Nächste Schritte