Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Virtual Machines ist eine Art von Computedienst, mit dem Sie virtuelle Computer (VMs) auf der Azure-Plattform erstellen und ausführen können. Es bietet Flexibilität in verschiedenen SKUs, Betriebssystemen und Konfigurationen mit verschiedenen Abrechnungsmodellen.
In diesem Artikel wird davon ausgegangen, dass Sie als Architekt den compute decision tree überprüft haben und Virtual Machines als Computedienst für Ihre Workload ausgewählt haben. Die Anleitung in diesem Artikel enthält Architekturempfehlungen, die den Grundsätzen der Well-Architected Rahmenpfeilerzugeordnet sind.
Technologieumfang
Diese Überprüfung konzentriert sich auf die in Beziehung stehenden Entscheidungen für die folgenden Azure Ressourcen:
Virtual Machines
Azure Virtual Machine Scale Sets (Skalierungsgruppen für virtuelle Azure-Maschinen)
Datenträger sind eine wichtige Abhängigkeit für VM-basierte Architekturen, werden aber in diesem Artikel nicht behandelt. Weitere Informationen finden Sie unter Architecture best practices for Azure Disk Storage.
Reliability
Der Zweck der Zuverlässigkeitssäule besteht darin, kontinuierliche Funktionsfähigkeit bereitzustellen, indem genügend Widerstandsfähigkeit aufgebaut wird und die Fähigkeit zur schnellen Wiederherstellung von Fehlern sichergestellt wird.
Entwurfsprinzipien für Zuverlässigkeit bieten eine allgemeine Designstrategie, die für einzelne Komponenten, Systemflüsse und das gesamte System angewendet wird.
Checkliste für die Arbeitsauslastungsgestaltung
Starten Sie Ihre Designstrategie basierend auf der Designüberprüfung-Checkliste für Zuverlässigkeit. Bestimmen Sie ihre Relevanz für Ihre Geschäftlichen Anforderungen, und berücksichtigen Sie dabei die SKUs und Features von VMs und deren Abhängigkeiten. Erweitern Sie die Strategie, um bei Bedarf weitere Ansätze einzuschließen.
Überprüfen Sie die Quoten und Grenzwerte für virtuelle Maschinen, die Entwurfseinschränkungen darstellen können. VMs verfügen über bestimmte Grenzwerte und Kontingente, die je nach Typ des virtuellen Computers oder der Region variieren. Möglicherweise gibt es Abonnementeinschränkungen, z. B. die Anzahl der virtuellen Computer pro Abonnement oder die Anzahl der Kerne pro VM. Wenn andere Workloads Ihr Abonnement teilen, kann deren Fähigkeit zum Verbrauchen von Daten verringert werden. Überprüfen Sie Grenzwerte für virtuelle Computer, Skalierungssätze für virtuelle Computer und verwaltete Datenträger.
Führen Sie eine Fehlermodusanalyse durch, um Fehlerpunkte zu minimieren, indem Vm-Interaktionen mit den Netzwerk- und Speicherkomponenten analysiert werden. Wählen Sie Konfigurationen wie kurzlebige Betriebssystemdatenträger aus, um den Datenträgerzugriff zu lokalisieren und Netzwerkhüpfungen zu vermeiden. Fügen Sie einen Lastenausgleich hinzu, um die Selbsterhaltung zu verbessern, indem Sie den Netzwerkdatenverkehr über mehrere VMs verteilen, was die Verfügbarkeit und Zuverlässigkeit verbessert.
Berechnen Sie Ihre kompositen Servicelevel-Ziele (SLOs) basierend auf den Azure Service-Level-Vereinbarungen (SLAs). Stellen Sie sicher, dass Ihr SLO nicht höher als die Azure SLAs ist, um unrealistische Erwartungen und potenzielle Probleme zu vermeiden.
Beachten Sie die Komplexitäten, die Abhängigkeiten mit sich bringen. Beispielsweise verfügen einige Abhängigkeiten wie virtuelle Netzwerke und Netzwerkschnittstellenkarten (NICs) nicht über eigene SLAs. Andere Abhängigkeiten, z. B. ein zugeordneter Datenträger, verfügen über SLAs, die in VM-SLAs integriert werden. Sie sollten diese Variationen berücksichtigen, da sie sich auf die Leistung und Zuverlässigkeit der VM auswirken können.
Berücksichtigen Sie die kritischen Abhängigkeiten von VMs auf Komponenten wie Datenträgern und Netzwerkkomponenten. Wenn Sie diese Beziehungen verstehen, können Sie die kritischen Flüsse ermitteln, die sich auf die Zuverlässigkeit auswirken.
Zustandsisolation erstellen. Workloaddaten sollten sich auf einem separaten Datenträger befinden, um Störungen mit dem Betriebssystemdatenträger zu verhindern. Wenn ein virtueller Computer fehlschlägt, können Sie einen neuen Betriebssystemdatenträger mit demselben Datenträger erstellen, der Ausfallsicherheit und Fehlerisolation gewährleistet. Weitere Informationen finden Sie unter Ephemeral-Betriebssystemdatenträger.
Machen Sie virtuelle Maschinen und ihre Abhängigkeiten zoneübergreifend redundant. Wenn ein virtueller Computer fehlschlägt, sollte die Workload aufgrund von Redundanz weiterhin funktionieren. Schließen Sie Abhängigkeiten in Ihre Redundanzoptionen ein. Verwenden Sie beispielsweise die integrierten Redundanzoptionen, die mit Datenträgern verfügbar sind. Verwenden Sie zonenredundante IP-Adressen, um die Datenverfügbarkeit und hohe Verfügbarkeit sicherzustellen.
Vermeiden Sie Arbeitsauslastungsdesigns, die von einer einzelnen VM abhängen, da diese VM nicht für geplante oder ungeplante Wartungs- oder Zuverlässigkeitsereignisse widerstandsfähig ist.
Bereiten Sie sich darauf vor, sowohl vertikal als auch horizontal zu skalieren, um Beeinträchtigungen auf Dienstebene zu verhindern und Fehler zu vermeiden. Virtual Machine Scale Sets verfügen über Autoskalenfunktionen, die nach Bedarf neue Instanzen erstellen und die Last über mehrere VMs und Verfügbarkeitszonen verteilen.
Erkunden Sie die Optionen für die automatische Wiederherstellung. Azure unterstützt die Überwachung von Integritätsbeeinträchtigungen und Selbstheilungsfeatures für VMs. Skalierungssätze stellen z. B. automatische Instanzenreparaturen bereit. In komplexeren Szenarien umfasst die Selbstheilung die Verwendung von Azure Site Recovery, das Umschalten auf ein passives Standby-System oder die erneute Bereitstellung über Infrastructure as Code (IaC). Die von Ihnen gewählte Methode sollte den geschäftlichen Anforderungen, den Organisationsvorgängen entsprechen und Ihre Fähigkeit zur Durchführung von Wiederherstellungs drills unterstützen. Weitere Informationen finden Sie unter VM-Dienstunterbrechungen.
Passen Sie die VMs und deren Abhängigkeiten an. Verstehen Sie die erwartete Leistung Ihrer VM, um sicherzustellen, dass sie nicht zu klein dimensioniert ist und die maximale Auslastung verarbeiten kann. Haben Sie zusätzliche Kapazität, um Fehler zu mindern.
Stellen Sie sicher, dass die stets eingeschalteten VMs weiterlaufen. Virtuelle Maschinen in Azure können heruntergefahren werden, was ein anderer Zustand ist als das Löschen der Ressource. Verwenden Sie für virtuelle Computer, die so konzipiert sind, dass sie weiterhin ausgeführt werden, eine
ReadOnlyRessourcensperre , um versehentliches Beenden der VM zu verhindern. Dadurch wird nicht verhindert, dass das Betriebssystem bei Bedarf für Updates neu gestartet wird, verhindert aber einen Operatorfehler über das Azure Portal oder die CLI.Erstellen Sie einen umfassenden Notfallwiederherstellungsplan. Notfallbereitschaft umfasst die Erstellung eines umfassenden Plans und die Entscheidung über eine Technologie für die Wiederherstellung.
Abhängigkeiten und zustandsbehaftete Komponenten, z. B. angefügter Speicher, können die Wiederherstellung erschweren. Wenn Datenträger heruntergehen, wirkt sich dieser Fehler auf die Funktion des virtuellen Computers aus. Fügen Sie einen klaren Prozess für diese Abhängigkeiten in Ihre Wiederherstellungspläne ein.
Verteilen von Anwendungen auf VMs Platzieren Sie in einer N-Ebene-Workload beispielsweise keine Anwendungen oder Speicherdienste aus verschiedenen Ebenen auf denselben virtuellen Computern, sondern führen Sie stattdessen jede Ebene auf verschiedenen virtuellen Computern aus. Entwerfen Sie Ihre Arbeitsauslastung mit einem einzigen Verantwortungsprinzipal, mit dem Sie die Zuverlässigkeitsmerkmale und die Wiederherstellungsstrategie pro VM-Gruppierung optimieren können.
Führen Sie Vorgänge mit Rigor aus. Zuverlässigkeitsdesignentscheidungen müssen von effektiven Vorgängen unterstützt werden, die auf den Grundsätzen der Überwachung, Resilienztests in der Produktion, automatisierten Anwendungs-VM-Patches und -Upgrades und der Konsistenz von Bereitstellungen basieren. Operative Anleitungen finden Sie unter Operational Excellence.
Konfigurationsempfehlungen
| Recommendation | Benefit |
|---|---|
| (Scale set) Verwenden Sie Virtual Machine Scale Sets im Flexiblen Orchestrierungsmodus, um VMs bereitzustellen. | Stellen Sie ihre Anwendung zukunftssicher für die Skalierung und nutzen Sie die Hochverfügbarkeitsgarantien, die VMs über Fehlerdomänen in einer Region oder einer Verfügbarkeitszone verteilen. |
| (VMs) Implementieren Sie Integritätsendpunkte, die Instanzintegritätsstatus auf virtuellen Computern ausgeben. (Skalierungssatz) Aktivieren Sie automatische Reparaturen auf dem Maßstabssatz, indem Sie die bevorzugte Reparaturaktion angeben. Erwägen Sie das Festlegen eines Zeitrahmens, in dem automatische Reparaturen angehalten werden, wenn sich der Zustand des virtuellen Computers ändert. |
Erhalten Sie die Verfügbarkeit aufrecht, auch wenn eine Instanz als nicht funktionsfähig angesehen wird. Automatische Reparaturen initiieren die Wiederherstellung, indem die fehlerhafte Instanz ersetzt wird. Das Festlegen eines Zeitfensters kann unbeabsichtigte oder vorzeitige Reparaturvorgänge verhindern. |
| (Skalierungssatz) Aktivieren Sie die Überprovisionierung für Skalierungssätze. | Die Überbereitstellung reduziert die Bereitstellungszeiten und hat einen Kostenvorteil, da die zusätzlichen virtuellen Computer nicht in Rechnung gestellt werden. |
| (Skalierungssatz) Vorab zugewiesene Instanzen mit Standbypools. | Standby-Pool-Instanzen bleiben inaktiv, sind aber bereit, Workloads zu übernehmen, wenn ein Fehler auftritt. Diese Funktion verbessert die Zuverlässigkeit des Systems. |
| (Skalierungsgruppe) Ermöglichen Sie die flexible Orchestrierung, um die VM-Instanzen auf so viele Fehlerdomänen wie möglich zu verteilen. | Diese Option isoliert Fehlerdomänen. Wenn eine Fehlerdomäne aktualisiert wird, sind während der Wartungszeiträume VM-Instanzen in den anderen Fehlerdomänen verfügbar. |
| (Skalierungsgruppe) Bereitstellung über Verfügbarkeitszonen in Skalierungsgruppen. Richten Sie mindestens zwei Instanzen in jeder Zone ein. Der Zonenausgleich verteilt die Instanzen gleichmäßig auf Zonen. |
Die VM-Instanzen werden an physisch getrennten Speicherorten innerhalb jeder Azure Region bereitgestellt, die für lokale Fehler tolerant sind. Denken Sie daran, dass je nach Ressourcenverfügbarkeit möglicherweise eine ungleiche Anzahl von Instanzen über Zonen hinweg vorhanden ist. Der Zonenausgleich unterstützt die Verfügbarkeit, um sicherzustellen, dass die anderen Zonen über ausreichende Instanzen verfügen, wenn eine Zone ausfällt. Zwei Instanzen in jeder Zone stellen während der Upgrades einen Puffer bereit. |
| (Skalierungssatz) Um die Service-Betriebszeit zu verbessern und gleichzeitig die Kostenauswirkungen von Upgrades zu kontrollieren, aktivieren Sie MaxSurge. | Neue Instanzen werden in Batches mithilfe des neuesten Skalierungsmodells erstellt. Nachdem die neuen Instanzen fehlerfrei sind, werden die alten Instanzen in Batches gelöscht. Dieser Vorgang wird fortgesetzt, bis alle Instanzen aktualisiert werden, wodurch während updates keine Ausfallzeiten gewährleistet werden. |
| (VMs) Schützen Sie VMs, die nicht einfach mittels IaC und Bootstrapping neu erstellt werden können, mit Azure Backup Instant Restore. | Wenn Sie Momentaufnahmen von virtuellen Maschinen in einem Azure Recovery Services Vault haben, können Sie Ihre RPO-Anforderungen umsetzen, um den Zustand auf Festplatten wiederherzustellen, die an einen fehlerhaften virtuellen Computer angefügt sind. |
| (VMs) Nutzen Sie die Funktion "Kapazitätsreservierungen". | Die Kapazität ist für Ihre Nutzung reserviert und steht im Rahmen der anwendbaren SLAs zur Verfügung. Sie können Kapazitätsreservierungen löschen, wenn Sie sie nicht mehr benötigen, und die Abrechnung erfolgt verbrauchsabhängig. |
Security
Der Zweck der Säule "Sicherheit" besteht darin , vertraulichkeits-, Integritäts- und Verfügbarkeitsgarantien für die Arbeitsauslastung bereitzustellen.
Die Security-Designprinzipien bieten eine allgemeine Entwurfsstrategie zur Erreichung dieser Ziele durch Anwendung von Ansätzen auf den technischen Entwurf von Virtual Machines.
Checkliste für die Arbeitsauslastungsgestaltung
Starten Sie Ihre Designstrategie basierend auf der -Designüberprüfungsprüfliste für Sicherheit und identifizieren Sie Sicherheitsrisiken und Kontrollen, um die Sicherheitslage zu verbessern. Erweitern Sie die Strategie, um bei Bedarf weitere Ansätze einzuschließen.
Überprüfen Sie die Sicherheitsgrundlagen für Linux- und Windows-VMs und virtuelle Maschinenskalierungsgruppen.
Berücksichtigen Sie als Teil Ihrer grundlegenden Technologieoptionen die Sicherheitsfeatures der VM-SKUs, die Ihre Workload unterstützen.
Stellen Sie rechtzeitige und automatisierte Sicherheitspatches und -Upgrades sicher. Stellen Sie sicher, dass Updates automatisch eingeführt und überprüft werden, indem Sie einen klar definierten Prozess verwenden. Verwenden Sie eine Lösung wie Azure Automation, um Betriebssystemupdates zu verwalten und die Sicherheitscompliance aufrechtzuerhalten, indem Sie wichtige Updates vornehmen.
Identifizieren Sie die VMs, die den Zustand halten. Stellen Sie sicher, dass Daten gemäß den von Ihrer Organisation bereitgestellten Vertraulichkeitsbezeichnungen klassifiziert werden. Schützen Sie Daten, indem Sie Sicherheitsmaßnahmen verwenden, wie etwa geeignete Stufen der Verschlüsselung ruhender und übertragener Daten. Wenn Sie hohe Vertraulichkeitsanforderungen haben, sollten Sie die Verwendung von Steuerelementen mit hoher Sicherheit wie doppelter Verschlüsselung und Azure vertraulicher Datenverarbeitung in Betracht ziehen, um Daten zu schützen.
Stellen Sie Segmentierung für die virtuellen Computer und Skalierungssätze bereit, indem Sie Netzwerkgrenzen und Zugriffssteuerungen festlegen. Platzieren Sie virtuelle Computer in Ressourcengruppen, die denselben Lebenszyklus gemeinsam nutzen.
Wenden Sie Zugriffssteuerungen auf die Identitäten an, die versuchen, die virtuellen Computer zu erreichen, und auch auf die virtuellen Computer, die andere Ressourcen erreichen. Verwenden Sie Microsoft Entra ID für Authentifizierungs- und Autorisierungsanforderungen. Platzieren Sie sichere Kennwörter, mehrstufige Authentifizierung und rollenbasierte Zugriffssteuerung (RBAC) für Ihre virtuellen Computer und deren Abhängigkeiten, z. B. geheime Schlüssel, damit Identitäten nur die Vorgänge ausführen können, die von ihren Rollen erwartet werden.
Einschränken des Ressourcenzugriffs basierend auf Bedingungen mithilfe von Microsoft Entra Conditional Access. Definieren Sie die bedingten Richtlinien basierend auf der Dauer und dem Minimalsatz der erforderlichen Berechtigungen.
Verwenden Sie Netzwerksteuerelemente, um den Eingangs- und Ausgangsdatenverkehr einzuschränken. Isolieren Sie virtuelle Computer und Skalierungsgruppen in Azure Virtual Network und definieren Sie Netzwerksicherheitsgruppen, um Datenverkehr zu filtern. Schützen Vor verteilten Denial-of-Service -Angriffen (DDoS). Verwenden Sie Lastenausgleichs- und Firewallregeln, um vor Böswilligen Datenverkehrs- und Datenexfiltrationsangriffen zu schützen.
Verwenden Sie Azure Bastion, um eine sicherere Konnektivität mit den virtuellen Computern für den betriebsfähigen Zugriff bereitzustellen.
Die Kommunikation von und zu den VMs zu Platform-as-a-Service (PaaS)-Lösungen sollte über private Endpunkte erfolgen.
Verringern Sie die Angriffsfläche , indem Sie Betriebssystemimages härten und nicht verwendete Komponenten entfernen. Verwenden Sie kleinere Bilder, und entfernen Sie Binärdateien, die nicht zum Ausführen der Workload erforderlich sind. Optimieren Sie die VM-Konfigurationen, indem Sie Funktionen wie nicht benötigte Standardkonten und Ports entfernen.
Schützen Sie geheime Schlüssel wie die Zertifikate, die Sie zum Schutz von Daten während der Übertragung benötigen. Erwägen Sie die Verwendung der Azure Key Vault Erweiterung für Windows oder Linux, die die in einem Schlüsseltresor gespeicherten Zertifikate automatisch aktualisiert. Wenn eine Änderung in den Zertifikaten erkannt wird, ruft die Erweiterung die entsprechenden Zertifikate ab und installiert sie.
Bedrohungserkennung. Überwachen Sie virtuelle Computer auf Bedrohungen und Fehlkonfigurationen. Verwenden Sie Defender für Server, um VM- und Betriebssystemänderungen zu erfassen und einen Überwachungspfad mit Zugriff, neuen Konten und Änderungen an Berechtigungen zu verwalten.
Bedrohungsprävention. Schützen Sie vor Schadsoftwareangriffen und böswilligen Akteuren, indem Sie Sicherheitskontrollen wie Firewalls, Antivirensoftware und Angriffserkennungssysteme implementieren. Ermitteln Sie, ob eine vertrauenswürdige Ausführungsumgebung (Trusted Execution Environment, TEE) erforderlich ist.
Konfigurationsempfehlungen
| Recommendation | Benefit |
|---|---|
| (Skalierungssatz) Weisen Sie eine verwaltete Identität zu, um Sätze zu skalieren. Alle virtuellen Computer im Skalierungssatz erhalten dieselbe Identität über das angegebene VM-Profil. (VMs) Sie können einzelnen virtuellen Computern auch eine verwaltete Identität zuweisen , wenn Sie sie erstellen und dann bei Bedarf zu einem Skalierungssatz hinzufügen. |
Wenn VMs mit anderen Ressourcen kommunizieren, überschreiten sie eine Vertrauensgrenze. Skalierungsgruppen und VMs sollten ihre Identität authentifizieren, bevor die Kommunikation zugelassen wird. Microsoft Entra ID behandelt diese Authentifizierung mithilfe von verwalteten Identitäten. |
| (Skalierungssatz) Wählen Sie VM-SKUs mit Sicherheitsfeatures aus. Einige SKUs unterstützen z. B. die BitLocker-Verschlüsselung, und vertrauliches Computing bietet Verschlüsselung von Daten, die verwendet werden. Überprüfen Sie die Features, um die Einschränkungen zu verstehen. |
Die von Azure bereitgestellten Funktionen beruhen auf Signalen, die über viele Mandanten hinweg erfasst werden, und können Ressourcen besser schützen als benutzerdefinierte Einstellungen. Sie können auch Richtlinien verwenden, um diese Steuerelemente zu erzwingen. |
| (VMs, Skalierungsgruppe) Wenden Sie von der Organisation empfohlene Tags in den bereitgestellten Ressourcen an. | Tagging ist eine gängige Methode zum Segmentieren und Organisieren von Ressourcen und kann während der Vorfallverwaltung von entscheidender Bedeutung sein. Weitere Informationen finden Sie unter "Zweck der Benennung und Kennzeichnung". |
| (VMs, Skalierungssatz) Legen Sie ein Sicherheitsprofil mit den Sicherheitsfeatures fest, die Sie in der VM-Konfiguration aktivieren möchten. Wenn Sie beispielsweise die Verschlüsselung auf dem Host im Profil angeben, werden die auf dem VM-Host gespeicherten Daten im Ruhezustand verschlüsselt, und Flüsse werden an den Speicherdienst verschlüsselt. |
Die Features im Sicherheitsprofil werden automatisch aktiviert, wenn der virtuelle Computer erstellt wird. Weitere Informationen finden Sie unter Azure Security Baseline für Virtual Machine Scale Sets. |
| (VMs, Skalierungssatz) Enable Trusted Launch on your Virtual Machines.Trusted Launch stellt hardwarebasierte Sicherheitsfeatures bereit, einschließlich sicherer Start und virtual Trusted Platform Module (vTPM) für einen verbesserten Sicherheitsstatus, ohne dass eine erneute Bereitstellung der Infrastruktur erforderlich ist. Sie können Trusted Launch für vorhandene Virtual Machine Scale Sets** über In-Place-Upgrade-Funktionen aktivieren. |
Verbesserte Sicherheit durch hardwarebasierte Sicherheitsfunktionen, die ohne Dienstunterbrechung in vorhandene Infrastruktur nachgerüstet werden können, sodass Organisationen den Compliancestatus verbessern und gleichzeitig die Betriebskontinuität beibehalten können. |
| (VMs) Wählen Sie sichere Netzwerkoptionen für das Netzwerkprofil Ihres virtuellen Computers aus. Ordnen Sie Ihren virtuellen Computern keine öffentlichen IP-Adressen direkt zu, und aktivieren Sie keine IP-Weiterleitung. Stellen Sie sicher, dass alle virtuellen Netzwerkschnittstellen über eine zugeordnete Netzwerksicherheitsgruppe verfügen. |
Sie können Segmentierungssteuerelemente im Netzwerkprofil festlegen. Angreifer scannen öffentliche IP-Adressen. Diese Aktivität macht VMs anfällig für Bedrohungen. |
| (VMs) Wählen Sie sichere Speicheroptionen für das Speicherprofil Ihres virtuellen Computers aus. Standardmäßig die Verschlüsselung von Datenträgern und die Verschlüsselung ruhender Daten aktivieren. Deaktivieren Sie den Zugriff auf öffentliche Netzwerke auf die VM-Datenträger. |
Durch das Deaktivieren des öffentlichen Netzwerkzugriffs können Sie nicht autorisierten Zugriff auf Ihre Daten und Ressourcen verhindern. |
| (VMs, Skalierungssatz) Schließen Sie Erweiterungen in Ihre virtuellen Computer ein, die vor Bedrohungen schützen. Zum Beispiel - Key Vault Erweiterung für Windows und Linux - Microsoft Entra ID Authentifizierung - Microsoft Antischadsoftware für Azure Cloud Services und Virtual Machines - Azure Disk Encryption Erweiterung für Windows und Linux. |
Die Erweiterungen werden verwendet, um die virtuellen Computer mit der richtigen Software auszustatten, die den Zugriff zu und von den VMs schützt. Microsoft bereitgestellten Erweiterungen werden häufig aktualisiert, um mit den sich entwickelnden Sicherheitsstandards schrittzuhalten. |
Kostenoptimierung
Die Kostenoptimierung konzentriert sich auf das Erkennen von Ausgabenmustern, das Priorisieren von Investitionen in kritische Bereiche und die Optimierung in anderen Bereichen, um das Budget der Organisation zu erfüllen, während die Geschäftsanforderungen erfüllt werden.
Die designprinzipien Cost Optimization bieten eine allgemeine Designstrategie für die Erreichung dieser Ziele und die erforderlichen Kompromisse bei der technischen Gestaltung im Zusammenhang mit Virtual Machines und seiner Umgebung.
Checkliste für die Arbeitsauslastungsgestaltung
Starten Sie Ihre Designstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für Kostenoptimierung für Investitionen. Optimieren Sie das Design so, dass die Arbeitsbelastung mit dem Budget übereinstimmt, das dafür zugewiesen ist. Ihr Design sollte die richtigen Azure Funktionen verwenden, Investitionen überwachen und Möglichkeiten zur Optimierung im Laufe der Zeit finden.
Schätzen Sie realistische Kosten. Verwenden Sie den Preisrechner , um die Kosten Ihrer virtuellen Computer zu schätzen. Identifizieren Sie den besten virtuellen Computer für Ihre Workload mithilfe der VM-Auswahl. Weitere Informationen finden Sie unter Linux und Windows Preise.
Implementieren Sie Kostenschutzschienen. Verwenden Sie Governancerichtlinien, um Ressourcentypen, Konfigurationen und Speicherorte einzuschränken. Verwenden Sie RBAC, um Aktionen zu blockieren, die zu übermäßigem Ausgaben führen können.
Wählen Sie die richtigen Ressourcen aus. Ihre Auswahl von VM-Plangrößen und SKUs wirkt sich direkt auf die Gesamtkosten aus. Wählen Sie virtuelle Computer basierend auf Workloadmerkmalen aus. Ist die Workload CPU-intensiv oder führt sie unterbrechungsfähige Prozesse aus? Jede SKU verfügt über zugeordnete Datenträgeroptionen, die sich auf die Gesamtkosten auswirken.
Wählen Sie die richtigen Funktionen für abhängige Ressourcen aus. Sparen Sie bei den Speicherkosten der Vault-Standard-Stufe, indem Sie den Azure-Backup-Speicher mit reservierter Kapazität nutzen. Es bietet einen Rabatt, wenn Sie sich für eine Reservierung für ein Jahr oder drei Jahre verpflichten.
Die Archivebene in Azure Storage ist eine Offlineebene, die für das Speichern von BLOB-Daten optimiert ist, auf die selten zugegriffen wird. Die Archivebene bietet die niedrigsten Speicherkosten, aber höhere Datenempfangskosten und Latenz im Vergleich zu den heißen und kühlen Online-Ebenen.
Erwägen Sie die Verwendung der Zonen-zu-Zonen-Notfallwiederherstellung für VMs, um sich von Standortausfällen zu erholen und gleichzeitig die Komplexität der Verfügbarkeit durch die Nutzung zonenredundanter Dienste zu verringern. Kostenvorteile können durch eine geringere betriebliche Komplexität erzielt werden.
Wählen Sie das richtige Abrechnungsmodell aus. Bewerten Sie, ob verpflichtungsbasierte Modelle die Kostenberechnung gemäß den Geschäftsanforderungen der Arbeitslast optimieren. Berücksichtigen Sie die folgenden Azure Optionen:
-
Azure-Reservierungen: Zahlen Sie im Voraus für vorhersehbare Workloads, um Kosten im Vergleich zur verbrauchsabhängigen Preisgestaltung zu reduzieren.
Important
Kaufen Sie reservierte Instanzen, um Azure Kosten für Workloads zu reduzieren, die eine stabile Nutzung aufweisen. Verwalten Sie die Nutzung, um sicherzustellen, dass Sie nicht für mehr Ressourcen bezahlen, als Sie verwenden. Halten Sie reservierte Instanzen einfach und den Verwaltungsaufwand niedrig, um Kosten zu senken.
- Sparplan: Wenn Sie sich verpflichten, einen festen Stundenbetrag für Computedienste für ein oder drei Jahre zu ausgeben, kann dieser Plan Kosten reduzieren.
- Azure-Hybridvorteil: Speichern, wenn Sie Ihre lokalen virtuellen Computer zu Azure migrieren.
-
Azure-Reservierungen: Zahlen Sie im Voraus für vorhersehbare Workloads, um Kosten im Vergleich zur verbrauchsabhängigen Preisgestaltung zu reduzieren.
Überwachen sie die Nutzung. Überwachen Sie kontinuierlich Verwendungsmuster und erkennen Sie nicht verwendete oder nicht genutzte VMs. Beenden Sie für diese Instanzen die VM-Instanzen, wenn sie nicht verwendet werden. Die Überwachung ist ein wichtiger Ansatz der operationalen Exzellenz. Weitere Informationen finden Sie in den Empfehlungen in Operational Excellence.
Suchen Sie nach Möglichkeiten zur Optimierung. Einige Strategien umfassen die Auswahl des kostengünstigsten Ansatzes zwischen dem Erhöhen von Ressourcen in einem vorhandenen System oder der Hochskalierung und dem Hinzufügen weiterer Instanzen dieses Systems oder der Aufskalierung. Sie können die Nachfrage auslagern, indem Sie sie an andere Ressourcen verteilen, oder Sie können die Nachfrage reduzieren, indem Sie Prioritätswarteschlangen, Gatewayoffloading, Pufferung und Ratenbegrenzung implementieren. Weitere Informationen finden Sie in den Empfehlungen in der Leistungseffizienz.
Konfigurationsempfehlungen
| Recommendation | Benefit |
|---|---|
| (VMs, Skalierungssatz) Wählen Sie die richtige VM-Plangröße und SKU aus. Ermitteln Sie die besten VM-Größen für Ihre Workload. Verwenden Sie die VM-Auswahl, um den besten virtuellen Computer für Ihre Workload zu identifizieren. Siehe Windows und Linux Preise. Bei Workloads wie hoch parallelen Batchverarbeitungsaufträgen, die einige Unterbrechungen tolerieren können, sollten Sie die Verwendung von Azure Spot Virtual Machines in Betracht ziehen. Virtuelle Spotcomputer eignen sich gut zum Experimentieren, Entwickeln und Testen großer Lösungen. |
SKUs werden entsprechend den funktionen, die sie anbieten, gepreist. Wenn Sie keine erweiterten Funktionen benötigen, geben Sie nicht zu viel für SKUs aus. Spot-VMs nutzen die Überschusskapazität in Azure zu niedrigeren Kosten. |
| (Skalierungsgruppe) Mischen Sie normale virtuelle Computer mit virtuellen Spotcomputern. Mithilfe der flexiblen Orchestrierung können Sie virtuelle Spotcomputer basierend auf einem angegebenen Prozentsatz verteilen. Verwenden Sie die Spotplatzierungsbewertung , um datengesteuerte Entscheidungen zur Auswahl der besten Regionen und VM-Größen zu treffen, um die Verfügbarkeit zu maximieren und kapazitätsbezogene Fehler zu reduzieren. |
Reduzieren Sie die Kosten für die Recheninfrastruktur, indem Sie die tiefen Rabatte von Spot-VMs nutzen. Die Bewertung der Spot-Platzierungspunktzahl kann dazu beitragen, die Gesamterfolgsquote bei der Bereitstellung von Spot-VMs zu verbessern. |
| (Skalierungssatz) Verringern Sie die Anzahl der VM-Instanzen, wenn die Nachfrage verringert wird. Legen Sie eine Skalierungsrichtlinie basierend auf Kriterien fest. |
Die Skalierung von Ressourcen, wenn sie nicht verwendet werden, reduziert die Anzahl der virtuellen Computer, die im Skalierungssatz ausgeführt werden, wodurch Kosten gespart werden. |
| (VMs) VMs während der Nebenzeiten stoppen. Sie können das Feature Azure Automation Start/Stop verwenden und es entsprechend Ihren geschäftlichen Anforderungen konfigurieren. | Das Start-/Stopp-Feature ist eine kostengünstige Automatisierungsoption, die sich erheblich auf die Kosten Ihrer Leerlaufinstanzen auswirken kann. |
| (VMs) CPU-Ressourcen freigeben, indem Sie Azure Boost verwenden. | Durch das Entladen von Back-End-Virtualisierungsprozessen werden CPU-Ressourcen für die virtuellen Gastcomputer freigegeben. Diese Optimierung führt zu einer verbesserten Leistung. Azure Boost ist nur auf bestimmten virtuellen Computern verfügbar. Stellen Sie daher sicher, dass Sie auch VM-Größen wählen, die Azure Boost aktiviert haben. |
| (VMs, Skalierungssatz) Nutzen Sie die Vorteile der Lizenzmobilität mithilfe von Azure-Hybridvorteil. VMs verfügen über eine Lizenzierungsoption, mit der Sie Ihre eigenen lokalen Windows Server OS-Lizenzen auf Azure übertragen können. Azure-Hybridvorteil ermöglicht es Ihnen auch, bestimmte Linux-Abonnements zu Azure zu bringen. |
Sie können Ihre lokalen Lizenzen maximieren und gleichzeitig die Vorteile der Cloud nutzen. |
Azure Batch konsolidierte Low-Priority- und Spot-VMs zu einer einheitlichen Spot-VM-Infrastruktur, wodurch das unterbrechbare Rechenpreismodell vereinfacht wurde. Wenn Ihre Workload Batchpools mit Low-Priority virtuellen Computern verwendet, ist die Migration automatisch und erfordert keine Codeänderungen. Stellen Sie sicher, dass die Spot-Eviction-Behandlung vorhanden ist, da sich die Entfernungsraten möglicherweise vom früheren Low-Priority-Modell unterscheiden. Weitere Informationen finden Sie unter Verwenden von Spot-VMs mit Batchworkloads.
Operative Exzellenz
Operational Excellence konzentriert sich in erster Linie auf Verfahren für Entwicklungspraktiken, Observability und Release Management.
Die Designprinzipien der Operational Excellence bieten eine allgemeine Designstrategie, um diese Ziele für die betrieblichen Anforderungen der Arbeitsauslastung zu erreichen.
Checkliste für die Arbeitsauslastungsgestaltung
Beginnen Sie Ihre Designstrategie basierend auf der Prüfliste design review for Operational Excellence zum Definieren von Prozessen für Observability, Tests und Bereitstellung im Zusammenhang mit Virtual Machines und Skalierungssätzen.
Überwachen Sie die VM-Instanzen. Sammeln Sie Protokolle und Metriken von VM-Instanzen, um die Ressourcennutzung zu überwachen und den Status der Instanzen zu messen. Einige gängige Metriken umfassen die CPU-Auslastung, die Anzahl der Anforderungen und die Latenz der Eingabe/Ausgabe (E/A). Richten Sie Azure Monitor alerts ein, um über Probleme benachrichtigt zu werden und Konfigurationsänderungen in Ihrer Umgebung zu erkennen.
Überwachen Sie die Integrität der virtuellen Computer und deren Abhängigkeiten.
Stellen Sie Überwachungskomponenten bereit, um Protokolle und Metriken zu sammeln, die einen umfassenden Überblick über Ihre VMs, Gastbetriebssysteme und Startdiagnosedaten bieten. Virtual Machine Scale Sets fassen Telemetriedaten zusammen, wodurch Sie Gesundheitsmetriken auf der Ebene einzelner VMs oder als Gesamtansicht anzeigen können. Verwenden Sie Azure Monitor, um diese Daten für jeden virtuellen Computer anzuzeigen oder um Daten über mehrere virtuelle Computer zu aggregieren. Weitere Informationen finden Sie unter Empfehlungen für Überwachungsagenten.
Nutzen Sie die Vorteile von Netzwerkkomponenten, die den Integritätsstatus von virtuellen Computern überprüfen. Beispielsweise sendet Azure Load Balancer Pings an VMs, um fehlerhafte VMs zu erkennen und den Datenverkehr entsprechend umzuleiten.
Richten Sie Azure Monitor Warnungsregeln ein. Ermitteln Sie wichtige Bedingungen in Ihren Überwachungsdaten, um Probleme zu identifizieren und zu beheben, bevor sie sich auf das System auswirken.
Erstellen Sie einen Wartungsplan , der regelmäßige Systempatching als Teil von Routinevorgängen umfasst. Schließen Sie Notfallprozesse ein, die eine sofortige Patchanwendung ermöglichen. Sie können benutzerdefinierte Prozesse zum Verwalten von Patching haben oder die Aufgabe teilweise an Azure delegieren. Azure bietet Features für einzelne VM-Wartung. Sie können Wartungsfenster einrichten, um Unterbrechungen während Updates zu minimieren. Bei Plattformupdates sind Überlegungen zur Fehlerdomäne entscheidend für resilienz. Es wird empfohlen, mindestens zwei Instanzen in einer Zone bereitzustellen. Zwei virtuelle Computer pro Zone garantieren mindestens einen virtuellen Computer in jeder Zone, da jeweils nur eine Fehlerdomäne in einer Zone aktualisiert wird. Stellen Sie also für drei Zonen mindestens sechs Instanzen bereit.
Automatisieren Sie Prozesse zum Bootstrapping, ausführen von Skripts und konfigurieren Sie VMs. Sie können Prozesse mithilfe von Erweiterungen oder benutzerdefinierten Skripts automatisieren. Folgende Optionen werden empfohlen:
Die Key Vault VM-Erweiterung aktualisiert automatisch Zertifikate, die in einem key vault gespeichert sind.
Die Azure Custom Script Extension für Windows und Linux lädt Skripts herunter und führt Skripts auf Virtual Machines aus. Verwenden Sie diese Erweiterung für die Konfiguration nach der Bereitstellung, bei der Softwareinstallation oder bei anderen Konfigurations- oder Verwaltungsaufgaben.
Verwenden Sie cloud-init, um die Startumgebung für linuxbasierte VMs einzurichten.
Haben Sie Prozesse zum Installieren automatischer Updates. Erwägen Sie die Verwendung des automatischen VM-Gastpatchings für einen zeitnahen Rollout kritischer Patches und Sicherheitspatches. Verwenden Sie Azure Update Manager, um Betriebssystemupdates für Ihre Windows und Linux-VMs in Azure zu verwalten.
Erstellen Sie eine Testumgebung , die Eng mit Ihrer Produktionsumgebung übereinstimmt, um Updates und Änderungen zu testen, bevor Sie sie in der Produktion bereitstellen. Stellen Sie Prozesse bereit, um die Sicherheitsupdates, Leistungsbaselines und Zuverlässigkeitsfehler zu testen. Nutzen Sie Azure Chaos Studio Fehlerbibliotheken zum Einfügen und Simulieren von Fehlerbedingungen. Weitere Informationen finden Sie unter Azure Chaos Studio Fehler- und Aktionsbibliothek.
Verwalten Sie Ihr Kontingent. Planen Sie, welche Kontingentstufe Ihre Workload erfordert, und überprüfen Sie diese Stufe regelmäßig, während sich die Workload weiterentwickelt. Wenn Sie Ihr Kontingent erhöhen oder verringern müssen, fordern Sie diese Änderungen frühzeitig an.
Konfigurationsempfehlungen
| Recommendation | Benefit |
|---|---|
| (Skalierungssatz) Virtuelle Maschinen-Skalierungsgruppen im Flexiblen Orchestrierungsmodus können die Bereitstellung und Verwaltung Ihrer Arbeitslast vereinfachen. So können Sie z. B. die Selbstheilung ganz einfach verwalten, indem Sie automatische Reparaturen verwenden. | Flexible Orchestrierung kann VM-Instanzen im großen Maßstab verwalten. Das Übergeben einzelner VMs erhöht den Betriebsaufwand. Wenn Sie beispielsweise VM-Instanzen löschen, haben Sie die Möglichkeit, vm-zugeordnete Datenträger und NICs zu löschen oder beizubehalten. VM-Instanzen können über mehrere Fehlerdomänen verteilt werden, sodass Aktualisierungsvorgänge den Dienst nicht stören. Sie können alle standardmäßigen VM-APIs verwenden, wenn Sie flexible Orchestrierungsinstanzen verwalten. Sowohl Linux- als auch Windows-VMs können sich in demselben flexiblen Skalierungssatz befinden und die Verwaltung heterogener Workloads vereinfachen. |
| (Skalierungssatz) Das Anfügen oder Trennen einer einzelnen Instanz-VM an oder von Virtual Machine Scale Sets im Flexible Orchestration-Modus bietet Ihnen die Flexibilität, auf betriebliche Anforderungen zu reagieren, ohne die Infrastruktur erneut bereitzustellen. | Durch das Anfügen von VMs können Sie vorhandene VMs unter die Verwaltung einer VMSS Flex bringen, sodass Sie die zentrale Kontrolle über Updates, Skalierung und Überwachung ermöglichen. Durch das Trennen von VMs von VMSS Flex können Sie einen virtuellen Computer für die Problembehandlung oder spezielle Konfiguration isolieren, ohne den Rest des Skalierungssatzes zu unterbrechen. |
| (Skalierungssatz) Halten Sie Ihre virtuellen Computer auf dem neuesten Stand , indem Sie eine Upgraderichtlinie festlegen. Es wird empfohlen, schrittweise Upgrades durchzuführen. Wenn Sie jedoch eine präzise Kontrolle benötigen, wählen Sie das manuelle Upgrade aus. Für flexible Orchestrierung können Sie Azure Update Manager verwenden. |
Sicherheit ist der Hauptgrund für Upgrades. Sicherheitszusicherungen für die Instanzen sollten nicht im Laufe der Zeit verfallen. Parallele Upgrades werden in Batches ausgeführt. Mit dieser Herangehensweise wird sichergestellt, dass nicht alle Instanzen gleichzeitig ausfallen. |
| (VMs, Skalierungssatz) Stellen Sie VM-Anwendungen automatisch aus dem Azure Compute Gallery bereit, indem Sie die Anwendungen im profile definieren. | Die virtuellen Computer im Skalierungssatz werden erstellt, und die angegebenen Apps werden vorinstalliert, wodurch die Verwaltung vereinfacht wird. |
|
Installieren Sie vordefinierte Softwarekomponenten als Erweiterungen als Teil des Bootstrappings. Azure unterstützt viele Erweiterungen, die zum Konfigurieren, Überwachen, Sichern und Bereitstellen von Hilfsanwendungen für Ihre virtuellen Computer verwendet werden können. Aktivieren Sie automatische Upgrades für Erweiterungen. |
Erweiterungen können die Softwareinstallation im großen Maßstab vereinfachen, ohne sie auf jedem virtuellen Computer manuell installieren, konfigurieren oder aktualisieren zu müssen. |
| (VMs, Skalierungssatz) Überwachen und Messen der Integrität der VM-Instanzen. Stellen Sie die Monitor-Agent-Erweiterung für Ihre virtuellen Computer bereit, um Überwachungsdaten aus dem Gastbetriebssystem mit betriebssystemspezifischen Datensammlungsregeln zu sammeln. Aktivieren Sie VM Insights, um Zuverlässigkeit und Leistung zu überwachen und Trends aus den gesammelten Daten anzuzeigen. Verwenden Sie die Bootdiagnose, um Informationen beim Starten von VMs zu erhalten. Die Startdiagnose diagnostiziert auch Startfehler. |
Überwachungsdaten stehen im Mittelpunkt der Vorfallauflösung. Ein umfassender Überwachungs-Stack liefert Informationen darüber, wie die VMs funktionieren und über ihren Zustand. Durch die kontinuierliche Überwachung der Instanzen sind Sie auf Fehler wie Überlastungen und Zuverlässigkeitsprobleme vorbereitet oder können sie verhindern. |
Leistungseffizienz
Leistungseffizienz bedeutet , die Benutzererfahrung auch bei steigender Auslastung durch Kapazitätsverwaltung aufrechtzuerhalten. Die Strategie umfasst die Skalierung von Ressourcen, das Identifizieren und Optimieren potenzieller Engpässe und die Optimierung der Spitzenleistung.
Die Designprinzipien für die Leistungseffizienz bieten eine allgemeine Entwurfsstrategie, um diese Kapazitätsziele gegen die erwartete Nutzung zu erreichen.
Checkliste für die Arbeitsauslastungsgestaltung
Starten Sie Ihre Designstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für die Leistungseffizienz. Definieren Sie einen Basisplan, der auf Schlüsselleistungsindikatoren für Virtual Machines und Skalierungssätze basiert.
Definieren Sie Leistungsziele. Identifizieren Sie VM-Metriken, um Leistungsindikatoren wie Antwortzeit, CPU-Auslastung und Arbeitsspeicherauslastung sowie Workloadmetriken wie Transaktionen pro Sekunde, gleichzeitige Benutzer und Verfügbarkeit und Integrität nachzuverfolgen und zu messen.
Berücksichtigen Sie das Leistungsprofil von VMs, Skalierungssätzen und Datenträgerkonfiguration in Ihrer Kapazitätsplanung. Jede SKU verfügt über ein anderes Profil von Arbeitsspeicher und CPU und verhält sich je nach Workloadtyp unterschiedlich. Führen Sie Pilotprojekte und Machbarkeitsnachweise durch, um das Leistungsverhalten unter der jeweiligen Workload zu verstehen.
Optimierung der VM-Leistung. Nutzen Sie die Vorteile der Leistungsoptimierung und verbessern Sie die Funktionen je nach Anforderung der Arbeitslast. Verwenden Sie z. B. lokal angefügte, nicht volatile Memory Express (NVMe) für hochleistungsfähige Anwendungsfälle und beschleunigte Netzwerke, und verwenden Sie Premium SSD v2 für eine bessere Leistung und Skalierbarkeit.
Berücksichtigen Sie die abhängigen Dienste. Arbeitsauslastungsabhängigkeiten wie Zwischenspeichern, Netzwerkdatenverkehr und Netzwerke für die Inhaltsübermittlung, die mit den virtuellen Computern interagieren, können sich auf die Leistung auswirken. Berücksichtigen Sie außerdem die geografische Verteilung, z. B. Zonen und Regionen, die Latenz hinzufügen können.
Erfasst Leistungsdaten. Befolgen Sie die Best Practices für operative Exzellenz für die Überwachung und das Bereitstellen der entsprechenden Erweiterungen, um Metriken anzuzeigen, die anhand von Leistungsindikatoren nachverfolgt werden.
Näherungsplatzierungsgruppen. Verwenden Sie Näherungsplatzierungsgruppen in Workloads, bei denen eine geringe Latenz erforderlich ist, um sicherzustellen, dass sich VMs physisch nahe beieinander befinden.
Konfigurationsempfehlungen
| Recommendation | Benefit |
|---|---|
| (VMs, Skalierungssatz) Wählen Sie SKUs für VMs aus, die ihrer Kapazitätsplanung entsprechen. Sie haben ein gutes Verständnis für Ihre Workloadanforderungen, einschließlich der Anzahl der Kerne, des Arbeitsspeichers, des Speicherplatzes und der Netzwerkbandbreite, damit Sie ungeeignete SKUs aussortieren können. |
Die Rechteverwaltung Ihrer virtuellen Computer ist eine grundlegende Entscheidung, die die Leistung Ihrer Workload erheblich beeinflusst. Ohne die richtige Anzahl von VMs in der passenden Größe können Leistungsprobleme auftreten, wenn VMs regelmäßig an der Kapazitätsgrenze arbeiten, oder es können unnötige Kosten entstehen, wenn ungenutzte Kapazitäten bereitgestellt werden. |
| (VMs, Skalierungsgruppe) Bereitstellen von VMs mit latenzempfindlicher Workload in Näherungsplatzierungsgruppen. | Näherungsplatzierungsgruppen verringern den physischen Abstand zwischen Azure Computeressourcen, wodurch die Leistung verbessert und die Netzwerklatenz zwischen eigenständigen VMs, virtuellen Computern in mehreren Verfügbarkeitssätzen oder virtuellen Computern in mehreren Skalierungssätzen reduziert werden kann. |
| (VMs) Erwägen Sie, beschleunigte Netzwerke zu aktivieren. | Sie ermöglicht die Single-Root-I/O-Virtualisierung (SR-IOV) auf einer virtuellen Maschine, wodurch die Netzwerkleistung erheblich verbessert wird. |
| (VMs, Skalierungssatz) Legen Sie Regeln für die automatische Skalierung fest, um die Anzahl der VM-Instanzen in Ihrem Skalierungssatz basierend auf Bedarf zu erhöhen oder zu verringern. | Wenn sich die Nachfrage für Ihre Anwendung erhöht, erhöht sich auch die Last für die VM-Instanzen in Ihrer Skalierungsgruppe. Autoskalierungsregeln stellen sicher, dass Sie genügend Ressourcen haben, um den Bedarf zu erfüllen. |
Azure-Richtlinien
Azure bietet einen umfassenden Satz integrierter Richtlinien im Zusammenhang mit Virtual Machines und deren Abhängigkeiten. Einige der vorstehenden Empfehlungen können über Azure Policy geprüft werden. Sie können beispielsweise überprüfen, ob:
Die Verschlüsselung ist auf Hostebene aktiviert. Stellen Sie sicher, dass die Verschlüsselung auf Hostebene aktiviert ist, um zusätzliche Sicherheit für Ihre VM-Daten bereitzustellen.
Antischadsoftwareerweiterungen werden bereitgestellt. Stellen Sie sicher, dass Antischadsoftwareerweiterungen auf virtuellen Computern bereitgestellt werden, die Windows Server ausführen und für automatische Updates festgelegt werden, um den kontinuierlichen Schutz sicherzustellen.
Das automatische Patchen von Betriebssystemimages ist aktiviert. Überprüfen Sie, ob das automatische Betriebssystem-Image-Patching bei Skalierungssätzen aktiviert ist, um sicherzustellen, dass Ihre virtuellen Computer mit Sicherheitspatches immer aktuell bleiben.
Es werden nur genehmigte VM-Erweiterungen installiert. Stellen Sie sicher, dass nur genehmigte Erweiterungen auf Ihren virtuellen Computern installiert sind. Dieser Ansatz trägt dazu bei, das Risiko von Sicherheitsrisiken zu minimieren.
Monitor- und Abhängigkeits-Agents sind aktiviert. Stellen Sie sicher, dass der Monitor-Agent und die Abhängigkeits-Agents für alle neuen virtuellen Computer aktiviert sind, um die Überwachung und Abhängigkeitsverwaltung zu erleichtern.
Nur zulässige VM-SKUs werden bereitgestellt. Vergewissern Sie sich, dass nur genehmigte VM-SKUs bereitgestellt werden. Diese Richtlinie stellt die Einhaltung Ihrer Kosteneinschränkungen und Ressourcenanforderungen sicher.
Private Endpunkte werden für den Datenträgerzugriff verwendet. Stellen Sie sicher, dass private Endpunkte verwendet werden, um sicher auf Datenträgerressourcen zuzugreifen. Dieser Ansatz trägt dazu bei, die Exposition gegenüber öffentlichen Netzwerken zu verhindern.
Die Erkennung von Sicherheitsrisiken ist aktiviert. Aktivieren Sie die Erkennung von Sicherheitsrisiken für Ihre virtuellen Computer. Konfigurieren Sie für Windows Computer Regeln wie tägliche Scans mit Microsoft Defender Antivirus, um potenzielle Bedrohungen zu erkennen.
Überprüfen Sie für umfassende Governance die integrierten Azure Policy Definitionen für Virtual Machines und andere Richtlinien, die sich auf die Sicherheit der Berechnungsebene auswirken können.
empfehlungen für Azure Advisor
Azure Advisor ist ein personalisierter Cloudberater, mit dem Sie bewährte Methoden befolgen können, um Ihre Azure Bereitstellungen zu optimieren.
Weitere Informationen finden Sie unter Azure Advisor.
Beispielarchitektur
Grundlegende Architektur, die die wichtigsten Empfehlungen veranschaulicht: Virtual Machines Basisarchitektur.
Verwandte Inhalte
Betrachten Sie die folgenden Artikel als Ressourcen, die die in diesem Artikel hervorgehobenen Empfehlungen veranschaulichen.
- Verwenden Sie die folgenden Referenzarchitekturen als Beispiele, wie Sie den Leitfaden dieses Artikels auf eine Workload anwenden können:
- Einzelne VM-Architekturen: Linux VM und Windows VM
- Grundlegende Architektur, die sich auf Infrastrukturempfehlungen konzentriert: Virtual Machines Basisarchitektur
- Erstellen Sie das Know-how der Implementierung mithilfe der folgenden Produktdokumentation: