Freigeben über


Azure Well-Architected Framework-Perspektive auf Virtual Machines und Skalierungsgruppen

Azure Virtual Machines ist ein Computediensttyp, mit dem Sie virtuelle Computer (VMs) auf der Azure-Plattform erstellen und ausführen können. Es bietet Flexibilität in verschiedenen SKUs, Betriebssystemen und Konfigurationen mit verschiedenen Abrechnungsmodellen.

In diesem Artikel wird davon ausgegangen, dass Sie als Architekt die Computeentscheidungsstruktur überprüft und Virtual Machines als Computedienst für Ihre Workload ausgewählt haben. Die Anleitung in diesem Artikel enthält Architekturempfehlungen, die den Prinzipien der Säulen von Azure Well-Architected Framework zugeordnet sind.

Wichtig

Verwendung dieses Leitfadens

Jeder Abschnitt enthält eine Entwurfscheckliste , die architektonische Problembereiche zusammen mit Designstrategien vorstellt, die auf den Technologieumfang lokalisiert sind.

Außerdem sind Empfehlungen zu den Technologiefunktionen enthalten, die bei der Materialisierung dieser Strategien hilfreich sein können. Die Empfehlungen stellen keine vollständige Liste aller konfigurationen dar, die für Virtual Machines und deren Abhängigkeiten verfügbar sind. Stattdessen listen sie die wichtigsten Empfehlungen auf, die den Entwurfsperspektiven zugeordnet sind. Verwenden Sie die Empfehlungen, um Ihren Proof-of-Concept zu erstellen oder Ihre vorhandenen Umgebungen zu optimieren.

Grundlegende Architektur, die die wichtigsten Empfehlungen veranschaulicht: Virtual Machines Basisarchitektur.

Technologieumfang

Diese Überprüfung konzentriert sich auf die miteinander verbundenen Entscheidungen für die folgenden Azure-Ressourcen:

  • Virtual Machines

  • Skalierungsgruppen für virtuelle Azure-Computer

  • Datenträger

    Datenträger sind eine wichtige Abhängigkeit für VM-basierte Architekturen. Weitere Informationen finden Sie unter Datenträger und Optimierung.

Zuverlässigkeit

Der Zweck der Säule Zuverlässigkeit besteht darin, fortlaufende Funktionen bereitzustellen, indem genügend Resilienz und die Fähigkeit zur schnellen Wiederherstellung nach Fehlern aufgebaut werden.

Die Prinzipien des Zuverlässigkeitsentwurfs bieten eine allgemeine Entwurfsstrategie, die für einzelne Komponenten, Systemflüsse und das System als Ganzes angewendet wird.

Prüfliste für den Entwurf

Starten Sie Ihre Entwurfsstrategie basierend auf der Prüfliste der Entwurfsüberprüfung für Zuverlässigkeit. Bestimmen Sie die Relevanz für Ihre Geschäftsanforderungen, wobei Sie die SKUs und Features von VMs und deren Abhängigkeiten berücksichtigen. Erweitern Sie die Strategie, um bei Bedarf weitere Ansätze einzubeziehen.

  • Überprüfen Sie Virtual Machines Kontingente und Grenzwerte, die zu Entwurfseinschränkungen führen können. VMs weisen bestimmte Grenzwerte und Kontingente auf, die je nach Vm-Typ oder Region variieren. Es kann Abonnementeinschränkungen geben, z. B. die Anzahl der VMs pro Abonnement oder die Anzahl der Kerne pro VM. Wenn andere Workloads Ihr Abonnement gemeinsam nutzen, ist Ihre Fähigkeit, Daten zu nutzen, möglicherweise eingeschränkt. Überprüfen Sie die Grenzwerte für VMs, VM-Skalierungsgruppen und verwaltete Datenträger.

  • Führen Sie eine Fehlermodusanalyse durch, um Fehlerpunkte zu minimieren, indem Sie VM-Interaktionen mit dem Netzwerk und den Speicherkomponenten analysieren. Wählen Sie Konfigurationen wie kurzlebige Betriebssystemdatenträger aus, um den Datenträgerzugriff zu lokalisieren und Netzwerkhüpfer zu vermeiden. Fügen Sie einen Lastenausgleich hinzu, um die Selbsterhaltung zu verbessern, indem Netzwerkdatenverkehr auf mehrere VMs verteilt wird, was die Verfügbarkeit und Zuverlässigkeit verbessert.

  • Berechnen Sie Ihre zusammengesetzten ServiceLevelziele (SLOs) basierend auf Azure Service Level Agreements (SLAs). Stellen Sie sicher, dass Ihre SLO nicht höher als die Azure-SLAs ist, um unrealistische Erwartungen und potenzielle Probleme zu vermeiden.

    Achten Sie auf die Komplexität, die Abhängigkeiten mit sich bringen. Beispielsweise verfügen einige Abhängigkeiten wie virtuelle Netzwerke und Netzwerkschnittstellenkarten (NICs) nicht über eigene SLAs. Andere Abhängigkeiten, z. B. ein zugeordneter Datenträger, verfügen über SLAs, die in VM-SLAs integriert werden. Sie sollten diese Abweichungen berücksichtigen, da sie sich auf die Vm-Leistung und -Zuverlässigkeit auswirken können.

    Berücksichtigen Sie die kritischen Abhängigkeiten von VMs von Komponenten wie Datenträgern und Netzwerkkomponenten. Wenn Sie diese Beziehungen verstehen, können Sie die kritischen Flows ermitteln, die sich auf die Zuverlässigkeit auswirken.

  • Erstellen sie Zustandsisolation. Workloaddaten sollten sich auf einem separaten Datenträger befinden, um Störungen des Betriebssystemdatenträgers zu verhindern. Wenn ein virtueller Computer ausfällt, können Sie einen neuen Betriebssystemdatenträger mit demselben Datenträger erstellen, wodurch Resilienz und Fehlerisolation gewährleistet werden. Weitere Informationen finden Sie unter Kurzlebige Betriebssystemdatenträger.

  • Machen Sie VMs und ihre Abhängigkeiten zonenübergreifend redundant. Wenn ein virtueller Computer fehlschlägt, sollte die Workload aufgrund von Redundanz weiterhin funktionieren. Schließen Sie Abhängigkeiten in Ihre Redundanzoptionen ein. Verwenden Sie beispielsweise die integrierten Redundanzoptionen, die für Datenträger verfügbar sind. Verwenden Sie zonenredundante IP-Adressen, um die Datenverfügbarkeit und hohe Verfügbarkeit sicherzustellen.

  • Seien Sie bereit, hoch- und hochskaliert zu werden, um eine Beeinträchtigung des Servicelevels zu verhindern und Fehler zu vermeiden. Virtual Machine Scale Sets verfügen über Funktionen zur automatischen Skalierung, die bei Bedarf neue Instanzen erstellen und die Last auf mehrere VMs und Verfügbarkeitszonen verteilen.

  • Erkunden Sie die optionen für die automatische Wiederherstellung. Azure unterstützt die Überwachung von Integritätsbeeinträchtigungen und Selbstheilungsfeatures für VMs. Beispielsweise bieten Skalierungsgruppen automatische instance Reparaturen. In fortgeschritteneren Szenarien umfasst die Selbstheilung die Verwendung von Azure Site Recovery, einen passiven Standbymodus für das Failover auf oder die erneute Bereitstellung von Infrastructure-as-Code (IaC). Die von Ihnen gewählte Methode sollte sich an den Geschäftsanforderungen und Den Betriebsabläufen Ihrer Organisation orientieren. Weitere Informationen finden Sie unter Vm-Dienstunterbrechungen.

  • Berechtigungen für die VMs und deren Abhängigkeiten. Machen Sie sich mit der erwarteten Arbeit Ihres virtuellen Computers vertraut, um sicherzustellen, dass sie nicht unterdimensioniert ist und die maximale Auslastung verarbeiten kann. Verfügen Sie über zusätzliche Kapazität, um Fehler zu minimieren.

  • Erstellen Sie einen umfassenden Notfallwiederherstellungsplan. Die Notfallvorsorge umfasst die Erstellung eines umfassenden Plans und die Entscheidung über eine Technologie für die Wiederherstellung.

    Abhängigkeiten und zustandsbehaftete Komponenten, z. B. angefügter Speicher, können die Wiederherstellung erschweren. Wenn Datenträger ausfallen, wirkt sich dieser Fehler auf die Funktion des virtuellen Computers aus. Fügen Sie einen klaren Prozess für diese Abhängigkeiten in Ihre Wiederherstellungspläne ein.

  • Führen Sie Vorgänge mit Rigor aus. Zuverlässigkeitsentwurfsentscheidungen müssen durch effektive Vorgänge unterstützt werden, die auf den Prinzipien der Überwachung, Resilienztests in der Produktion, automatisierten Anwendungs-VM-Patches und Upgrades sowie der Konsistenz von Bereitstellungen basieren. Betriebsanleitungen finden Sie unter Operational Excellence.

Empfehlungen

Empfehlung Vorteil
(Skalierungsgruppe) Verwenden Sie Virtual Machine Scale Sets im flexiblen Orchestrierungsmodus, um VMs bereitzustellen. Sichern Sie Ihre Anwendung zukunftssicher für die Skalierung und nutzen Sie die Hochverfügbarkeitsgarantien, die VMs auf Fehlerdomänen in einer Region oder Einer Verfügbarkeitszone verteilen.
(VMs) Implementieren sie Heidenendpunkte, die instance Integritätsstatus auf virtuellen Computern ausgeben.

(Skalierungsgruppe) Aktivieren Sie automatische Reparaturen für die Skalierungsgruppe, indem Sie die bevorzugte Reparaturaktion angeben.
Erwägen Sie, einen Zeitrahmen festzulegen, in dem automatische Reparaturen angehalten werden, wenn sich der Zustand der VM ändert.
Halten Sie die Verfügbarkeit aufrecht, auch wenn ein instance als fehlerhaft eingestuft wird. Automatische Reparaturen initiieren die Wiederherstellung, indem die fehlerhafte instance ersetzt wird.

Das Festlegen eines Zeitfensters kann unbeabsichtigte oder vorzeitige Reparaturvorgänge verhindern.
(Skalierungsgruppe) Aktivieren Sie die Überbereitstellung für Skalierungsgruppen. Die Überbereitstellung reduziert die Bereitstellungszeiten und hat einen Kostenvorteil, da die zusätzlichen VMs nicht in Rechnung gestellt werden.
(Skalierungsgruppe) Erlauben Sie flexible Orchestrierung , die VM-Instanzen auf so viele Fehlerdomänen wie möglich zu verteilen. Diese Option isoliert Fehlerdomänen. Während Wartungsperioden, wenn eine Fehlerdomäne aktualisiert wird, sind VM-Instanzen in den anderen Fehlerdomänen verfügbar.
(Skalierungsgruppe) Bereitstellung über Verfügbarkeitszonen hinweg in Skalierungsgruppen. Richten Sie mindestens zwei Instanzen in jeder Zone ein.
Der Zonenausgleich verteilt die Instanzen gleichermaßen auf Zonen.
Die VM-Instanzen werden an physisch getrennten Speicherorten in jeder Azure-Region bereitgestellt, die gegenüber lokalen Fehlern tolerant sind.
Beachten Sie, dass es je nach Ressourcenverfügbarkeit zu einer ungleichen Anzahl von Instanzen über Zonen hinweg kommen kann. Der Zonenausgleich unterstützt die Verfügbarkeit, indem sichergestellt wird, dass die anderen Zonen über ausreichende Instanzen verfügen, wenn eine Zone ausfällt.
Zwei Instanzen in jeder Zone stellen während upgrades einen Puffer bereit.
(VMs) Nutzen Sie das Feature "Kapazitätsreservierungen". Kapazität ist für Ihre Nutzung reserviert und im Rahmen der geltenden SLAs verfügbar. Sie können Kapazitätsreservierungen löschen, wenn Sie sie nicht mehr benötigen, und die Abrechnung erfolgt verbrauchsbasiert.

Tipp

Weitere Informationen zur Zuverlässigkeit für VMs finden Sie unter Zuverlässigkeit in Virtual Machines.

Sicherheit

Der Zweck der Säule Sicherheit besteht darin , Vertraulichkeits-, Integritäts- und Verfügbarkeitsgarantien für die Workload bereitzustellen.

Die Grundsätze des Sicherheitsentwurfs bieten eine allgemeine Entwurfsstrategie zum Erreichen dieser Ziele durch Anwendung von Ansätzen für die technische Gestaltung von Virtual Machines.

Prüfliste für den Entwurf

Starten Sie Ihre Entwurfsstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für Sicherheit. Identifizieren sie Sicherheitsrisiken und Kontrollen, um den Sicherheitsstatus zu verbessern. Erweitern Sie die Strategie, um bei Bedarf weitere Ansätze einzubeziehen.

  • Überprüfen Sie die Sicherheitsbaselines für Linux- und Windows-VMs und Virtual Machine Scale Sets.

    Berücksichtigen Sie als Teil Ihrer grundlegenden Technologieoptionen die Sicherheitsfeatures der VM-SKUs, die Ihre Workload unterstützen.

  • Stellen Sie rechtzeitige und automatisierte Sicherheitspatches und -upgrades sicher. Stellen Sie sicher, dass Updates mithilfe eines klar definierten Prozesses automatisch ausgerollt und überprüft werden. Verwenden Sie eine Lösung wie Azure Automation, um Betriebssystemupdates zu verwalten und die Sicherheitskonformität zu gewährleisten, indem Sie wichtige Updates vornehmen.

  • Identifizieren Sie die VMs, die den Status enthalten. Stellen Sie sicher, dass die Daten gemäß den Vertraulichkeitsbezeichnungen klassifiziert werden, die Von Ihrem organization bereitgestellt wurden. Schützen Sie Daten, indem Sie Sicherheitskontrollen wie geeignete Ebenen der Verschlüsselung ruhender Daten und während der Übertragung verwenden. Wenn Sie hohe Vertraulichkeitsanforderungen haben, sollten Sie zum Schutz von datenverwendeten Daten die Verwendung von Hochsicherheitskontrollen wie Doppelverschlüsselung und Azure Confidential Computing in Erwägung ziehen.

  • Stellen Sie Segmentierung für die VMs und Skalierungsgruppen bereit, indem Sie Netzwerkgrenzen und Zugriffssteuerungen festlegen. Platzieren Sie virtuelle Computer in Ressourcengruppen, die den gleichen Lebenszyklus nutzen.

  • Wenden Sie Zugriffssteuerungen auf die Identitäten an, die versuchen, die VMs zu erreichen, und auch auf die VMs, die andere Ressourcen erreichen. Verwenden Sie Microsoft Entra ID für Authentifizierungs- und Autorisierungsanforderungen. Setzen Sie sichere Kennwörter, mehrstufige Authentifizierung und rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für Ihre VMs und deren Abhängigkeiten wie Geheimnisse ein, damit zulässige Identitäten nur die Vorgänge ausführen können, die von ihren Rollen erwartet werden.

    Schränken Sie den Ressourcenzugriff basierend auf Bedingungen ein, indem Sie Microsoft Entra bedingten Zugriff verwenden. Definieren Sie die bedingten Richtlinien basierend auf der Dauer und dem Mindestsatz der erforderlichen Berechtigungen.

  • Verwenden Sie Netzwerksteuerelemente, um eingehenden und ausgehenden Datenverkehr einzuschränken. Isolieren Sie VMs und Skalierungsgruppen in Azure Virtual Network und definieren Sie Netzwerksicherheitsgruppen, um Datenverkehr zu filtern. Schützen sie vor DDoS-Angriffen (Distributed Denial of Service). Verwenden Sie Load Balancer und Firewallregeln, um vor angriffen auf böswilligen Datenverkehr und Datenexfiltration zu schützen.

    Verwenden Sie Azure Bastion , um eine sichere Konnektivität mit den virtuellen Computern für den betriebsbezogenen Zugriff bereitzustellen.

    Die Kommunikation mit und von den VMs zu PaaS-Lösungen (Platform-as-a-Service) sollte über private Endpunkte erfolgen.

  • Reduzieren Sie die Angriffsfläche , indem Sie Betriebssystemimages härten und nicht verwendete Komponenten entfernen. Verwenden Sie kleinere Images, und entfernen Sie Binärdateien, die zum Ausführen der Workload nicht erforderlich sind. Straffen Sie die VM-Konfigurationen, indem Sie features wie Standardkonten und Ports entfernen, die Sie nicht benötigen.

  • Schützen Sie Geheimnisse , z. B. die Zertifikate, die Sie zum Schutz von Daten während der Übertragung benötigen. Erwägen Sie die Azure Key Vault-Erweiterung für Windows oder Linux, die die in einem Schlüsseltresor gespeicherten Zertifikate automatisch aktualisiert. Wenn eine Änderung in den Zertifikaten erkannt wird, ruft die Erweiterung die entsprechenden Zertifikate ab und installiert sie.

  • Bedrohungserkennung: Überwachen Sie VMs auf Bedrohungen und Fehlkonfigurationen. Verwenden Sie Defender für Server , um VM- und Betriebssystemänderungen zu erfassen und einen Überwachungspfad für Zugriff, neue Konten und Änderungen an Berechtigungen zu verwalten.

  • Bedrohungsprävention. Schützen Sie sich vor Malware-Angriffen und böswilligen Akteuren, indem Sie Sicherheitskontrollen wie Firewalls, Antivirensoftware und Eindringungserkennungssysteme implementieren. Ermitteln Sie, ob eine vertrauenswürdige Ausführungsumgebung (Tee) erforderlich ist.

Empfehlungen

Empfehlung Vorteil
(Skalierungsgruppe) Weisen Sie Skalierungsgruppen eine verwaltete Identität zu. Alle virtuellen Computer in der Skalierungsgruppe erhalten dieselbe Identität über das angegebene VM-Profil.

(VMs) Sie können beim Erstellen auch einzelnen VMs eine verwaltete Identität zuweisen und sie dann bei Bedarf einer Skalierungsgruppe hinzufügen.
Wenn virtuelle Computer mit anderen Ressourcen kommunizieren, überschreiten sie eine Vertrauensgrenze. Skalierungsgruppen und VMs sollten ihre Identität authentifizieren, bevor die Kommunikation zulässig ist. Microsoft Entra ID verarbeitet diese Authentifizierung mithilfe verwalteter Identitäten.
(Skalierungsgruppe) Wählen Sie VM-SKUs mit Sicherheitsfeatures aus.
Einige SKUs unterstützen z. B. die BitLocker-Verschlüsselung, und vertrauliches Computing ermöglicht die Verschlüsselung von datenbasierten Daten.
Überprüfen Sie die Features, um die Einschränkungen zu verstehen.
Von Azure bereitgestellte Features basieren auf Signalen, die über viele Mandanten hinweg erfasst werden, und können Ressourcen besser schützen als benutzerdefinierte Steuerelemente. Sie können auch Richtlinien verwenden, um diese Steuerelemente zu erzwingen.
(VMs, Skalierungsgruppe) Wenden Sie organization empfohlenen Tags in den bereitgestellten Ressourcen an. Tagging ist eine gängige Methode zum Segmentieren und Organisieren von Ressourcen und kann während der Incidentverwaltung von entscheidender Bedeutung sein. Weitere Informationen finden Sie unter Zweck der Benennung und Kennzeichnung.
(VMs, Skalierungsgruppe) Legen Sie ein Sicherheitsprofil mit den Sicherheitsfeatures fest, die Sie in der VM-Konfiguration aktivieren möchten.
Wenn Sie beispielsweise die Verschlüsselung auf dem Host im Profil angeben, werden die auf dem VM-Host gespeicherten Daten im Ruhezustand verschlüsselt, und Flows werden an den Speicherdienst verschlüsselt.
Die Features im Sicherheitsprofil werden automatisch aktiviert, wenn die VM erstellt wird.
Weitere Informationen finden Sie unter Azure-Sicherheitsbaseline für Virtual Machine Scale Sets.
(VMs) Wählen Sie sichere Netzwerkoptionen für das Netzwerkprofil Ihres virtuellen Computers aus.

Ordnen Sie Ihren VMs keine öffentlichen IP-Adressen direkt zu, und aktivieren Sie die IP-Weiterleitung nicht.

Stellen Sie sicher, dass alle virtuellen Netzwerkschnittstellen über eine zugeordnete Netzwerksicherheitsgruppe verfügen.
Sie können Segmentierungssteuerelemente im Netzwerkprofil festlegen.
Angreifer überprüfen öffentliche IP-Adressen, wodurch VMs anfällig für Bedrohungen werden.
(VMs) Wählen Sie sichere Speicheroptionen für das Speicherprofil Ihres virtuellen Computers aus.

Aktivieren Sie standardmäßig die Datenträgerverschlüsselung und die Verschlüsselung ruhender Daten. Deaktivieren Sie den Öffentlichen Netzwerkzugriff auf die VM-Datenträger.
Das Deaktivieren des Zugriffs auf öffentliche Netzwerke hilft ihnen, nicht autorisierten Zugriff auf Ihre Daten und Ressourcen zu verhindern.
(VMs, Skalierungsgruppe) Schließen Sie Erweiterungen in Ihre VMs ein , die vor Bedrohungen schützen.
Beispiel:
- Key Vault-Erweiterung für Windows und Linux
- Microsoft Entra ID Authentifizierung
- Microsoft Antimalware für Azure Cloud Services und Virtual Machines
– Azure Disk Encryption-Erweiterung für Windows und Linux.
Die Erweiterungen werden verwendet, um die VMs mit der richtigen Software zu bootstrapieren, die den Zugriff auf und von den VMs schützt.
Von Microsoft bereitgestellte Erweiterungen werden häufig aktualisiert, um mit den sich entwickelnden Sicherheitsstandards Schritt zu halten.

Kostenoptimierung

Die Kostenoptimierung konzentriert sich auf das Erkennen von Ausgabenmustern, die Priorisierung von Investitionen in kritische Bereiche und die Optimierung in anderen Bereichen, um das Budget des organization zu erfüllen und gleichzeitig die Geschäftsanforderungen zu erfüllen.

Die Entwurfsprinzipien der Kostenoptimierung bieten eine allgemeine Entwurfsstrategie, um diese Ziele zu erreichen und Kompromisse zu treffen, die beim technischen Entwurf im Zusammenhang mit Virtual Machines und seiner Umgebung erforderlich sind.

Prüfliste für den Entwurf

Starten Sie Ihre Entwurfsstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für Die Kostenoptimierung für Investitionen. Optimieren Sie den Entwurf so, dass die Workload an dem Budget ausgerichtet wird, das für die Workload zugewiesen ist. Ihr Entwurf sollte die richtigen Azure-Funktionen verwenden, Investitionen überwachen und Möglichkeiten zur Optimierung im Laufe der Zeit finden.

  • Schätzen Sie realistische Kosten. Verwenden Sie den Preisrechner , um die Kosten Ihrer VMs zu schätzen. Ermitteln Sie die beste VM für Ihre Workload mithilfe des VM-Selektors. Weitere Informationen finden Sie unter Preise für Linux und Windows .

  • Implementieren sie Kostenleitplanken. Verwenden Sie Governancerichtlinien, um Ressourcentypen, Konfigurationen und Standorte einzuschränken. Verwenden Sie RBAC, um Aktionen zu blockieren, die zu übermäßig ausstehenden Aktionen führen können.

  • Wählen Sie die richtigen Ressourcen aus. Ihre Auswahl von VM-Plangrößen und SKUs wirkt sich direkt auf die Gesamtkosten aus. Wählen Sie VMs basierend auf Workloadmerkmalen aus. Ist die Workload CPU-intensiv oder führt sie unterbrechbare Prozesse aus? Jede SKU verfügt über zugeordnete Datenträgeroptionen, die sich auf die Gesamtkosten auswirken.

  • Wählen Sie die richtigen Funktionen für abhängige Ressourcen aus. Sparen Sie Sicherungsspeicherkosten für den Tresorstandardtarif, indem Sie Azure Backup Speicher mit reservierter Kapazität verwenden. Es bietet einen Rabatt, wenn Sie sich für eine Reservierung für ein Jahr oder drei Jahre verpflichten.

    Die Archivebene in Azure Storage ist eine Offlineebene, die für das Speichern von Blobdaten optimiert ist, auf die selten zugegriffen wird. Die Archivebene bietet die niedrigsten Speicherkosten, aber höhere Kosten für den Datenabruf und höhere Latenz im Vergleich zu den heißen und kalten Onlinetarifen.

    Erwägen Sie die Verwendung der Notfallwiederherstellung von Zone zu Zone für VMs, um nach Einem Standortausfall wiederherzustellen und gleichzeitig die Komplexität der Verfügbarkeit durch die Verwendung zonenredundanter Dienste zu reduzieren. Es kann Kostenvorteile aus einer geringeren betrieblichen Komplexität geben.

  • Wählen Sie das richtige Abrechnungsmodell aus. Bewerten Sie, ob verpflichtungsbasierte Modelle für das Computing die Kosten basierend auf den Geschäftlichen Anforderungen der Workload optimieren. Ziehen Sie die folgenden Azure-Optionen in Betracht:

    • Azure-Reservierungen: Zahlen Sie im Voraus für vorhersagbare Workloads, um die Kosten im Vergleich zu verbrauchsbasierten Preisen zu senken.

      Wichtig

      Erwerben Sie reservierte Instanzen, um die Azure-Kosten für Workloads mit stabiler Nutzung zu senken. Verwalten Sie die Nutzung, um sicherzustellen, dass Sie nicht für mehr Ressourcen bezahlen, als Sie verwenden. Behalten Sie reservierte Instanzen einfach, und halten Sie den Verwaltungsaufwand niedrig, um die Kosten zu senken.

    • Sparplan: Wenn Sie sich verpflichten, einen festen Stundenbetrag für Computedienste für ein oder drei Jahre auszugeben, kann dieser Plan die Kosten senken.
    • Azure-Hybridvorteil: Speichern Sie, wenn Sie Ihre lokalen VMs zu Azure migrieren.
  • Überwachen der Nutzung. Überwachen Sie die Nutzungsmuster kontinuierlich und erkennen Sie nicht verwendete oder nicht ausgelastete VMs. Fahren Sie für diese Instanzen VM-Instanzen herunter, wenn sie nicht verwendet werden. Die Überwachung ist ein wichtiger Ansatz von Operational Excellence. Weitere Informationen finden Sie in den Empfehlungen unter Operational Excellence.

  • Suchen Sie nach Möglichkeiten zur Optimierung. Einige Strategien umfassen die Wahl des kostengünstigsten Ansatzes zwischen dem Erhöhen von Ressourcen in einem vorhandenen System oder dem Hochskalieren, dem Hinzufügen weiterer Instanzen dieses Systems oder der Horizontalen Skalierung. Sie können die Nachfrage auslagern, indem Sie sie an andere Ressourcen verteilen, oder Sie können die Nachfrage reduzieren, indem Sie Prioritätswarteschlangen, Gatewayauslagerung, Pufferung und Ratenbegrenzung implementieren. Weitere Informationen finden Sie in den Empfehlungen unter Leistungseffizienz.

Empfehlungen

Empfehlung Vorteil
(VMs, Skalierungsgruppe) Wählen Sie die richtige VM-Plangröße und SKU aus. Ermitteln Sie die besten VM-Größen für Ihre Workload.
Verwenden Sie die VM-Auswahl, um die beste VM für Ihre Workload zu ermitteln. Siehe Preise für Windows und Linux .

Für Workloads wie hochparallele Batchverarbeitungsaufträge, die einige Unterbrechungen tolerieren können, sollten Sie Azure Spot Virtual Machines verwenden. Virtuelle Spot-Computer eignen sich gut zum Experimentieren, Entwickeln und Testen umfangreicher Lösungen.
SKUs werden entsprechend den angebotenen Funktionen berechnet. Wenn Sie keine erweiterten Funktionen benötigen, sollten Sie SKUs nicht überlasten.

Virtuelle Spot-Computer nutzen die überschüssige Kapazität in Azure zu geringeren Kosten.
(VMs, Skalierungsgruppe) Bewerten Sie die Datenträgeroptionen , die den SKUs Ihres virtuellen Computers zugeordnet sind.
Bestimmen Sie Ihre Leistungsanforderungen unter Berücksichtigung Ihrer Speicherkapazitätsanforderungen und berücksichtigen Sie schwankende Workloadmuster.
Mit dem Azure Premium SSD v2-Datenträger können Sie beispielsweise Ihre Leistung präzise anpassen, unabhängig von der Größe des Datenträgers.
Einige hochleistungsfähige Datenträgertypen bieten Zusätzliche Kostenoptimierungsfeatures und -strategien.
Die Anpassungsfunktion des SSD v2 Premium-Datenträgers kann die Kosten senken, da er eine hohe Leistung ohne Überbereitstellung bietet, was andernfalls zu unzureichend ausgelasteten Ressourcen führen könnte.
(Skalierungsgruppe) Mischen Sie reguläre VMs mit virtuellen Spotcomputern.
Mit der flexiblen Orchestrierung können Sie virtuelle Spotcomputer basierend auf einem angegebenen Prozentsatz verteilen.
Reduzieren Sie die Kosten für die Computeinfrastruktur, indem Sie die tiefen Rabatte von Spot-VMs anwenden.
(Skalierungsgruppe) Reduzieren Sie die Anzahl von VM-Instanzen, wenn die Nachfrage sinkt.
Legen Sie eine Aufskalierungsrichtlinie basierend auf Kriterien fest.

Beenden Sie virtuelle Computer außerhalb der Geschäftszeiten. Sie können die Azure Automation Start/Stop-Funktion verwenden und entsprechend Ihren Geschäftsanforderungen konfigurieren.
Das Skalieren oder Beenden von Ressourcen, wenn sie nicht verwendet werden, verringert die Anzahl von VMs, die in der Skalierungsgruppe ausgeführt werden, was Kosten spart.
Die Start/Stop-Funktion ist eine kostengünstige Automatisierungsoption.
(VMs, Skalierungsgruppe) Nutzen Sie die Vorteile der Lizenzmobilität, indem Sie Azure-Hybridvorteil verwenden. VMs verfügen über eine Lizenzierungsoption, mit der Sie Ihre eigenen lokalen Windows Server-Betriebssystemlizenzen in Azure verwenden können.
Azure-Hybridvorteil können Sie auch bestimmte Linux-Abonnements in Azure einbinden.
Sie können Ihre lokalen Lizenzen maximieren und gleichzeitig die Vorteile der Cloud nutzen.

Optimaler Betrieb

Operational Excellence konzentriert sich in erster Linie auf Verfahren für Entwicklungsmethoden, Beobachtbarkeit und Releaseverwaltung.

Die Operational Excellence-Entwurfsprinzipien bieten eine allgemeine Entwurfsstrategie zum Erreichen dieser Ziele für die betrieblichen Anforderungen der Workload.

Prüfliste für den Entwurf

Starten Sie Ihre Entwurfsstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für Operational Excellence zum Definieren von Prozessen für Beobachtbarkeit, Tests und Bereitstellung im Zusammenhang mit Virtual Machines und Skalierungsgruppen.

  • Überwachen Sie die VM-Instanzen. Sammeln Sie Protokolle und Metriken von VM-Instanzen, um die Ressourcennutzung zu überwachen und die Integrität der Instanzen zu messen. Zu den gängigen Metriken zählen cpu-Auslastung, Anzahl von Anforderungen und E/A-Latenz. Richten Sie Azure Monitor-Warnungen ein, um über Probleme benachrichtigt zu werden und Konfigurationsänderungen in Ihrer Umgebung zu erkennen.

  • Überwachen Sie die Integrität der VMs und deren Abhängigkeiten.

    • Stellen Sie Überwachungskomponenten bereit, um Protokolle und Metriken zu sammeln, die einen umfassenden Überblick über Ihre VMs, Das Gastbetriebssystem und den Start Diagnose Daten bieten. Virtual Machine Scale Sets Telemetriedaten auf, mit denen Sie Integritätsmetriken auf einzelner VM-Ebene oder als Aggregat anzeigen können. Verwenden Sie Azure Monitor, um diese Daten pro VM anzuzeigen oder auf mehreren VMs aggregiert. Weitere Informationen finden Sie unter Empfehlungen zu Überwachungs-Agents.
    • Nutzen Sie Netzwerkkomponenten, die die Integrität status von VMs überprüfen. Beispielsweise Azure Load Balancer pingt VMs an, um fehlerhafte VMs zu erkennen und den Datenverkehr entsprechend umzuleiten.
    • Richten Sie Azure Monitor-Warnungsregeln ein. Bestimmen Sie wichtige Bedingungen in Ihren Überwachungsdaten, um Probleme zu identifizieren und zu beheben, bevor sie sich auf das System auswirken.
  • Erstellen Sie einen Wartungsplan , der regelmäßiges Systempatching als Teil von Routinevorgängen enthält. Schließen Sie Notfallprozesse ein, die eine sofortige Patchanwendung ermöglichen. Sie können über benutzerdefinierte Prozesse verfügen, um das Patchen zu verwalten oder die Aufgabe teilweise an Azure zu delegieren. Azure bietet Features für die einzelne VM-Wartung. Sie können Wartungsfenster einrichten, um Unterbrechungen während Updates zu minimieren. Bei Plattformupdates sind Fehlerdomänenüberlegungen entscheidend für die Resilienz. Es wird empfohlen, mindestens zwei Instanzen in einer Zone bereitzustellen. Zwei VMs pro Zone garantieren mindestens einen virtuellen Computer in jeder Zone, da jeweils nur eine Fehlerdomäne in einer Zone aktualisiert wird. Stellen Sie also für drei Zonen mindestens sechs Instanzen bereit.

  • Automatisieren Sie Prozesse zum Bootstrapping, Ausführen von Skripts und Konfigurieren von VMs. Sie können Prozesse mithilfe von Erweiterungen oder benutzerdefinierten Skripts automatisieren. Folgende Optionen werden empfohlen:

    • Die vm-Erweiterung Key Vault aktualisiert automatisch Zertifikate, die in einem Schlüsseltresor gespeichert sind.

    • Die benutzerdefinierte Azure-Skripterweiterung für Windows und Linux lädt Skripts herunter und führt sie auf Virtual Machines aus. Verwenden Sie diese Erweiterung für die Konfiguration nach der Bereitstellung, bei der Softwareinstallation oder bei anderen Konfigurations- oder Verwaltungsaufgaben.

    • Verwenden Sie cloud-init, um die Startumgebung für Linux-basierte VMs einzurichten.

  • Verfügen Sie über Prozesse zum Installieren automatischer Updates. Erwägen Sie die Verwendung des automatischen VM-Gastpatches für einen zeitnahen Rollout kritischer Patches und Sicherheitspatches. Verwenden Sie die Updateverwaltung in Azure Automation, um Betriebssystemupdates für Ihre Windows- und Linux-VMs in Azure zu verwalten.

  • Erstellen Sie eine Testumgebung , die eng mit Ihrer Produktionsumgebung übereinstimmt, um Updates und Änderungen zu testen, bevor Sie sie in der Produktion bereitstellen. Verfügen Sie über Prozesse zum Testen der Sicherheitsupdates, Leistungsbaselines und Zuverlässigkeitsfehler. Nutzen Sie Die Vorteile von Azure Chaos Studio-Fehlerbibliotheken, um Fehlerbedingungen einzuschleusen und zu simulieren. Weitere Informationen finden Sie unter Fehler- und Aktionsbibliothek für Azure Chaos Studio.

  • Verwalten Sie Ihr Kontingent. Planen Sie, welches Kontingent Für Ihre Workload erforderlich ist, und überprüfen Sie diese Ebene regelmäßig, während sich die Workload weiterentwickelt. Wenn Sie Ihr Kontingent erhöhen oder verringern müssen, fordern Sie diese Änderungen frühzeitig an.

Empfehlungen

Empfehlung Vorteil
(Skalierungsgruppe) Virtual Machine Scale Sets im Modus "Flexible Orchestrierung" kann die Bereitstellung und Verwaltung Ihrer Workload vereinfachen. Beispielsweise können Sie die Selbstheilung mithilfe automatischer Reparaturen problemlos verwalten. Flexible Orchestrierung kann VM-Instanzen im großen Stil verwalten. Die Übergabe einzelner VMs erhöht den betrieblichen Mehraufwand.

Wenn Sie z. B. VM-Instanzen löschen, werden auch die zugeordneten Datenträger und NiCs automatisch gelöscht. VM-Instanzen sind auf mehrere Fehlerdomänen verteilt, sodass Aktualisierungsvorgänge den Dienst nicht stören.
(Skalierungsgruppe) Halten Sie Ihre VMs auf dem neuesten Stand , indem Sie eine Upgraderichtlinie festlegen. Es wird empfohlen, fortlaufende Upgrades durchzuführen. Wenn Sie jedoch eine präzise Steuerung benötigen, wählen Sie ein manuelles Upgrade aus.

Für flexible Orchestrierung können Sie die Updateverwaltung in Azure Automation verwenden.
Sicherheit ist der Hauptgrund für Upgrades. Sicherheitsgarantien für die Instanzen sollten im Laufe der Zeit nicht verfallen.

Fortlaufende Upgrades werden in Batches durchgeführt, wodurch sichergestellt wird, dass nicht alle Instanzen gleichzeitig ausfallen.
(VMs, Skalierungsgruppe) Stellen Sie vm-Anwendungen automatisch aus dem Azure Compute-Katalog bereit, indem Sie die Anwendungen im Profil definieren. Die virtuellen Computer in der Skalierungsgruppe werden erstellt und die angegebenen Apps vorinstalliert, was die Verwaltung vereinfacht.
Installieren Sie vordefinierte Softwarekomponenten als Erweiterungen im Rahmen des Bootstrappings.
Azure unterstützt viele Erweiterungen, die zum Konfigurieren, Überwachen, Schützen und Bereitstellen von Hilfsprogrammanwendungen für Ihre VMs verwendet werden können.

Aktivieren Sie automatische Upgrades für Erweiterungen.
Erweiterungen können die Softwareinstallation im großen Stil vereinfachen, ohne dass Sie sie manuell auf den einzelnen virtuellen Computern installieren, konfigurieren oder aktualisieren müssen.
(VMs, Skalierungsgruppe) Überwachen und Messen der Integrität der VM-Instanzen

Stellen Sie die Monitor-Agent-Erweiterung auf Ihren virtuellen Computern bereit, um Überwachungsdaten vom Gastbetriebssystem mit betriebssystemspezifischen Datensammlungsregeln zu sammeln.

Ermöglichen Sie VM Insights , um Integrität und Leistung zu überwachen und Trends aus den gesammelten Daten anzuzeigen.

Verwenden Sie Start Diagnose, um Informationen beim Start von VMs abzurufen. Boot Diagnose auch Startfehler diagnostizieren.
Die Überwachung von Daten ist der Kern der Lösung von Incidents. Ein umfassender Überwachungsstapel enthält Informationen zur Leistung und Integrität der VMs. Durch die kontinuierliche Überwachung der Instanzen können Sie für Fehler wie Leistungsüberlastung und Zuverlässigkeitsprobleme bereit sein oder diese verhindern.

Effiziente Leistung

Bei der Leistungseffizienz geht es darum, die Benutzerfreundlichkeit zu erhalten, auch wenn die Auslastung durch die Verwaltung der Kapazität erhöht wird. Die Strategie umfasst das Skalieren von Ressourcen, das Identifizieren und Optimieren potenzieller Engpässe sowie die Optimierung von Spitzenleistungen.

Die Entwurfsprinzipien der Leistungseffizienz bieten eine allgemeine Entwurfsstrategie, um diese Kapazitätsziele im Vergleich zur erwarteten Nutzung zu erreichen.

Prüfliste für den Entwurf

Starten Sie Ihre Entwurfsstrategie basierend auf der Prüfliste der Entwurfsüberprüfung für Die Leistungseffizienz. Definieren Sie eine Baseline, die auf wichtigen Leistungsindikatoren für Virtual Machines- und Skalierungsgruppen basiert.

  • Definieren Sie Leistungsziele. Identifizieren Sie VM-Metriken zum Nachverfolgen und Messen von Leistungsindikatoren wie Antwortzeit, CPU-Auslastung und Arbeitsspeicherauslastung sowie Workloadmetriken wie Transaktionen pro Sekunde, gleichzeitige Benutzer sowie Verfügbarkeit und Integrität.

  • Berücksichtigen Sie das Leistungsprofil von VMs, Skalierungsgruppen und Datenträgerkonfiguration in Ihrer Kapazitätsplanung. Jede SKU weist ein anderes Profil von Arbeitsspeicher und CPU auf und verhält sich je nach Workloadtyp unterschiedlich. Führen Sie Pilotprojekte und Proofs of Concept durch, um das Leistungsverhalten unter der spezifischen Workload zu verstehen.

  • VM-Leistungsoptimierung. Profitieren Sie von der Leistungsoptimierung und der Verbesserung der Features, die von der Workload benötigt werden. Verwenden Sie z. B. lokal angefügte Non-Volatile Memory Express (NVMe) für hochleistungsfähige Anwendungsfälle und beschleunigte Netzwerke, und verwenden Sie SSD Premium v2 für bessere Leistung und Skalierbarkeit.

  • Berücksichtigen Sie die abhängigen Dienste. Workloadabhängigkeiten wie Zwischenspeicherung, Netzwerkdatenverkehr und Inhaltsübermittlungsnetzwerke, die mit den VMs interagieren, können sich auf die Leistung auswirken. Berücksichtigen Sie auch die geografische Verteilung, z. B. Zonen und Regionen, die Latenzen hinzufügen können.

  • Sammeln sie Leistungsdaten. Befolgen Sie die bewährten Methoden für Operational Excellence für die Überwachung und Bereitstellung der entsprechenden Erweiterungen, um Metriken anzuzeigen, die anhand von Leistungsindikatoren nachverfolgt werden.

  • Näherungsplatzierungsgruppen. Verwenden Sie Näherungsplatzierungsgruppen in Workloads, bei denen eine geringe Latenz erforderlich ist, um sicherzustellen, dass sich VMs physisch nahe beieinander befinden.

Empfehlungen

Empfehlung Vorteil
(VMs, Skalierungsgruppe) Wählen Sie SKUs für VMs aus, die ihrer Kapazitätsplanung entsprechen.

Verfügen Sie über ein gutes Verständnis Ihrer Workloadanforderungen, einschließlich der Anzahl der Kerne, des Arbeitsspeichers, des Speichers und der Netzwerkbandbreite, damit Sie ungeeignete SKUs herausfiltern können.
Das Rechteisieren Ihrer VMs ist eine grundlegende Entscheidung, die sich erheblich auf die Leistung Ihrer Workload auswirkt. Ohne den richtigen Satz von VMs treten möglicherweise Leistungsprobleme auf und verursachen unnötige Kosten.
(VMs, Skalierungsgruppe) Stellen Sie latenzsensitive Workload-VMs in Näherungsplatzierungsgruppen bereit. Näherungsplatzierungsgruppen reduzieren den physischen Abstand zwischen Azure-Computeressourcen, wodurch die Leistung verbessert und die Netzwerklatenz zwischen eigenständigen VMs, virtuellen Computern in mehreren Verfügbarkeitsgruppen oder VMs in mehreren Skalierungsgruppen verringert werden kann.
(VMs, Skalierungsgruppe) Legen Sie das Speicherprofil fest, indem Sie die Datenträgerleistung vorhandener Workloads und der VM-SKU analysieren.

Verwenden Sie Premium-SSDs für Produktions-VMs. Passen Sie die Leistung von Datenträgern mit SSD Premium v2 an.

Verwenden Sie lokal angeschlossene NVMe-Geräte.
Premium-SSDs bieten hochleistungsfähige und latenzarme Datenträgerunterstützung für VMs mit E/A-intensiven Workloads.
Ssd Premium v2 erfordert keine Größenänderung des Datenträgers, was eine hohe Leistung ohne übermäßige Überbereitstellung ermöglicht und die Kosten nicht genutzter Kapazität minimiert.

Wenn sie auf VM-SKUs verfügbar sind, können lokal angeschlossene NVMe-Geräte oder ähnliche Geräte eine hohe Leistung bieten, insbesondere für Anwendungsfälle, die hohe Eingabe-/Ausgabevorgänge pro Sekunde (IOPS) und geringe Latenz erfordern.
(VMs) Erwägen Sie, beschleunigtes Netzwerk zu aktivieren. Es ermöglicht die Single-Root-E/A-Virtualisierung (SR-IOV) für einen virtuellen Computer, was die Netzwerkleistung erheblich verbessert.
(VMs, Skalierungsgruppe) Legen Sie Regeln für die automatische Skalierung fest, um die Anzahl der VM-Instanzen in Ihrer Skalierungsgruppe je nach Bedarf zu erhöhen oder zu verringern. Wenn sich die Nachfrage für Ihre Anwendung erhöht, erhöht sich auch die Last für die VM-Instanzen in Ihrer Skalierungsgruppe. Regeln für die automatische Skalierung stellen sicher, dass Sie über genügend Ressourcen verfügen, um den Bedarf zu decken.

Azure-Richtlinien

Azure bietet einen umfangreichen Satz integrierter Richtlinien für Virtual Machines und deren Abhängigkeiten. Einige der vorherigen Empfehlungen können über Azure Policy überwacht werden. Sie können beispielsweise überprüfen, ob:

  • Die Verschlüsselung auf dem Host ist aktiviert.
  • Anti-Malware-Erweiterungen werden für automatische Updates auf virtuellen Computern mit Windows Server bereitgestellt und aktiviert.
  • Das automatische Patchen von Betriebssystemimages für Skalierungsgruppen ist aktiviert.
  • Es werden nur genehmigte VM-Erweiterungen installiert.
  • Der Monitor-Agent und die Abhängigkeits-Agents sind auf neuen VMs in Ihrer Azure-Umgebung aktiviert.
  • Nur die zulässigen VM-SKUs werden bereitgestellt, um die Größen entsprechend den Kosteneinschränkungen zu begrenzen.
  • Private Endpunkte werden für den Zugriff auf Datenträgerressourcen verwendet.
  • Die Erkennung von Sicherheitsrisiken ist aktiviert. Es gibt spezielle Regeln für Windows-Computer. Sie können beispielsweise Windows Defender für die tägliche Überprüfung planen.

Überprüfen Sie für eine umfassende Governance die Azure Policy integrierten Definitionen für Virtual Machines und andere Richtlinien, die sich auf die Sicherheit der Computeebene auswirken können.

Azure Advisor-Empfehlungen

Bei Azure Advisor handelt es sich um einen personalisierten Cloudberater, der Sie mit bewährten Methoden zum Optimieren von Azure-Bereitstellungen unterstützt. Hier finden Sie einige Empfehlungen, die Ihnen helfen können, die Zuverlässigkeit, Sicherheit, Kosteneffizienz, Leistung und operative Exzellenz von Virtual Machines zu verbessern.

Nächste Schritte

Betrachten Sie die folgenden Artikel als Ressourcen, die die in diesem Artikel hervorgehobenen Empfehlungen veranschaulichen.