Planifier le dimensionnement et la mise en réseau

Effectué

La machine virtuelle Azure est un type de ressource de calcul IaaS (Infrastructure as a Service) populaire dans Azure. Par rapport aux services de calcul PaaS (Platform-as-a-Service), les machines virtuelles Azure se distinguent par une plus grande flexibilité et un meilleur contrôle du système d'exploitation de la machine virtuelle et sa configuration. Le contrôle et la flexibilité accrus nécessitent une meilleure planification pour obtenir des résultats optimaux.

Cette unité décrit les facteurs globaux et les considérations relatives à la planification des déploiements de machines virtuelles Linux Azure. Le processus de planification doit prendre en compte les aspects de calcul, de réseau et de stockage de la configuration de machine virtuelle. Certaines de ces caractéristiques sont propres au système d’exploitation, avec des détails d’implémentation variables selon les différentes distributions Linux.

Microsoft s'associe à d'importants fournisseurs Linux pour intégrer leurs produits à la plateforme Azure. Pour tirer pleinement parti de cette intégration, vous pouvez créer des machines virtuelles Azure à partir d'images prédéfinies pour diverses distributions Linux populaires, comme SUSE, Red Hat et Ubuntu. Si vous le souhaitez, vous pouvez créer une image personnalisée d'une distribution Linux à exécuter dans l'environnement cloud. Dans ce cas, votre processus de provisionnement de la machine virtuelle Azure peut comporter d'autres étapes.

Dans les deux cas, ce module d'apprentissage peut vous aider à optimiser votre déploiement. Pour ce faire, vous devez bien comprendre la ressource de la machine virtuelle Azure et ses dépendances.

Comprendre les dépendances des ressources

Lorsque vous créez une machine virtuelle Azure, vous devez également créer plusieurs ressources associées dont dépend cette dernière pour fournir des fonctionnalités complètes au système d'exploitation virtualisé. Ces ressources incluent :

  • Des disques virtuels pour stocker le système d’exploitation, les applications et les données.

  • Un réseau virtuel avec un ou plusieurs sous-réseaux pour connecter la machine virtuelle Azure à d’autres services Azure ou à vos centres de données locaux.

  • Une interface réseau pour connecter la machine virtuelle Azure à un sous-réseau du réseau virtuel.

    Remarque

    Chaque interface réseau doit avoir au moins une adresse IP privée attribuée de manière dynamique ou statique. Les adresses IP privées ne sont pas des ressources Azure distinctes. Cependant, elles font partie de la configuration du sous-réseau.

  • Un groupe de ressources pour héberger la machine virtuelle Azure.

  • Si vous le souhaitez, une adresse IP publique associée à l'interface réseau de la machine virtuelle pour fournir un accès entrant direct à la machine virtuelle à partir d'Internet.

Maintenant que vous comprenez les dépendances des ressources VM Azure, vous pouvez commencer à planifier le dimensionnement VM.

Planifier le dimensionnement

Pour déterminer la taille appropriée de votre machine virtuelle Azure, vous devez prendre en compte la charge de travail prévue. La taille que vous choisissez détermine les caractéristiques suivantes de la machine virtuelle :

  • Puissance de traitement
  • Mémoire
  • Capacité de stockage
  • Performances
  • Prise en charge des fonctionnalités réseau avancées

Important

les machines virtuelles Azure ont des limites de quota de processeur virtuel, que vous devez prendre en compte dans la planification. Pour augmenter les limites de quota après le déploiement, vous devez soumettre une requête en ligne au support Azure.

Azure propose un large éventail de tailles avec des spécifications et des prix différents pour répondre à une grande variété de besoins. Les tailles de machine virtuelle sont regroupées en plusieurs catégories qui représentent les types de charges de travail pour lesquelles elles sont optimisées. Chaque catégorie comprend une ou plusieurs séries, ou familles, qui partagent des caractéristiques matérielles sous-jacentes communes. Elles offrent cependant une plage de tailles différentes.

La liste suivante présente les types de charges de travail et les cas d'utilisation courants pour chaque type de charge de travail. À chaque type de charge de travail correspondent des familles de tailles différentes.

  • Usage général : convient pour le test et le développement, les bases de données petites de petite à moyenne taille et serveurs web au trafic faible à moyen.
  • Nécessite beaucoup de ressources de calcul : convient pour les serveurs web au trafic moyen, les appliances réseau, les processus de traitement par lots et les serveurs d'applications.
  • Nécessite beaucoup de ressources de mémoire : convient pour les serveurs de bases de données relationnelles, les caches de taille moyenne à grande ainsi que l'analytique en mémoire.
  • Nécessite beaucoup de ressources de stockage : bases de données Big Data, SQL et NoSQL qui nécessitent un débit de disque et des entrées/sorties (E/S) importants.
  • Avec processeur graphique : rendu graphique complexe ou montage vidéo, formation de modèles et inférence avec le deep learning.
  • HPC (calculs complexes) : les machines virtuelles utilisant le processeur le plus rapide et le plus puissant, avec en option des interfaces réseau à haut débit qui prennent en charge l'accès direct à la mémoire à distance (RDMA).

Lorsque vous planifiez des tailles de machine virtuelle Azure, tenez également compte des facteurs suivants :

  • le changement de série ou de taille de la machine virtuelle Azure, bien que simple et courant, nécessite un redémarrage du système d'exploitation. Pour éviter les redémarrages, dimensionner la machine virtuelle de manière appropriée dès le début si possible.
  • La disponibilité de la taille des machines virtuelles varie selon la région. Vous devez donc tenir compte de la disponibilité régionale lorsque vous planifiez votre déploiement.
  • Le nombre maximal de disques que vous pouvez attacher à une machine virtuelle dépend de la taille VM.

Autres considérations relatives à la taille

Utilisez le Sélecteur de machines virtuelles Microsoft Azure pour déterminer la taille de machine virtuelle la plus appropriée en fonction du type de charge de travail, du système d'exploitation, des logiciels installés et de la région de déploiement.

Si vous prévoyez d'utiliser des machines virtuelles Azure de taille identique ou similaire dans la même région pendant une période prolongée, envisagez d'utiliser Azure Reservations pour réduire les coûts de calcul jusqu'à 72 %.

Pour réduire le coût des machines virtuelles Azure pour les charges de travail capables de gérer les interruptions, comme les travaux de traitement par lots, utilisez des machines virtuelles Azure Spot.

Planifier la mise en réseau

Les machines virtuelles communiquent avec des ressources externes sur un réseau virtuel. Un réseau virtuel est un réseau privé au sein d’une région Azure. Vous pouvez connecter des réseaux virtuels à d'autres réseaux, notamment des réseaux dans vos centres de données locaux, et appliquer des règles de trafic pour contrôler la connectivité entrante et sortante.

Chaque réseau virtuel désigne un espace d'adressage IP qui consiste généralement en une ou plusieurs plages d'adresses privées, conformément au RFC 1918. Comme pour les réseaux locaux, vous pouvez diviser l'espace d'adressage du réseau virtuel en plusieurs sous-réseaux pour isoler les charges de travail de machine virtuelle Azure. Chaque sous-réseau d'un réseau virtuel représente une plage d'adresses privée. Pour renforcer l'isolation de la charge de travail, vous associez un Groupe de sécurité réseau à chaque sous-réseau.

Chaque machine virtuelle Azure inclut une ou plusieurs interfaces réseau, et chaque interface se connecte à un sous-réseau au sein du même réseau virtuel. Azure attribue automatiquement à chaque machine virtuelle du sous-réseau une adresse IP issue de la plage du sous-réseau. Azure réserve les quatre premières et la dernière adresse IP de chaque sous-réseau à son propre usage et ne les attribue pas.

Bien qu'il soit possible de créer un réseau virtuel et des sous-réseaux dans le cadre d'un processus d'approvisionnement en machines virtuelles, l'approche recommandée consiste à commencer la planification du déploiement des machines virtuelles Azure par l'environnement réseau. Une fois que vous avez pris en compte toutes les exigences de mise en réseau et créé les réseaux virtuels correspondants, vous pouvez procéder au déploiement des machines virtuelles Azure.

Lorsque vous planifiez les réseaux et sous-réseaux virtuels Azure, gardez à l'esprit les principes de conception suivants :

  • assurez-vous que les espaces d'adressage ne se chevauchent pas. Si vous souhaitez connecter vos réseaux virtuels et vos réseaux locaux, les espaces d'adressage IP ne peuvent pas se chevaucher.
  • Utilisez un nombre réduit de réseaux virtuels de grande taille plutôt qu'un grand nombre de réseaux virtuels de petite taille. Cette pratique permet de réduire la surcharge de gestion et de faciliter la scalabilité.

Bande passante réseau

Bien qu'une machine virtuelle Azure puisse avoir plusieurs interfaces réseau, sa bande passante disponible dépend entièrement de sa taille. En général, les machines virtuelles de grande taille se voient attribuer plus de bande passante que celles de petite taille.

Pour mesurer la quantité de bande passante réseau réelle par rapport à la limite allouée, Azure ne cible que le trafic de sortie. Tout le trafic réseau sortant de la machine virtuelle est comptabilisé dans cette limite, quelle que soit la destination du trafic.

Azure ne limite pas directement la bande passante d'entrée. Cependant, des facteurs comme l'utilisation des ressources de stockage et de calcul affectent le volume de données entrantes qu'une machine virtuelle Azure peut traiter.

Planifier la connectivité à distance

Dans le cadre de la planification de votre déploiement, envisagez l'approche la plus appropriée pour fournir une connectivité à distance. Pour les machines virtuelles Linux, la connectivité à distance implique généralement l'utilisation de Secure Shell (SSH) pour implémenter le chiffrement en transit d'une session d'interpréteur de commandes terminal.

Pour authentifier une connexion SSH, vous pouvez utiliser un nom d'utilisateur et un mot de passe ou une paire de clés SSH. L'utilisation de mots de passe pour les connexions SSH rend la machine virtuelle vulnérable aux attaques par force brute. L’utilisation de clés SSH est une méthode plus sécurisée et recommandée pour se connecter à une machine virtuelle Linux avec SSH.

Même avec des clés SSH, par défaut, vous devez ouvrir la connectivité à une IP publique associée à la carte réseau machines virtuelles Azure cible. Cette IP publique est vulnérable aux menaces externes et représente un vecteur d'attaque potentiel. Pour atténuer ce risque, implémentez Azure Bastion ou l’accès VM juste-à-temps (JIT).

Remarque

Dans les scénarios hybrides, pour éliminer le besoin d'adresses IP publiques lors de la connexion de votre environnement local aux machines virtuelles Azure, vous pouvez utiliser un réseau privé virtuel de site à site ou Azure ExpressRoute.

Azure Bastion

Vous déployez le service Azure Bastion dans un sous-réseau dédié d'un réseau virtuel qui dispose d'une connectivité à la machine virtuelle cible. Azure Bastion sert de répartiteur pour les connexions SSH externes sur HTTPS qui ne sont disponibles qu'à partir du portail Azure. Azure Bastion élimine la nécessité d'attribuer des adresses IP publiques à l'interface réseau de la machine virtuelle Azure cible, et garantit également que seuls les utilisateurs authentifiés et dûment autorisés peuvent initier des connexions SSH.

Accès VM JIT

L'accès aux machines virtuelles JIT est une caractéristique de Microsoft Defender pour le cloud qui limite l'accès à une adresse IP publique associée à l'interface réseau machines virtuelles Azure. Ces limites ajustent dynamiquement le groupe de sécurité réseau pour autoriser les connexions entrantes uniquement à partir d'une plage d'adresses IP désignées au moment de la conception. Comme pour Azure Bastion, les utilisateurs doivent être identifiés avant d'initier une connexion à partir du portail Azure.