Virtuális gépek megfelelőségének kezelése

Ez a cikk azt ismerteti, hogyan kezelheti a virtuális gépek megfelelőségét a DevOps-eljárások károsítása nélkül. Az Azure VM Image Builder és az Azure Compute Gallery használatával minimalizálhatja a rendszerképek kockázatait.

Architektúra

A megoldás két folyamatból áll:

• Az arany kép közzétételi folyamata
• A virtuális gép (VM) megfelelőségének nyomon követésének folyamata

Töltse le az architektúra Visio-fájlját.

Adatfolyam

Az aranylemezkép-közzétételi folyamat havonta fut, és a következő lépéseket tartalmazza:

1. A folyamat egy alaprendszerképet rögzít Azure Marketplace.
2. A VM Image Builder testre szabja a képet.
3. A képtetoválás folyamata nyomon követi a kép verzióadatait, például a forrást és a közzététel dátumát.
4. Az automatizált tesztek ellenőrzik a képet.
5. Ha a rendszerkép nem tud teszteket végrehajtani, visszatér a javítások testreszabási lépéséhez.
6. A folyamat közzéteszi a véglegesített képet.
7. A Compute Gallery elérhetővé teszi a rendszerképet a DevOps-csapatok számára.

Töltse le az architektúra Visio-fájlját.

A virtuális gépek megfelelőségének nyomon követésének folyamata a következő lépéseket tartalmazza:

1. Azure Policy hozzárendeli a szabályzatdefiníciókat a virtuális gépekhez, és kiértékeli a virtuális gépeket a megfelelőség szempontjából.
2. Azure Policy közzéteszi a virtuális gépek és más Azure-erőforrások megfelelőségi adatait az Azure Policy irányítópulton.

Összetevők

• A VM Image Builder egy felügyelt szolgáltatás a rendszerképek testreszabásához. Ez a szolgáltatás létrehozza és terjeszti a DevOps-csapatok által használt lemezképeket.

• A Compute Gallery segítségével strukturálhatja és rendszerezheti az egyéni rendszerképeket. A rendszerképek adattárakban való tárolásával ez a szolgáltatás szabályozott hozzáférést biztosít a képekhez. A felhasználók a szervezeten belül és kívül is lehetnek.

• Azure Policy szabályzatdefiníciókat kínál. Ezekkel a definíciókkal kikényszerítheti a szervezet szabványait, és nagy léptékben értékelheti a megfelelőséget. Az Azure Policy irányítópult Azure Policy kiértékelések eredményeit jeleníti meg. Ezek az adatok folyamatosan tájékoztatják az erőforrások megfelelőségi állapotáról.

• A Azure Policy Azure Automanage Machine Configuration szolgáltatása lehetővé teszi a konfigurációk dinamikus naplózását vagy a gépekhez kódon keresztüli hozzárendelését. A konfigurációk általában környezeti vagy operációsrendszer-beállításokat tartalmaznak.

Alternatív megoldások

• A megfelelőség kezelésére külső eszköz is használható. Az ilyen típusú eszközökkel azonban általában telepítenie kell egy ügynököt a cél virtuális gépre. Előfordulhat, hogy licencelési díjat is fizetnie kell.

• Egyéni szkriptbővítményekkel szoftvereket telepíthet virtuális gépekre, vagy konfigurálhat virtuális gépeket az üzembe helyezés után. De minden virtuális gép vagy virtuálisgép-méretezési csoport csak egy egyéni szkriptbővítménnyel rendelkezhet. Ha egyéni szkriptbővítményeket használ, megakadályozhatja, hogy a DevOps-csapatok testre szabják az alkalmazásaikat.

Forgatókönyv részletei

Minden vállalat saját megfelelőségi előírásokkal és szabványokkal rendelkezik. Ami a biztonságot illeti, minden vállalatnak saját kockázati étvágya van. A biztonsági szabványok szervezetenként és régiónként eltérőek lehetnek.

A különböző szabványok követése nagyobb kihívást jelenthet a felhőalapú környezetek dinamikus skálázásában, mint a helyszíni rendszerekben. Ha a csapatok DevOps-eljárásokat használnak, általában kevesebb korlátozás van arra, hogy ki hozhat létre Azure-erőforrásokat, például virtuális gépeket. Ez a tény megnehezíti a megfelelőségi kihívásokat.

A Azure Policy és szerepköralapú hozzáférés-vezérlési hozzárendelések használatával a vállalatok szabványokat kényszeríthetnek ki az Azure-erőforrásokra. A virtuális gépek esetében azonban ezek a mechanizmusok csak a vezérlősíkot vagy a virtuális géphez vezető útvonalat érintik. A virtuális gépen futó rendszerképek továbbra is biztonsági fenyegetést jelentenek. Egyes vállalatok megakadályozzák, hogy a fejlesztők hozzáférjenek a virtuális gépekhez. Ez a megközelítés rontja az agilitást, ami megnehezíti a DevOps-eljárások követését.

Ez a cikk egy megoldást mutat be az Azure-ban futó virtuális gépek megfelelőségének kezelésére. A megfelelőség nyomon követése mellett a megoldás minimalizálja a virtuális gépeken futó rendszerképek kockázatát is. A megoldás ugyanakkor kompatibilis a DevOps-eljárásokkal. Az alapvető összetevők közé tartozik az Azure VM Image Builder, az Azure Compute Gallery és a Azure Policy.

Lehetséges használati esetek

Ez a megoldás az azure-beli kezdőzónákkal rendelkező szervezetekre vonatkozik, amelyek elvégzik ezeket a feladatokat:

• Aranylemezképek biztosítása a DevOps-csapatoknak. Az arany kép egy piactéri rendszerkép közzétett verziója.
• Tesztelje és érvényesítse a képeket, mielőtt elérhetővé teszi őket a DevOps-csapatok számára.
• Az egyes DevOps-csapatok által használt rendszerkép nyomon követése.
• A vállalati szabványok betartatása a termelékenység csökkentése nélkül.
• Annak biztosítása, hogy a DevOps-csapatok a legújabb képverziókat használják.
• A karbantartási igényű kisállat-kiszolgálók és a szarvasmarha-kiszolgálók megfelelőségének kezelése, amelyek könnyen cserélhetők.

Módszer

Az alábbi szakaszok részletesen ismertetik a megoldás megközelítését.

Háziállatok és szarvasmarhák azonosítása

A DevOps-csapatok egy háziállatok és szarvasmarhák nevű analógiát használnak a szolgáltatási modellek meghatározásához. A virtuális gép megfelelőségének nyomon követéséhez először állapítsa meg, hogy egy kisállat- vagy szarvasmarha-kiszolgálóról van-e szó:

• A háziállatok jelentős figyelmet igényelnek. Nem könnyű kiadni őket. A kisállat-kiszolgáló helyreállítása jelentős mennyiségű időt és pénzügyi erőforrást igényel. Az SAP-t futtató kiszolgáló lehet például egy kisállat. A kiszolgálón futó szoftverek mellett más szempontok is meghatározhatják a szolgáltatásmodellt. Ha alacsony hibatűréssel rendelkezik, a valós idejű és közel valós idejű rendszerek éles kiszolgálói is háziállatok lehetnek.

• A szarvasmarha-kiszolgálók egy azonos csoport részei. Könnyen lecserélheti őket. A virtuálisgép-méretezési csoportban futó virtuális gépek például szarvasmarha. Ha elegendő virtuális gép van a készletben, a rendszer folyamatosan fut, és nem kell tudnia az egyes virtuális gépek nevét. A következő feltételeknek megfelelő tesztkörnyezeti kiszolgálók egy másik példát nyújtanak a szarvasmarhákra:

  • Automatizált eljárással hozza létre a kiszolgálókat az alapoktól.
  • Miután befejezte a tesztek futtatását, le kell szerelnie a kiszolgálókat.

Előfordulhat, hogy egy környezet csak kisállat-kiszolgálókat tartalmaz, vagy csak szarvasmarha-kiszolgálókat. Ezzel szemben egy környezetben lévő virtuális gépek egy halmaza háziállatok lehetnek. Ugyanabban a környezetben a virtuális gépek egy másik készlete lehet szarvasmarha.

A megfelelőség kezelése:

• A kedvtelésből tartott állatok megfelelőségének nyomon követése nagyobb kihívást jelenthet, mint a szarvasmarha-megfelelőség. Általában csak a DevOps-csapatok tudják nyomon követni és fenntartani a kedvtelésből tartott környezetek és kiszolgálók megfelelőségét. A cikk megoldása azonban növeli az egyes kisállatok állapotának láthatóságát, így a szervezet minden tagja könnyebben nyomon követheti a megfelelőséget.
• Szarvasmarha-környezetek esetén rendszeresen frissítse a virtuális gépeket, és építse újra őket az alapoktól. Ezeknek a lépéseknek megfelelőnek kell lenniük a megfelelőséghez. Ezt a frissítési ciklust a DevOps-csapat szokásos kiadási üteméhez igazíthatja.

Képek korlátozása

Ne engedélyezze a DevOps-csapatoknak, hogy Azure Marketplace virtuálisgép-rendszerképeket használjanak. Csak olyan virtuálisgép-rendszerképek engedélyezése, amelyeket a Compute Gallery közzétesz. Ez a korlátozás kritikus fontosságú a virtuális gépek megfelelőségének biztosításához. A korlátozás kikényszerítéséhez használhat egyéni szabályzatot a Azure Policy. Minta: Képkiadók engedélyezése.

Ennek a megoldásnak a részeként a VM Image Buildernek Azure Marketplace lemezképet kell használnia. Fontos, hogy a Azure Marketplace elérhető legújabb rendszerképet használja. Végezze el a testreszabásokat a rendszerképen. Azure Marketplace lemezképek gyakran frissülnek, és mindegyik rendszerkép rendelkezik bizonyos előre beállított konfigurációkkal, így a rendszerképek alapértelmezés szerint biztonságosak.

Képek testreszabása

Az aranylemezkép a Compute Galleryben közzétett piactéri rendszerkép verziója. A DevOps-csapatok használhatják az aranylemezképeket. A rendszerkép közzététele előtt testreszabásra kerül sor. A testreszabási tevékenységek minden vállalatnál egyediek. Gyakori tevékenységek:

• Az operációs rendszer megkeményedése.
• Egyéni ügynökök üzembe helyezése külső szoftverekhez.
• Vállalati hitelesítésszolgáltatói (CA) főtanúsítványok telepítése.

A VM Image Builder használatával testre szabhatja a lemezképeket az operációs rendszer beállításainak módosításával, valamint egyéni szkriptek és parancsok futtatásával. A VM Image Builder támogatja a Windows- és Linux-rendszerképeket. További információ a rendszerképek testreszabásáról: Azure Policy Az Azure Virtual Machines jogszabályi megfelelőségi vezérlői.

Képtetoválások nyomon követése

A képtetoválás a virtuális gép által használt összes képverziós információ nyomon követésének folyamata. Ezek az információk felbecsülhetetlen értékűek a hibaelhárítás során, és a következőket tartalmazhatják:

• A kép eredeti forrása, például a közzétevő neve és verziója.
• Az operációs rendszer verziósztringje, amelyre helyszíni frissítés esetén szükség van.
• Az egyéni rendszerkép verziója.
• A közzététel dátuma.

A nyomon követett információk mennyisége és típusa a szervezet megfelelőségi szintjétől függ.

Windows rendszerű virtuális gépeken történő képtetováláshoz állítson be egy egyéni beállításjegyzéket. Adja hozzá az összes szükséges információt ehhez a beállításjegyzék-elérési úthoz kulcs-érték párokként. Linux rendszerű virtuális gépeken adja meg a képtetoválási adatokat környezeti változókba vagy fájlokba. Helyezze a fájlt a /etc/ mappába, ahol az nem ütközik a fejlesztői munkával vagy alkalmazásokkal. Ha a Azure Policy szeretné nyomon követni a tetoválási adatokat, vagy jelentést szeretne róla, tárolja az egyes adatokat egyedi kulcs-érték párként. A Marketplace-rendszerképek verziójának meghatározásával kapcsolatos információkért lásd: Marketplace-rendszerképverzió megkeresése.

Aranylemezképek ellenőrzése automatizált tesztekkel

Általában havonta kell frissítenie az arany képeket, hogy naprakész maradjon a legújabb frissítésekkel és módosításokkal Azure Marketplace képeken. Erre a célra használjon ismétlődő tesztelési eljárást. A rendszerkép-létrehozási folyamat részeként használjon Egy Azure-folyamatot vagy más automatizált munkafolyamatot a teszteléshez. Állítsa be a folyamatot úgy, hogy egy új virtuális gépet helyezzen üzembe a tesztek futtatásához minden hónap kezdete előtt. A teszteknek ellenőrizniük kell a pared képeket, mielőtt használat céljából közzétennénk őket. Automatizálhatja a teszteket egy tesztautomatizálási megoldással, vagy parancsok vagy kötegek futtatásával a virtuális gépen.

A gyakori tesztelési forgatókönyvek a következők:

• A virtuális gép rendszerindítási idejének ellenőrzése.
• A lemezkép testreszabásának megerősítése, például az operációs rendszer konfigurációs beállításai vagy az ügynöktelepítések.

A sikertelen tesztnek megszakítania kell a folyamatot. Ismételje meg a tesztet a probléma kiváltó okának kezelése után. Ha a tesztek probléma nélkül futnak, a tesztelési folyamat automatizálása csökkenti az örökzöld állapot fenntartására fordított erőfeszítést.

Aranylemezképek közzététele

Végleges rendszerképek közzététele a Compute Galleryben felügyelt rendszerképként vagy virtuális merevlemezként (VHD), amelyet a DevOps csapatai használhatnak. Jelölje meg a korábbi képeket elavultként. Ha még nem állított be élettartam-dátumot egy képverzióhoz a Compute Galleryben, érdemes lehet megszüntetni a legrégebbi rendszerképet. Ez a döntés a vállalat szabályzataitól függ.

A Számítási katalógus használatakor érvényes korlátokról a Rendszerképek tárolása és megosztása azure Compute-katalógusban című témakörben olvashat bővebben.

Egy másik jó gyakorlat a legújabb képek közzététele különböző régiókban. A Compute Gallery segítségével kezelheti a rendszerképek életciklusát és replikációját különböző Azure-régiókban.

A Számítási katalógusról további információt a Rendszerképek tárolása és megosztása egy Azure Compute-katalógusban című témakörben talál.

Aranyszínű képek frissítése

Amikor rendszerképet használ egy alkalmazáshoz, nehéz lehet frissíteni a mögöttes operációsrendszer-lemezképet a legutóbbi megfelelőségi módosításokkal. A szigorú üzleti követelmények bonyolíthatják a mögöttes virtuális gép frissítésének folyamatát. A frissítés akkor is összetett, ha a virtuális gép kritikus fontosságú a vállalat számára.

Mivel a szarvasmarha-kiszolgálók adagolhatók, a DevOps-csapatokkal együttműködve egy tervezett karbantartási időszakban frissítheti ezeket a kiszolgálókat a szokásos üzleti tevékenységként.

Nagyobb kihívást jelent a kisállat-kiszolgálók frissítése. A rendszerképek leállítása veszélyeztetheti az alkalmazásokat. A vertikális felskálázási forgatókönyvekben az Azure nem találja a megfelelő rendszerképeket, ami hibákat eredményez.

A kisállat-kiszolgálók frissítésekor vegye figyelembe az alábbi irányelveket:

• Az ajánlott eljárásokért lásd: Az Azure Well-Architected Framework megbízhatósági pillérének áttekintése .

• A folyamat egyszerűsítése érdekében tekintse meg azokat az alapelveket, amelyeket ezek a dokumentumok tárgyalnak:

  • Üzembehelyezési bélyegek mintája
  • Geode minta
  • Válaszfal minta

• Címkézze fel az egyes kisállat-kiszolgálókat kisállatként. Konfiguráljon egy szabályzatot Azure Policy, hogy figyelembe vegye ezt a címkét a frissítések során.

A láthatóság javítása

Általában Azure Policy kell használnia a vezérlősík megfelelőségi tevékenységeinek kezeléséhez. A Azure Policy a következő célokra is használható:

• Virtuális gép megfelelőségének nyomon követése.
• Azure-ügynökök telepítése.
• Diagnosztikai naplók rögzítése.
• A virtuális gépek megfelelőségének láthatóságának javítása.

A Azure Policy Azure Automanage Machine Configuration szolgáltatásával naplózhatja a rendszerkép testreszabása során végrehajtott konfigurációs módosításokat. Eltérés esetén az Azure Policy irányítópult nem megfelelőként sorolja fel az érintett virtuális gépet. Azure Policy a képtetoválási információk segítségével nyomon követheti, ha elavult képeket vagy operációs rendszereket használ.

Az egyes alkalmazások kisállat-kiszolgálóinak naplózása. Az Azure Policies naplózási hatással való használatával javíthatja a kiszolgálók láthatóságát. Állítsa be az auditfolyamatot a vállalat kockázati étvágyának és a belső kockázatkezelési folyamatoknak megfelelően.

Minden DevOps-csapat nyomon követheti az alkalmazások megfelelőségi szintjeit az Azure Policy irányítópulton, és megfelelő korrekciós műveleteket hajthat végre. Amikor hozzárendeli ezeket a szabályzatokat egy felügyeleti csoporthoz vagy előfizetéshez, adjon meg a hozzárendelés leírásának egy olyan URL-címet, amely egy vállalati szintű wikihez vezet. Használhat egy rövid URL-címet is, például aka.ms/policy-21: . A wikiben sorolja fel azokat a lépéseket, amelyeket a DevOps-csapatoknak el kell végezniük a virtuális gépek megfelelővé tétele érdekében.

Az informatikai kockázatkezelők és a biztonsági tisztviselők az Azure Policy irányítópulton is kezelhetik a vállalati kockázatokat a vállalat kockázati étvágyának megfelelően.

A Azure Policy Azure Automanage Machine konfigurációs funkciójának szervizelési beállításokkal történő használatával automatikusan alkalmazhat korrekciós műveleteket. A virtuális gépek gyakori lekérdezése vagy az üzletileg kritikus alkalmazásokhoz használt virtuális gépeken végzett módosítások azonban csökkenthetik a teljesítményt. Gondosan tervezze meg a szervizelési műveleteket az éles számítási feladatokhoz. Adjon egy DevOps-csapatnak tulajdonjogot az alkalmazásmegfelelőséghez minden környezetben. Ez a megközelítés elengedhetetlen a kisállat-kiszolgálók és -környezetek esetében, amelyek általában hosszú távú Azure-összetevők.

Megfontolandó szempontok

Ezek a szempontok implementálják az Azure Well-Architected-keretrendszer alappilléreit, amelyek a számítási feladatok minőségének javítására használható alapvető szempontok. További információ: Microsoft Azure Well-Architected Framework.

Méretezhetőség

Konfigurálhatja az egyes rendszerképek Számítási katalógusban tárolt replikáinak számát. A replikák nagyobb száma minimalizálja a szabályozás kockázatát, ha egyszerre több virtuális gépet épít ki. A megfelelő számú replika skálázásával és konfigurálásával kapcsolatos általános útmutatásért lásd: Skálázás az Azure Compute-katalógushoz.

Rugalmasság

Ez a megoldás olyan felügyelt összetevőket használ, amelyek regionális szinten automatikusan rugalmasak. A rugalmas megoldások tervezésével kapcsolatos általános útmutatásért lásd: Rugalmas alkalmazások tervezése az Azure-hoz.

Költségoptimalizálás

A költségoptimalizálás célja a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjainak megvizsgálása. További információ: A költségoptimalizálási pillér áttekintése.

Ha nem használ olyan külső szolgáltatást, mint az Ansible vagy a Terraform, ez a megközelítés szinte ingyenes. A tárolási és kimenő forgalom költségei vonatkozhatnak. Az egyéb lehetséges díjak az alábbi összetevőket foglalják magukban:

• Azure Policy és az Azure Automanage Machine konfigurációja ingyenes az Azure-erőforrásokhoz. Ha a vállalat hibrid megközelítést használ, további díjakat kell fizetnie az Azure Arc-erőforrásokért.

• A nyilvános előzetes verzió időszakában a VM Image Builder egyetlen számítási példánytípust használ 1 virtuális processzorral és 3,5 GB RAM-mal. Az adattárolás és -átvitel díjköteles lehet.

• A Számítási katalógusnak nincsenek díjai, kivéve:

  • A replikák tárolásának költsége.
  • A rendszerképek replikálásának hálózati kimenő díjai.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

• Yunus Emre Alpozen | Programtervező

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések

• Azure-beli célzóna
• Az erőforrások vezérlése és naplózása az Azure Policyvel
• Azure VM Image Builder
• Azure Compute-katalógus
• Azure Policy és a szabályzat irányítópultja
• Az Azure Automanage gép konfigurációja

Kapcsolódó források (lehet, hogy a cikkek angol nyelvűek)

• DevTest és DevOps IaaS-megoldásokhoz
• DevSecOps az AKS-en
• CAE-szolgáltatás