Ez a cikk azt ismerteti, hogyan kezelheti a virtuális gépek megfelelőségét a DevOps-eljárások károsítása nélkül. Az Azure VM Image Builder és az Azure Compute Gallery használatával minimalizálhatja a rendszerképek kockázatait.
Architektúra
A megoldás két folyamatból áll:
- Az arany kép közzétételi folyamata
- A virtuális gép (VM) megfelelőségének nyomon követésének folyamata
Töltse le az architektúra Visio-fájlját.
Adatfolyam
Az aranylemezkép-közzétételi folyamat havonta fut, és a következő lépéseket tartalmazza:
- A folyamat egy alaprendszerképet rögzít Azure Marketplace.
- A VM Image Builder testre szabja a képet.
- A képtetoválás folyamata nyomon követi a kép verzióadatait, például a forrást és a közzététel dátumát.
- Az automatizált tesztek ellenőrzik a képet.
- Ha a rendszerkép nem tud teszteket végrehajtani, visszatér a javítások testreszabási lépéséhez.
- A folyamat közzéteszi a véglegesített képet.
- A Compute Gallery elérhetővé teszi a rendszerképet a DevOps-csapatok számára.
Töltse le az architektúra Visio-fájlját.
A virtuális gépek megfelelőségének nyomon követésének folyamata a következő lépéseket tartalmazza:
- Azure Policy hozzárendeli a szabályzatdefiníciókat a virtuális gépekhez, és kiértékeli a virtuális gépeket a megfelelőség szempontjából.
- Azure Policy közzéteszi a virtuális gépek és más Azure-erőforrások megfelelőségi adatait az Azure Policy irányítópulton.
Összetevők
A VM Image Builder egy felügyelt szolgáltatás a rendszerképek testreszabásához. Ez a szolgáltatás létrehozza és terjeszti a DevOps-csapatok által használt lemezképeket.
A Compute Gallery segítségével strukturálhatja és rendszerezheti az egyéni rendszerképeket. A rendszerképek adattárakban való tárolásával ez a szolgáltatás szabályozott hozzáférést biztosít a képekhez. A felhasználók a szervezeten belül és kívül is lehetnek.
Azure Policy szabályzatdefiníciókat kínál. Ezekkel a definíciókkal kikényszerítheti a szervezet szabványait, és nagy léptékben értékelheti a megfelelőséget. Az Azure Policy irányítópult Azure Policy kiértékelések eredményeit jeleníti meg. Ezek az adatok folyamatosan tájékoztatják az erőforrások megfelelőségi állapotáról.
A Azure Policy Azure Automanage Machine Configuration szolgáltatása lehetővé teszi a konfigurációk dinamikus naplózását vagy a gépekhez kódon keresztüli hozzárendelését. A konfigurációk általában környezeti vagy operációsrendszer-beállításokat tartalmaznak.
Alternatív megoldások
A megfelelőség kezelésére külső eszköz is használható. Az ilyen típusú eszközökkel azonban általában telepítenie kell egy ügynököt a cél virtuális gépre. Előfordulhat, hogy licencelési díjat is fizetnie kell.
Egyéni szkriptbővítményekkel szoftvereket telepíthet virtuális gépekre, vagy konfigurálhat virtuális gépeket az üzembe helyezés után. De minden virtuális gép vagy virtuálisgép-méretezési csoport csak egy egyéni szkriptbővítménnyel rendelkezhet. Ha egyéni szkriptbővítményeket használ, megakadályozhatja, hogy a DevOps-csapatok testre szabják az alkalmazásaikat.
Forgatókönyv részletei
Minden vállalat saját megfelelőségi előírásokkal és szabványokkal rendelkezik. Ami a biztonságot illeti, minden vállalatnak saját kockázati étvágya van. A biztonsági szabványok szervezetenként és régiónként eltérőek lehetnek.
A különböző szabványok követése nagyobb kihívást jelenthet a felhőalapú környezetek dinamikus skálázásában, mint a helyszíni rendszerekben. Ha a csapatok DevOps-eljárásokat használnak, általában kevesebb korlátozás van arra, hogy ki hozhat létre Azure-erőforrásokat, például virtuális gépeket. Ez a tény megnehezíti a megfelelőségi kihívásokat.
A Azure Policy és szerepköralapú hozzáférés-vezérlési hozzárendelések használatával a vállalatok szabványokat kényszeríthetnek ki az Azure-erőforrásokra. A virtuális gépek esetében azonban ezek a mechanizmusok csak a vezérlősíkot vagy a virtuális géphez vezető útvonalat érintik. A virtuális gépen futó rendszerképek továbbra is biztonsági fenyegetést jelentenek. Egyes vállalatok megakadályozzák, hogy a fejlesztők hozzáférjenek a virtuális gépekhez. Ez a megközelítés rontja az agilitást, ami megnehezíti a DevOps-eljárások követését.
Ez a cikk egy megoldást mutat be az Azure-ban futó virtuális gépek megfelelőségének kezelésére. A megfelelőség nyomon követése mellett a megoldás minimalizálja a virtuális gépeken futó rendszerképek kockázatát is. A megoldás ugyanakkor kompatibilis a DevOps-eljárásokkal. Az alapvető összetevők közé tartozik az Azure VM Image Builder, az Azure Compute Gallery és a Azure Policy.
Lehetséges használati esetek
Ez a megoldás az azure-beli kezdőzónákkal rendelkező szervezetekre vonatkozik, amelyek elvégzik ezeket a feladatokat:
- Aranylemezképek biztosítása a DevOps-csapatoknak. Az arany kép egy piactéri rendszerkép közzétett verziója.
- Tesztelje és érvényesítse a képeket, mielőtt elérhetővé teszi őket a DevOps-csapatok számára.
- Az egyes DevOps-csapatok által használt rendszerkép nyomon követése.
- A vállalati szabványok betartatása a termelékenység csökkentése nélkül.
- Annak biztosítása, hogy a DevOps-csapatok a legújabb képverziókat használják.
- A karbantartási igényű kisállat-kiszolgálók és a szarvasmarha-kiszolgálók megfelelőségének kezelése, amelyek könnyen cserélhetők.
Módszer
Az alábbi szakaszok részletesen ismertetik a megoldás megközelítését.
Háziállatok és szarvasmarhák azonosítása
A DevOps-csapatok egy háziállatok és szarvasmarhák nevű analógiát használnak a szolgáltatási modellek meghatározásához. A virtuális gép megfelelőségének nyomon követéséhez először állapítsa meg, hogy egy kisállat- vagy szarvasmarha-kiszolgálóról van-e szó:
A háziállatok jelentős figyelmet igényelnek. Nem könnyű kiadni őket. A kisállat-kiszolgáló helyreállítása jelentős mennyiségű időt és pénzügyi erőforrást igényel. Az SAP-t futtató kiszolgáló lehet például egy kisállat. A kiszolgálón futó szoftverek mellett más szempontok is meghatározhatják a szolgáltatásmodellt. Ha alacsony hibatűréssel rendelkezik, a valós idejű és közel valós idejű rendszerek éles kiszolgálói is háziállatok lehetnek.
A szarvasmarha-kiszolgálók egy azonos csoport részei. Könnyen lecserélheti őket. A virtuálisgép-méretezési csoportban futó virtuális gépek például szarvasmarha. Ha elegendő virtuális gép van a készletben, a rendszer folyamatosan fut, és nem kell tudnia az egyes virtuális gépek nevét. A következő feltételeknek megfelelő tesztkörnyezeti kiszolgálók egy másik példát nyújtanak a szarvasmarhákra:
- Automatizált eljárással hozza létre a kiszolgálókat az alapoktól.
- Miután befejezte a tesztek futtatását, le kell szerelnie a kiszolgálókat.
Előfordulhat, hogy egy környezet csak kisállat-kiszolgálókat tartalmaz, vagy csak szarvasmarha-kiszolgálókat. Ezzel szemben egy környezetben lévő virtuális gépek egy halmaza háziállatok lehetnek. Ugyanabban a környezetben a virtuális gépek egy másik készlete lehet szarvasmarha.
A megfelelőség kezelése:
- A kedvtelésből tartott állatok megfelelőségének nyomon követése nagyobb kihívást jelenthet, mint a szarvasmarha-megfelelőség. Általában csak a DevOps-csapatok tudják nyomon követni és fenntartani a kedvtelésből tartott környezetek és kiszolgálók megfelelőségét. A cikk megoldása azonban növeli az egyes kisállatok állapotának láthatóságát, így a szervezet minden tagja könnyebben nyomon követheti a megfelelőséget.
- Szarvasmarha-környezetek esetén rendszeresen frissítse a virtuális gépeket, és építse újra őket az alapoktól. Ezeknek a lépéseknek megfelelőnek kell lenniük a megfelelőséghez. Ezt a frissítési ciklust a DevOps-csapat szokásos kiadási üteméhez igazíthatja.
Képek korlátozása
Ne engedélyezze a DevOps-csapatoknak, hogy Azure Marketplace virtuálisgép-rendszerképeket használjanak. Csak olyan virtuálisgép-rendszerképek engedélyezése, amelyeket a Compute Gallery közzétesz. Ez a korlátozás kritikus fontosságú a virtuális gépek megfelelőségének biztosításához. A korlátozás kikényszerítéséhez használhat egyéni szabályzatot a Azure Policy. Minta: Képkiadók engedélyezése.
Ennek a megoldásnak a részeként a VM Image Buildernek Azure Marketplace lemezképet kell használnia. Fontos, hogy a Azure Marketplace elérhető legújabb rendszerképet használja. Végezze el a testreszabásokat a rendszerképen. Azure Marketplace lemezképek gyakran frissülnek, és mindegyik rendszerkép rendelkezik bizonyos előre beállított konfigurációkkal, így a rendszerképek alapértelmezés szerint biztonságosak.
Képek testreszabása
Az aranylemezkép a Compute Galleryben közzétett piactéri rendszerkép verziója. A DevOps-csapatok használhatják az aranylemezképeket. A rendszerkép közzététele előtt testreszabásra kerül sor. A testreszabási tevékenységek minden vállalatnál egyediek. Gyakori tevékenységek:
- Az operációs rendszer megkeményedése.
- Egyéni ügynökök üzembe helyezése külső szoftverekhez.
- Vállalati hitelesítésszolgáltatói (CA) főtanúsítványok telepítése.
A VM Image Builder használatával testre szabhatja a lemezképeket az operációs rendszer beállításainak módosításával, valamint egyéni szkriptek és parancsok futtatásával. A VM Image Builder támogatja a Windows- és Linux-rendszerképeket. További információ a rendszerképek testreszabásáról: Azure Policy Az Azure Virtual Machines jogszabályi megfelelőségi vezérlői.
Képtetoválások nyomon követése
A képtetoválás a virtuális gép által használt összes képverziós információ nyomon követésének folyamata. Ezek az információk felbecsülhetetlen értékűek a hibaelhárítás során, és a következőket tartalmazhatják:
- A kép eredeti forrása, például a közzétevő neve és verziója.
- Az operációs rendszer verziósztringje, amelyre helyszíni frissítés esetén szükség van.
- Az egyéni rendszerkép verziója.
- A közzététel dátuma.
A nyomon követett információk mennyisége és típusa a szervezet megfelelőségi szintjétől függ.
Windows rendszerű virtuális gépeken történő képtetováláshoz állítson be egy egyéni beállításjegyzéket. Adja hozzá az összes szükséges információt ehhez a beállításjegyzék-elérési úthoz kulcs-érték párokként. Linux rendszerű virtuális gépeken adja meg a képtetoválási adatokat környezeti változókba vagy fájlokba. Helyezze a fájlt a /etc/
mappába, ahol az nem ütközik a fejlesztői munkával vagy alkalmazásokkal. Ha a Azure Policy szeretné nyomon követni a tetoválási adatokat, vagy jelentést szeretne róla, tárolja az egyes adatokat egyedi kulcs-érték párként. A Marketplace-rendszerképek verziójának meghatározásával kapcsolatos információkért lásd: Marketplace-rendszerképverzió megkeresése.
Aranylemezképek ellenőrzése automatizált tesztekkel
Általában havonta kell frissítenie az arany képeket, hogy naprakész maradjon a legújabb frissítésekkel és módosításokkal Azure Marketplace képeken. Erre a célra használjon ismétlődő tesztelési eljárást. A rendszerkép-létrehozási folyamat részeként használjon Egy Azure-folyamatot vagy más automatizált munkafolyamatot a teszteléshez. Állítsa be a folyamatot úgy, hogy egy új virtuális gépet helyezzen üzembe a tesztek futtatásához minden hónap kezdete előtt. A teszteknek ellenőrizniük kell a pared képeket, mielőtt használat céljából közzétennénk őket. Automatizálhatja a teszteket egy tesztautomatizálási megoldással, vagy parancsok vagy kötegek futtatásával a virtuális gépen.
A gyakori tesztelési forgatókönyvek a következők:
- A virtuális gép rendszerindítási idejének ellenőrzése.
- A lemezkép testreszabásának megerősítése, például az operációs rendszer konfigurációs beállításai vagy az ügynöktelepítések.
A sikertelen tesztnek megszakítania kell a folyamatot. Ismételje meg a tesztet a probléma kiváltó okának kezelése után. Ha a tesztek probléma nélkül futnak, a tesztelési folyamat automatizálása csökkenti az örökzöld állapot fenntartására fordított erőfeszítést.
Aranylemezképek közzététele
Végleges rendszerképek közzététele a Compute Galleryben felügyelt rendszerképként vagy virtuális merevlemezként (VHD), amelyet a DevOps csapatai használhatnak. Jelölje meg a korábbi képeket elavultként. Ha még nem állított be élettartam-dátumot egy képverzióhoz a Compute Galleryben, érdemes lehet megszüntetni a legrégebbi rendszerképet. Ez a döntés a vállalat szabályzataitól függ.
A Számítási katalógus használatakor érvényes korlátokról a Rendszerképek tárolása és megosztása azure Compute-katalógusban című témakörben olvashat bővebben.
Egy másik jó gyakorlat a legújabb képek közzététele különböző régiókban. A Compute Gallery segítségével kezelheti a rendszerképek életciklusát és replikációját különböző Azure-régiókban.
A Számítási katalógusról további információt a Rendszerképek tárolása és megosztása egy Azure Compute-katalógusban című témakörben talál.
Aranyszínű képek frissítése
Amikor rendszerképet használ egy alkalmazáshoz, nehéz lehet frissíteni a mögöttes operációsrendszer-lemezképet a legutóbbi megfelelőségi módosításokkal. A szigorú üzleti követelmények bonyolíthatják a mögöttes virtuális gép frissítésének folyamatát. A frissítés akkor is összetett, ha a virtuális gép kritikus fontosságú a vállalat számára.
Mivel a szarvasmarha-kiszolgálók adagolhatók, a DevOps-csapatokkal együttműködve egy tervezett karbantartási időszakban frissítheti ezeket a kiszolgálókat a szokásos üzleti tevékenységként.
Nagyobb kihívást jelent a kisállat-kiszolgálók frissítése. A rendszerképek leállítása veszélyeztetheti az alkalmazásokat. A vertikális felskálázási forgatókönyvekben az Azure nem találja a megfelelő rendszerképeket, ami hibákat eredményez.
A kisállat-kiszolgálók frissítésekor vegye figyelembe az alábbi irányelveket:
Az ajánlott eljárásokért lásd: Az Azure Well-Architected Framework megbízhatósági pillérének áttekintése .
A folyamat egyszerűsítése érdekében tekintse meg azokat az alapelveket, amelyeket ezek a dokumentumok tárgyalnak:
Címkézze fel az egyes kisállat-kiszolgálókat kisállatként. Konfiguráljon egy szabályzatot Azure Policy, hogy figyelembe vegye ezt a címkét a frissítések során.
A láthatóság javítása
Általában Azure Policy kell használnia a vezérlősík megfelelőségi tevékenységeinek kezeléséhez. A Azure Policy a következő célokra is használható:
- Virtuális gép megfelelőségének nyomon követése.
- Azure-ügynökök telepítése.
- Diagnosztikai naplók rögzítése.
- A virtuális gépek megfelelőségének láthatóságának javítása.
A Azure Policy Azure Automanage Machine Configuration szolgáltatásával naplózhatja a rendszerkép testreszabása során végrehajtott konfigurációs módosításokat. Eltérés esetén az Azure Policy irányítópult nem megfelelőként sorolja fel az érintett virtuális gépet. Azure Policy a képtetoválási információk segítségével nyomon követheti, ha elavult képeket vagy operációs rendszereket használ.
Az egyes alkalmazások kisállat-kiszolgálóinak naplózása. Az Azure Policies naplózási hatással való használatával javíthatja a kiszolgálók láthatóságát. Állítsa be az auditfolyamatot a vállalat kockázati étvágyának és a belső kockázatkezelési folyamatoknak megfelelően.
Minden DevOps-csapat nyomon követheti az alkalmazások megfelelőségi szintjeit az Azure Policy irányítópulton, és megfelelő korrekciós műveleteket hajthat végre. Amikor hozzárendeli ezeket a szabályzatokat egy felügyeleti csoporthoz vagy előfizetéshez, adjon meg a hozzárendelés leírásának egy olyan URL-címet, amely egy vállalati szintű wikihez vezet. Használhat egy rövid URL-címet is, például aka.ms/policy-21
: . A wikiben sorolja fel azokat a lépéseket, amelyeket a DevOps-csapatoknak el kell végezniük a virtuális gépek megfelelővé tétele érdekében.
Az informatikai kockázatkezelők és a biztonsági tisztviselők az Azure Policy irányítópulton is kezelhetik a vállalati kockázatokat a vállalat kockázati étvágyának megfelelően.
A Azure Policy Azure Automanage Machine konfigurációs funkciójának szervizelési beállításokkal történő használatával automatikusan alkalmazhat korrekciós műveleteket. A virtuális gépek gyakori lekérdezése vagy az üzletileg kritikus alkalmazásokhoz használt virtuális gépeken végzett módosítások azonban csökkenthetik a teljesítményt. Gondosan tervezze meg a szervizelési műveleteket az éles számítási feladatokhoz. Adjon egy DevOps-csapatnak tulajdonjogot az alkalmazásmegfelelőséghez minden környezetben. Ez a megközelítés elengedhetetlen a kisállat-kiszolgálók és -környezetek esetében, amelyek általában hosszú távú Azure-összetevők.
Megfontolandó szempontok
Ezek a szempontok implementálják az Azure Well-Architected-keretrendszer alappilléreit, amelyek a számítási feladatok minőségének javítására használható alapvető szempontok. További információ: Microsoft Azure Well-Architected Framework.
Méretezhetőség
Konfigurálhatja az egyes rendszerképek Számítási katalógusban tárolt replikáinak számát. A replikák nagyobb száma minimalizálja a szabályozás kockázatát, ha egyszerre több virtuális gépet épít ki. A megfelelő számú replika skálázásával és konfigurálásával kapcsolatos általános útmutatásért lásd: Skálázás az Azure Compute-katalógushoz.
Rugalmasság
Ez a megoldás olyan felügyelt összetevőket használ, amelyek regionális szinten automatikusan rugalmasak. A rugalmas megoldások tervezésével kapcsolatos általános útmutatásért lásd: Rugalmas alkalmazások tervezése az Azure-hoz.
Költségoptimalizálás
A költségoptimalizálás célja a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjainak megvizsgálása. További információ: A költségoptimalizálási pillér áttekintése.
Ha nem használ olyan külső szolgáltatást, mint az Ansible vagy a Terraform, ez a megközelítés szinte ingyenes. A tárolási és kimenő forgalom költségei vonatkozhatnak. Az egyéb lehetséges díjak az alábbi összetevőket foglalják magukban:
Azure Policy és az Azure Automanage Machine konfigurációja ingyenes az Azure-erőforrásokhoz. Ha a vállalat hibrid megközelítést használ, további díjakat kell fizetnie az Azure Arc-erőforrásokért.
A nyilvános előzetes verzió időszakában a VM Image Builder egyetlen számítási példánytípust használ 1 virtuális processzorral és 3,5 GB RAM-mal. Az adattárolás és -átvitel díjköteles lehet.
A Számítási katalógusnak nincsenek díjai, kivéve:
- A replikák tárolásának költsége.
- A rendszerképek replikálásának hálózati kimenő díjai.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerző:
- Yunus Emre Alpozen | Programtervező
A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.
Következő lépések
- Azure-beli célzóna
- Az erőforrások vezérlése és naplózása az Azure Policyvel
- Azure VM Image Builder
- Azure Compute-katalógus
- Azure Policy és a szabályzat irányítópultja
- Az Azure Automanage gép konfigurációja