Szerkesztés

N szintű Windows-alkalmazás az Azure-on

Blob Storage
DNS
Load Balancer
Virtual Network
Virtual Machines

Ez a referenciaarchitektúra bemutatja, hogyan helyezhet üzembe virtuális gépeket (VM-eket) és egy N szintű alkalmazáshoz konfigurált virtuális hálózatot az adatréteghez tartozó Windows SQL Server használatával.

Architektúra

N szintű architektúra a Microsoft Azure használatával

Töltse le az architektúra Visio-fájlját.

Munkafolyamat

Az architektúra a következő összetevőket tartalmazza.

Általános kérdések

  • Erőforráscsoport. Az erőforráscsoportok az Azure-erőforrások csoportosítására szolgálnak, így azok az élettartam, a tulajdonos vagy más feltételek alapján kezelhetők.

  • Rendelkezésre állási zónák. A rendelkezésre állási zónák fizikai helyek egy Azure-régióban. Minden zóna egy vagy több adatközpontból áll, amely független áramellátással, hűtéssel és hálózatkezeléssel is üzemel. A virtuális gépek zónák közötti elhelyezésével az alkalmazás ellenállóbbá válik a zónán belüli hibákkal szemben.

Hálózatkezelés és terheléselosztás

  • Virtuális hálózat és alhálózatok. Minden Azure-beli virtuális gép egy olyan virtuális hálózatba van üzembe helyezve, amely alhálózatokra szegmentált. Hozzon létre egy külön alhálózatot minden egyes szinthez.

  • Application Gateway. Application Gateway egy 7. rétegbeli terheléselosztó. Ebben az architektúrában a HTTP-kéréseket a webes előtérre irányítja. Application Gateway egy webalkalmazási tűzfalat (WAF) is biztosít, amely megvédi az alkalmazást a gyakori biztonsági résektől és biztonsági résektől.

  • Terheléselosztók. Az Azure standard Load Balancer használatával elosztja a hálózati forgalmat a webes szintről az üzleti szintre, valamint az üzleti szintről a SQL Server.

  • Hálózati biztonsági csoportok (NSG-k). Az NSG-k használatával korlátozhatja a virtuális hálózaton belüli hálózati forgalmat. Az itt látható háromrétegű architektúrában például az adatbázisszint nem fogadja el a webes előtérről érkező forgalmat, csak az üzleti szintről és a felügyeleti alhálózatról.

  • DDoS Protection. Bár az Azure platform alapvető védelmet nyújt az elosztott szolgáltatásmegtagadási (DDoS) támadások ellen, javasoljuk az Azure DDoS Network Protection használatát, amely továbbfejlesztett DDoS-kockázatcsökkentési funkciókkal rendelkezik. Tekintse meg a biztonsági szempontokat.

  • Azure DNS. Az Azure DNS a DNS-tartományokhoz használható üzemeltetési szolgáltatás. A Microsoft Azure-infrastruktúrával biztosít névfeloldást. Ha tartományait az Azure-ban üzemelteti, DNS-rekordjait a többi Azure-szolgáltatáshoz is használt hitelesítő adatokkal, API-kkal, eszközökkel és számlázási információkkal kezelheti.

Virtual machines (Virtuális gépek)

  • SQL Server Always On rendelkezésre állási csoport. Magas rendelkezésre állást biztosít az adatszinten a replikáció és a feladatátvétel engedélyezésével. A feladatátvételhez a Windows Server Feladatátvevő fürt (WSFC) technológiáját használja.

  • (AD DS) Active Directory Domain Services-kiszolgálók A feladatátvevő fürt és a hozzá tartozó fürtözött szerepkörök számítógép-objektumai a Active Directory tartományi szolgáltatások (AD DS) szolgáltatásban jönnek létre.

  • Felhő tanúsító. A feladatátvevő fürtöknek a csomópontok több mint felét kell futtatniuk, ami kvórumként ismert. Ha a fürtnek csak két csomópontja van, egy hálózati partíció miatt az egyes csomópontok azt gondolhatják, hogy ez az elsődleges csomópont. Ebben az esetben egy tanúra van szüksége, aki megszakítja a kapcsolatot, és kvórumot hoz létre. A tanúsító egy erőforrás, például egy megosztott lemez, amely döntetlen megszakítóként működhet a kvórum létrehozásához. A Cloud Witness egy olyan tanúsító típus, amely Azure Blob Storage használ. A kvórum fogalmával kapcsolatos további információkért lásd: A fürt és a készlet kvórumának ismertetése. A Felhőbeli tanúsítóról további információt a Felhőbeli tanúsító üzembe helyezése feladatátvevő fürthöz című témakörben talál.

  • Jumpbox. Más néven bástyagazdagép. Hagyományosan egy biztonságos virtuális gép a hálózaton, amelyet a rendszergazdák a többi virtuális géphez való csatlakozáshoz használnak. A jumpbox olyan NSG-vel rendelkezik, amely csak a biztonságos elemek listáján szereplő nyilvános IP-címekről érkező távoli forgalmat engedélyezi. Az NSG-nek engedélyeznie kell a távoli asztali protokoll (RDP) forgalmát. Az Azure az Azure Bastion felügyelt megoldását kínálja, hogy megfeleljen ennek az igénynek.

Javaslatok

Az Ön követelményei eltérhetnek az itt leírt architektúrától. Ezeket a javaslatokat tekintse kiindulópontnak.

Virtual machines (Virtuális gépek)

A virtuális gépek konfigurálásával kapcsolatos javaslatokért lásd: Windows rendszerű virtuális gép futtatása az Azure-ban.

Virtuális hálózat

A virtuális hálózat létrehozásakor határozza meg, hogy az egyes alhálózatokon lévő erőforrások hány IP-címet igényelnek. Adjon meg egy alhálózati maszkot és egy olyan hálózati címtartományt, amely elég nagy a szükséges IP-címekhez a CIDR-jelölés használatával. Használjon a szabványos magánhálózati IP-címblokkokba eső címterületet. Ezek az IP-címblokkok a következők: 10.0.0.0/8, 172.16.0.0/12 és 192.168.0.0/16.

Olyan címtartományt válasszon, amely nem fedi át a helyszíni hálózatot, ha később be kell állítania egy átjárót a virtuális hálózat és a helyszíni hálózat között. A virtuális hálózat létrehozása után nem módosíthatja a címtartományt.

Az alhálózatokat a funkciók és a biztonsági követelmények szem előtt tartásával tervezze meg. Minden ugyanazon szinthez vagy szerepkörhöz tartozó virtuális gépnek egyazon alhálózaton kell lennie. Ez az alhálózat biztonsági korlátot is képezhet. A virtuális hálózatok és alhálózatok tervezésével kapcsolatos további információkért lásd: Azure Virtual Networks tervezése és tervezése.

Application Gateway

A Application Gateway konfigurálásáról további információt Application Gateway konfiguráció áttekintése című témakörben talál.

Terheléselosztók

Ne tegye közzé a virtuális gépeket közvetlenül az interneten, hanem adjon meg minden virtuális gépnek egy privát IP-címet. Az ügyfelek a Application Gateway társított nyilvános IP-cím használatával csatlakoznak.

Adja meg a terheléselosztó a virtuális gépek felé irányuló közvetlen hálózati forgalomra vonatkozó szabályait. Ha például engedélyezni szeretné a HTTP-forgalmat, rendelje le a 80-s portot az előtér-konfigurációból a háttércímkészlet 80-ra. Amikor egy ügyfél HTTP-kérelmet küld a 80-as port felé, a terheléselosztó kiválaszt egy háttérbeli IP-címet egy kivonatoló algoritmus használatával, amely tartalmazza a forrás IP-címét. Az ügyfélkérések a háttércímkészlet összes virtuális gépén el vannak osztva.

Network security groups (Hálózati biztonsági csoportok)

A szintek közötti forgalmat NSG-szabályokkal korlátozhatja. A fent látható háromrétegű architektúrában a webes szint nem kommunikál közvetlenül az adatbázisszinttel. A szabály kikényszerítéséhez az adatbázisszintnek blokkolnia kell a webes szintű alhálózat bejövő forgalmát.

  1. Tiltsa le a virtuális hálózatról érkező összes bejövő forgalmat. (A szabályban használja a VIRTUAL_NETWORK címkét.)
  2. Engedélyezze a bejövő forgalmat az üzleti szintű alhálózatról.
  3. Engedélyezze a bejövő forgalmat magáról az adatbázisszintű alhálózatról. Ez a szabály lehetővé teszi az adatbázis virtuális gépei közötti kommunikációt, amely az adatbázis-replikációhoz és a feladatátvételhez szükséges.
  4. Engedélyezze az RDP-forgalmat (3389-ös port) a jumpbox alhálózatáról. Ez lehetővé teszi, hogy a rendszergazdák csatlakozni tudjanak az adatbázisszinthez a jumpboxból.

Hozzon létre 2– 4. szabályt az első szabálynál magasabb prioritással, ezért felülbírálják.

SQL Server Always On rendelkezésre állási csoportok

Magas rendelkezésre állású SQL Server esetén az Always On rendelkezésre állási csoportok használatát javasoljuk. A Windows Server 2016-nál régebbi kiadásokban az Always On rendelkezésre állási csoportok tartományvezérlőt igényelnek, és a rendelkezésre állási csoport összes csomópontjának azonos AD-tartományban kell lennie.

A többi szint egy rendelkezésre állási csoport figyelőjén keresztül csatlakozik az adatbázishoz. A figyelő lehetővé teszi, hogy az SQL-ügyfél anélkül csatlakozzon, hogy ismerné az SQL-kiszolgáló fizikai példányának nevét. Az adatbázishoz hozzáférő virtuális gépeket csatlakozni kell a tartományhoz. Az ügyfél (ebben az esetben egy másik szint) DNS használatával oldja fel a figyelő virtuális hálózati nevét IP-címekké.

A SQL Server Always On rendelkezésre állási csoportot az alábbiak szerint konfigurálja:

  1. Hozzon létre egy Windows Server feladatátvételi fürtszolgáltatási (WSFC-) fürtöt, egy SQL Server Always On rendelkezésre állási csoportot és egy elsődleges replikát. További információ: Ismerkedés az Always On rendelkezésre állási csoportokkal.

  2. Hozzon létre egy belső terheléselosztót statikus magánhálózati IP-címmel.

  3. Hozzon létre egy figyelőt a rendelkezésre állási csoporthoz, és rendelje hozzá a figyelő DNS-nevét a belső terheléselosztó IP-címéhez.

  4. Hozzon létre egy terheléselosztó szabályt az SQL Server figyelőportjához (alapértelmezés szerint az 1433-as TCP-port). A terheléselosztó szabálynak engedélyeznie kell a nem fix IP-címek használatát, más néven a közvetlen kiszolgálói választ. Ezáltal a virtuális gép közvetlenül válaszol az ügyfélnek, és közvetlen kapcsolatot hozható létre az elsődleges replikával.

    Megjegyzés

    Ha a nem fix IP engedélyezve van, az előtérbeli portszámnak egyeznie kell a terheléselosztó szabály háttérbeli portszámával.

Ha egy SQL-ügyfél csatlakozni próbál, a terheléselosztó továbbítja az elsődleges replikának a kapcsolódási kérelmet. Ha feladatátvétel történik egy másik replikára, a terheléselosztó automatikusan átirányítja az új kéréseket egy új elsődleges replikára. További információ: ILB-figyelő konfigurálása SQL Server Always On rendelkezésre állási csoportokhoz.

A feladatátvétel során a meglévő ügyfélkapcsolatok lezárulnak. A feladatátvétel befejezése után a rendszer az új elsődleges replikára irányítja az új kapcsolatokat.

Ha az alkalmazás olvasási műveleteinek száma lényegesen több, mint az írási műveleteteké, a csak olvasási lekérdezések egy részét kiszervezheti egy másodlagos replikára. Lásd: Csak olvasási másodlagos replikához való csatlakozás figyelővel (csak olvasási útválasztás).

Kényszerítse a rendelkezésre állási csoport manuális feladatátvételét az üzemelő példány teszteléséhez.

Jumpbox

Ha virtuális gépeket futtat egy privát virtuális hálózaton, mint ebben az architektúrában, a virtuális gépeket hozzá kell férnie a szoftvertelepítéshez, a javításokhoz és így tovább. A gépek nyilvános internethez való akadálymentesítése azonban nem jó ötlet, mert jelentősen növeli a támadási felületet. Ehelyett a jumpboxot használják középső hozzáférési rétegként.

Korábban az ügyfél által felügyelt virtuális gép jumpboxként is használható. Ebben a forgatókönyvben a következő javaslatok érvényesek:

  • Ne engedélyezze az RDP-hozzáférést a nyilvános internetről az alkalmazás számítási feladatát futtató virtuális gépekhez. Ehelyett ezeknek a virtuális gépeknek minden RDP-hozzáférésnek át kell mennie a jumpboxon. Egy rendszergazda bejelentkezik a jumpboxba, majd bejelentkezik a másik virtuális gépre a jumpboxból. A jumpbox lehetővé teszi az RDP-forgalmat az internetről, de csak ismert, biztonságos IP-címekről.
  • A jumpbox minimális teljesítménykövetelményekkel rendelkezik, ezért válasszon egy kis virtuálisgép-méretet. Hozzon létre egy nyilvános IP-címet a jumpbox számára. Helyezze a jumpboxot ugyanabban a virtuális hálózatban, mint a többi virtuális gép, de egy külön felügyeleti alhálózatban.
  • A jumpbox biztonságossá tételéhez adjon hozzá egy NSG-szabályt, amely csak nyilvános IP-címek biztonságos készletéből engedélyezi az RDP-kapcsolatokat. Állítsa be az NSG-t a többi alhálózathoz is úgy, hogy engedélyezzék a felügyeleti alhálózatból érkező RDP-forgalmat.

Az ügyfél által felügyelt virtuális gépekre ezek a szabályok érvényesek. A jelenlegi javaslat azonban az Azure Bastion, egy felügyelt jumpbox-megoldás használata, amely html5-hozzáférést tesz lehetővé az RDP-hez vagy az SSH-hoz Azure AD védelem mögött. Ez egy sokkal egyszerűbb megoldás, amely végső soron alacsonyabb teljes bekerülési költséggel (TCO) jár az ügyfél számára.

Megfontolandó szempontok

Méretezhetőség

Méretezési csoportok

A webes és az üzleti szinteken fontolja meg a Virtual Machine Scale Sets használatát ahelyett, hogy különálló virtuális gépeket helyez üzembe. A méretezési csoportok megkönnyítik az azonos virtuális gépek halmazának üzembe helyezését és kezelését, valamint a virtuális gépek automatikus skálázását a teljesítménymetrikák alapján. Ahogy a terhelés növekszik a virtuális gépeken, a rendszer további virtuális gépeket ad a terheléselosztóhoz. Fontolja meg a méretezési csoportok használatát, ha virtuális gépek gyors horizontális felskálázására vagy automatikus méretezésre van szüksége.

A méretezési csoportokban üzembe helyezett virtuális gépek konfigurálásának két alapvető módja van:

  • Bővítmények használatával konfigurálhatja a virtuális gépet az üzembe helyezés után. Ezzel a módszerrel az új virtuálisgép-példányok indítása több időt vehet igénybe, mint a bővítmények nélküli virtuális gépeké.

  • Üzembe helyezhet egy felügyelt lemezt egy egyéni rendszerképpel. Ez a módszer gyorsabban kivitelezhető. Ehhez azonban naprakészen kell tartania a képet.

További információ: Méretezési csoportok tervezési szempontjai.

Tipp

Bármilyen automatikus méretezési megoldás használata esetén jóval előre tesztelje azt az éles környezetre jellemző mennyiségű számítási feladattal.

Előfizetés korlátai

Minden Azure-előfizetésre alapértelmezett korlátozások vonatkoznak. Ilyen például a régiónként alkalmazható virtuális gépek maximális száma. Támogatási kérelem kitöltésével megnövelheti ezt a korlátot. További információ: Azure-előfizetések és -szolgáltatások korlátai, kvótái és megkötései.

Application Gateway

Application Gateway támogatja a rögzített kapacitásmódot vagy az automatikus skálázási módot. A rögzített kapacitású mód az olyan forgatókönyvek esetén hasznos, amelyek konzisztens és kiszámítható számítási feladatokat alkalmaznak. Fontolja meg az automatikus skálázási mód használatát változó forgalommal rendelkező számítási feladatokhoz. További információ: Automatikus skálázás és zónaredundáns Application Gateway v2

Rendelkezésre állás

A rendelkezésre állási zónák egyetlen régióban biztosítják a legjobb rugalmasságot. Ha még magasabb rendelkezésre állásra van szüksége, fontolja meg az alkalmazás replikálását két régióban, az Azure Traffic Manager használatával a feladatátvételhez. További információ: Többrégiós N szintű alkalmazás a magas rendelkezésre állás érdekében.

Nem minden régió támogatja a rendelkezésre állási zónákat, és nem minden virtuálisgép-méret támogatott minden zónában. Futtassa a következő Azure CLI-parancsot az egyes virtuálisgép-méretek támogatott zónáinak régión belüli megkereséséhez:

az vm list-skus --resource-type virtualMachines --zone false --location <location> \
    --query "[].{Name:name, Zones:locationInfo[].zones[] | join(','@)}" -o table

Ha ezt az architektúrát olyan régióban helyezi üzembe, amely nem támogatja a rendelkezésre állási zónákat, helyezze az egyes szintek virtuális gépeit egy rendelkezésre állási csoportba. Az ugyanazon rendelkezésre állási csoportban lévő virtuális gépeket több fizikai kiszolgálóra, számítási állványra, tárolóegységre és hálózati kapcsolóra helyezik üzembe a redundancia érdekében. A méretezési csoportok automatikusan elhelyezési csoportokat használnak, amelyek implicit rendelkezésre állási csoportként működnek.

A rendelkezésre állási zónákban való üzembe helyezéskor használja a Azure Load Balancer standard termékváltozatát és a Application Gateway 2-s verziós termékváltozatát. Ezek a termékváltozatok támogatják a zónák közötti redundanciát. További információkért lásd:

Egyetlen Application Gateway üzembe helyezés az átjáró több példányát is futtathatja. Éles számítási feladatok esetén futtasson legalább két példányt.

Állapotminták

Application Gateway és Load Balancer egyaránt állapottesztekkel figyelik a virtuálisgép-példányok rendelkezésre állását.

  • Application Gateway mindig HTTP-mintavételt használ.
  • Load Balancer HTTP-t vagy TCP-t tesztelhet. Ha egy virtuális gép HTTP-kiszolgálót futtat, használjon HTTP-mintavételt. Ellenkező esetben használja a TCP-t.

Ha egy mintavétel egy időtúllépési időszakon belül nem tud elérni egy példányt, az átjáró vagy a terheléselosztó leállítja a forgalom küldését az adott virtuális gépre. A mintavétel továbbra is ellenőrzi, és visszaadja a virtuális gépet a háttérkészletnek, ha a virtuális gép ismét elérhetővé válik.

A HTTP-mintavételek HTTP GET-kérést küldenek egy megadott elérési útra, és figyelik a HTTP 200-választ. Ez az elérési út lehet a gyökérútvonal ("/"), vagy egy állapotmonitorozási végpont, amely egyéni logikát implementál az alkalmazás állapotának ellenőrzéséhez. A végpontnak engedélyeznie kell a névtelen HTTP-kérelmeket.

Az állapottesztekkel kapcsolatos további információkért lásd:

Az állapotadat-mintavételi végpont tervezésével kapcsolatos szempontokért lásd: Állapotvégpontok monitorozási mintája.

Költségoptimalizálás

Az Azure díjkalkulátorával megbecsülheti a költségeket. Íme néhány egyéb szempont.

Virtuálisgép-méretezési csoportok

A virtuálisgép-méretezési csoportok minden Windows rendszerű virtuálisgép-méretben elérhetők. Csak a telepített Azure-beli virtuális gépekért és a felhasznált további mögöttes infrastruktúra-erőforrásokért, például a tárolásért és a hálózatkezelésért kell fizetnie. A Virtual Machine Scale Sets szolgáltatásnak nincsenek növekményes díjai.

Az önálló virtuális gépek díjszabási lehetőségeiért lásd: Windows rendszerű virtuális gépek díjszabása

SQL Server

Ha Azure SQL DBaas lehetőséget választja, költségmegtakarítást érhet el, mert nem kell always on rendelkezésre állási csoportot és tartományvezérlő-gépeket konfigurálnia. Számos üzembe helyezési lehetőség létezik, kezdve az önálló adatbázistól a felügyelt példányig vagy a rugalmas készletekig. További információ: Azure SQL díjszabás.

Az SQL Server rendszerű virtuális gépek díjszabási lehetőségeiért lásd: SQL-alapú virtuális gépek díjszabása.

Terheléselosztók

Csak a konfigurált terheléselosztási és kimenő szabályok számáért kell fizetnie. A bejövő NAT-szabályok ingyenesek. Nincs óránkénti díj a standard Load Balancer, ha nincsenek szabályok konfigurálva.

További információért lásd a Microsoft Azure Well-Architected Framework költségekkel kapcsolatos részét.

Biztonság

A virtuális hálózatok forgalomelkülönítési határok az Azure-ban. Alapértelmezés szerint az egyik virtuális hálózat virtuális gépei nem tudnak közvetlenül kommunikálni egy másik virtuális hálózatban lévő virtuális gépekkel. A virtuális hálózatok közötti társviszony-létesítés használatával azonban explicit módon is csatlakoztathatja a virtuális hálózatokat.

NSG-k. Használjon hálózati biztonsági csoportokat (NSG-ket) az internetre és az internetről érkező forgalom korlátozásához. További információ: A Microsoft felhőszolgáltatásai és hálózati biztonság.

DMZ. Érdemes lehet hozzáadnia egy hálózati virtuális berendezést (network virtual appliance, NVA), hogy DMZ-t lehessen létrehozni az internet és az Azure-beli virtuális hálózat között. Az NVA egy általános kifejezés egy olyan virtuális berendezésre, amely hálózatokhoz kapcsolódó feladatokat lát el, például gondoskodik a tűzfalról, a csomagvizsgálatról, a naplózásról és az egyéni útválasztásról. További információkért lásd a DMZ az Azure és az internet közötti implementálásával foglalkozó témakört.

Titkosítás. Titkosíthatja az inaktív bizalmas adatokat, és az Azure Key Vaulttal kezelheti az adatbázis titkosítási kulcsait. A Key Vault képes a hardveres biztonsági modulok (HSM-ek) titkosítási kulcsainak tárolására. További információkért lásd: Configure Azure Key Vault Integration for SQL Server on Azure VMs Az Azure Key Vault-integráció konfigurálása az SQL Serverhez Azure virtuális gépeken. Azt is javasoljuk, hogy az alkalmazás titkos kulcsait, például az adatbázis-kapcsolati sztringeket Key Vault tárolja.

DDoS protection. Az Azure platform alapértelmezés szerint alapszintű DDoS-védelmet biztosít. Ez az alapvető védelem az Azure-infrastruktúra egészének védelmét célozza. Bár az alapszintű DDoS-védelem automatikusan engedélyezve van, javasoljuk az Azure DDoS Network Protection használatát. A Network Protection adaptív hangolást használ az alkalmazás hálózati forgalmi mintái alapján a fenyegetések észleléséhez. Ez lehetővé teszi, hogy kockázatcsökkentéseket alkalmazzon az infrastruktúraszintű DDoS-szabályzatok által nem észlelt DDoS-támadásokkal szemben. A Network Protection riasztásokat, telemetriát és elemzéseket is biztosít az Azure Monitoron keresztül. További információ: Azure DDoS Protection: Ajánlott eljárások és referenciaarchitektúrák.

Működésbeli kiválóság

Mivel az összes fő erőforrás és függősége ugyanabban a virtuális hálózatban található ebben az architektúrában, ugyanabban az alapszintű számítási feladatban vannak elkülönítve. Ez megkönnyíti a számítási feladat adott erőforrásainak csapathoz való társítását, hogy a csapat egymástól függetlenül kezelhesse az erőforrások minden aspektusát. Ez az elkülönítés lehetővé teszi, hogy a DevOps folyamatos integrációt és folyamatos teljesítést (CI/CD) végezzen.

Emellett különböző üzembehelyezési sablonokat is használhat, és integrálhatja őket az Azure DevOps Services szolgáltatással a különböző környezetek percek alatt történő kiépítéséhez, például az éles környezetekhez hasonló forgatókönyvek replikálásához vagy a terheléstesztelési környezetek csak szükség esetén történő replikálásához, így költségmegtakarítást érhet el.

Ebben a forgatókönyvben a virtuális gépek virtuálisgép-bővítmények használatával vannak konfigurálva, mivel lehetővé teszik bizonyos további szoftverek, például kártevők és biztonsági ügynökök telepítését. A virtuálisgép-bővítmények telepítése és végrehajtása csak a virtuális gép létrehozásakor történik. Ez azt jelenti, hogy ha az operációs rendszer helytelenül lesz konfigurálva egy későbbi szakaszban, manuális beavatkozásra lesz szükség ahhoz, hogy visszaállítsa a megfelelő állapotba.

Ebben az architektúrában a konfigurációkezelő eszközök, különösen a Desired State Configuration (DSC) az Active Directory és egy SQL Server Always On rendelkezésre állási csoport konfigurálására szolgálnak.

Érdemes az Azure Monitor használatával elemezni és optimalizálni az infrastruktúra teljesítményét, valamint monitorozni és diagnosztizálni a hálózati problémákat a virtuális gépekre való bejelentkezés nélkül. Az Application Insights valójában az Azure Monitor egyik összetevője, amely részletes metrikákat és naplókat biztosít a teljes Azure-környezet állapotának ellenőrzéséhez. Az Azure Monitor segítséget nyújt az infrastruktúra állapotának követésében.

Ügyeljen arra, hogy ne csak az alkalmazáskódot támogató számítási elemeket, hanem az adatplatformot, különösen az adatbázisokat is monitorozza, mivel az alkalmazás adatrétegének alacsony teljesítménye súlyos következményekkel járhat.

Annak az Azure-környezetnek a teszteléséhez, ahol az alkalmazások futnak, verzióvezéreltnek kell lennie, és az alkalmazáskóddal megegyező mechanizmusokkal kell üzembe helyezni, majd a DevOps tesztelési paradigmáival is tesztelhető és ellenőrizhető.

További információkért lásd az Azure Well-Architected Framework Működési kiválóság című szakaszát.

Következő lépések