Condividi tramite


Prospettiva di Azure Well-Architected Framework in Macchine virtuali e set di scalabilità

Azure Macchine virtuali è un tipo di servizio di calcolo che è possibile usare per creare ed eseguire macchine virtuali (VM) nella piattaforma Azure. Offre flessibilità in SKU, sistemi operativi e configurazioni diversi con vari modelli di fatturazione.

Questo articolo presuppone che come architetto sia stato esaminato l'albero delle decisioni di calcolo e che sia stato scelto Macchine virtuali come servizio di calcolo per il carico di lavoro. Le linee guida contenute in questo articolo forniscono indicazioni sull'architettura mappate ai principi dei pilastri di Azure Well-Architected Framework.

Importante

Come usare questa guida

Ogni sezione include un elenco di controllo di progettazione che presenta aree di interesse per l'architettura insieme alle strategie di progettazione localizzate nell'ambito della tecnologia.

Sono incluse anche raccomandazioni sulle funzionalità tecnologiche che possono aiutare a materializzare tali strategie. Le raccomandazioni non rappresentano un elenco completo di tutte le configurazioni disponibili per Macchine virtuali e le relative dipendenze. Elencano invece le raccomandazioni principali mappate alle prospettive di progettazione. Usare i consigli per compilare il concetto di prova o ottimizzare gli ambienti esistenti.

Architettura di base che illustra le raccomandazioni principali: Macchine virtuali architettura di base.

Ambito tecnologico

Questa revisione è incentrata sulle decisioni correlate per le risorse di Azure seguenti:

  • Macchine virtuali

  • Set di scalabilità delle macchine virtuali di Azure

  • Dischi

    I dischi sono una dipendenza critica per le architetture basate su VM. Per altre informazioni, vedere Dischi e ottimizzazione.

Affidabilità

Lo scopo del pilastro Affidabilità è quello di offrire funzionalità continue creando sufficienti resilienza e la capacità di ripristinare rapidamente gli errori.

I principi di progettazione di affidabilità forniscono una strategia di progettazione di alto livello applicata per singoli componenti, flussi di sistema e il sistema nel suo complesso.

Elenco di controllo della progettazione

Avviare la strategia di progettazione in base all'elenco di controllo di revisione della progettazione per Affidabilità. Determinare la pertinenza dei requisiti aziendali tenendo presente gli SKU e le funzionalità delle macchine virtuali e delle relative dipendenze. Estendere la strategia per includere più approcci in base alle esigenze.

  • Esaminare Macchine virtuali quote e limiti che potrebbero presentare restrizioni di progettazione. Le macchine virtuali hanno limiti e quote specifiche, che variano in base al tipo di macchina virtuale o all'area. Potrebbero esserci restrizioni di sottoscrizione, ad esempio il numero di macchine virtuali per sottoscrizione o il numero di core per macchina virtuale. Se altri carichi di lavoro condividono la sottoscrizione, la possibilità di usare i dati potrebbe essere ridotta. Controllare i limiti per le macchine virtuali, i set di scalabilità di macchine virtuali e i dischi gestiti.

  • Eseguire un'analisi della modalità di errore per ridurre al minimo i punti di errore analizzando le interazioni con le macchine virtuali con i componenti di rete e archiviazione. Scegliere configurazioni come dischi del sistema operativo (OS) per localizzare l'accesso al disco ed evitare hop di rete. Aggiungere un servizio di bilanciamento del carico per migliorare la conservazione automatica distribuendo il traffico di rete tra più macchine virtuali, che migliora la disponibilità e l'affidabilità.

  • Calcolare gli obiettivi a livello di servizio compositi in base ai contratti di servizio di Azure (CONTRATTI di servizio) . Assicurarsi che SLO non sia superiore ai contratti di servizio di Azure per evitare aspettative non realistiche e potenziali problemi.

    Tenere presente le complessità introdotte dalle dipendenze. Ad esempio, alcune dipendenze, ad esempio reti virtuali e schede di interfaccia di rete ,non hanno contratti di servizio personalizzati. Altre dipendenze, ad esempio un disco dati associato, dispongono di contratti di servizio che si integrano con i contratti di servizio della macchina virtuale. È consigliabile considerare queste varianti perché possono influire sulle prestazioni e sull'affidabilità della macchina virtuale.

    Fattore nelle dipendenze critiche delle macchine virtuali nei componenti come dischi e componenti di rete. Se si comprendono queste relazioni, è possibile determinare i flussi critici che influiscono sull'affidabilità.

  • Creare l'isolamento dello stato. I dati del carico di lavoro devono trovarsi in un disco dati separato per impedire l'interferenza con il disco del sistema operativo. Se una macchina virtuale ha esito negativo, è possibile creare un nuovo disco del sistema operativo con lo stesso disco dati, che garantisce la resilienza e l'isolamento degli errori. Per altre informazioni, vedere Dischi del sistema operativo temporanei.

  • Rendere ridondanti le macchine virtuali e le relative dipendenze tra le zone. Se una macchina virtuale ha esito negativo, il carico di lavoro deve continuare a funzionare a causa della ridondanza. Includere le dipendenze nelle scelte di ridondanza. Ad esempio, usare le opzioni di ridondanza predefinite disponibili con dischi. Usare indirizzi IP con ridondanza della zona per garantire la disponibilità dei dati e il tempo di attività elevato.

  • Essere pronti a aumentare e aumentare la scalabilità per evitare la riduzione del livello di servizio e per evitare errori. set di scalabilità di macchine virtuali hanno funzionalità di scalabilità automatica che creano nuove istanze in base alle esigenze e distribuiscono il carico tra più macchine virtuali e zone di disponibilità.

  • Esplorare le opzioni di ripristino automatico. Azure supporta il monitoraggio della riduzione dell'integrità e le funzionalità di auto-guarigione per le macchine virtuali. Ad esempio, i set di scalabilità forniscono riparazioni automatiche dell'istanza. Negli scenari più avanzati, la correzione automatica comporta l'uso di Azure Site Recovery, la presenza di uno standby passivo per eseguire il failover o ridistribuire dall'infrastruttura come codice (IaC). Il metodo scelto deve essere allineato ai requisiti aziendali e alle operazioni aziendali. Per altre informazioni, vedere Interruzioni del servizio vm.

  • Diritti delle macchine virtuali e delle relative dipendenze. Comprendere il lavoro previsto della macchina virtuale per assicurarsi che non sia sottodimensionato e possa gestire il carico massimo. Avere una capacità aggiuntiva per attenuare gli errori.

  • Creare un piano di ripristino di emergenza completo. La preparazione alle emergenze comporta la creazione di un piano completo e la decisione su una tecnologia per il ripristino.

    Le dipendenze e i componenti con stato, ad esempio l'archiviazione associata, possono complicare il ripristino. Se i dischi vengono disattivati, tale errore influisce sul funzionamento della macchina virtuale. Includere un processo chiaro per queste dipendenze nei piani di ripristino.

  • Eseguire operazioni con rigore. Le scelte di progettazione dell'affidabilità devono essere supportate da operazioni efficaci in base ai principi di monitoraggio, test di resilienza nell'ambiente di produzione, patch e aggiornamenti delle macchine virtuali automatizzate e coerenza delle distribuzioni. Per indicazioni operative, vedere Eccellenza operativa.

Consigli

Recommendation Vantaggi
(Set di scalabilità) Usare set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile per distribuire macchine virtuali. Verifica futura dell'applicazione per il ridimensionamento e sfruttare le garanzie di disponibilità elevata che distribuiscono le macchine virtuali tra domini di errore in un'area o in una zona di disponibilità.
(macchine virtuali) Implementare gli endpoint di calore che generano lo stato di integrità dell'istanza nelle macchine virtuali.

(Set di scalabilità) Abilitare le riparazioni automatiche nel set di scalabilità specificando l'azione di riparazione preferita.
È consigliabile impostare un intervallo di tempo durante il quale le riparazioni automatiche si sospendono se lo stato della macchina virtuale cambia.
Mantenere la disponibilità anche se un'istanza è considerata non integra. Le riparazioni automatiche avviano il ripristino sostituendo l'istanza difettosa.

L'impostazione di un intervallo di tempo può impedire operazioni di riparazione inavvertita o prematura.
(Set di scalabilità) Abilitare il overprovisioning nei set di scalabilità. L'overprovisioning riduce i tempi di distribuzione e offre un vantaggio di costo perché le macchine virtuali aggiuntive non vengono fatturate.
(Set di scalabilità) Consenti l'orchestrazione flessibile per distribuire le istanze della macchina virtuale tra più domini di errore possibili. Questa opzione isola i domini di errore. Durante i periodi di manutenzione, quando viene aggiornato un dominio di errore, le istanze della macchina virtuale sono disponibili negli altri domini di errore.
(Set di scalabilità) Distribuire tra zone di disponibilità in set di scalabilità . Configurare almeno due istanze in ogni zona.
Il bilanciamento della zona distribuisce equamente le istanze tra le zone.
Le istanze della macchina virtuale vengono sottoposte a provisioning in posizioni separate fisicamente all'interno di ogni area di Azure a tolleranza agli errori locali.
Tenere presente che, a seconda della disponibilità delle risorse, potrebbe verificarsi un numero non uniforme di istanze tra zone. Il bilanciamento della zona supporta la disponibilità assicurandosi che, se una zona è inattiva, le altre zone hanno istanze sufficienti.
Due istanze in ogni zona forniscono un buffer durante gli aggiornamenti.
(macchine virtuali) Sfruttare la funzionalità di prenotazione della capacità. La capacità è riservata all'uso e è disponibile nell'ambito dei contratti di servizio applicabili. È possibile eliminare le prenotazioni di capacità quando non sono più necessarie e la fatturazione è basata sul consumo.

Suggerimento

Per altre informazioni sull'affidabilità per le macchine virtuali, vedere Affidabilità in Macchine virtuali.

Sicurezza

Lo scopo del pilastro Sicurezza è fornire garanzie di riservatezza, integrità e disponibilità al carico di lavoro.

I principi di progettazione della sicurezza forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi applicando approcci alla progettazione tecnica di Macchine virtuali.

Elenco di controllo della progettazione

Avviare la strategia di progettazione in base all'elenco di controllo della revisione della progettazione per la sicurezza. Identificare le vulnerabilità e i controlli per migliorare il comportamento di sicurezza. Estendere la strategia per includere più approcci in base alle esigenze.

  • Esaminare le baseline di sicurezza per macchine virtuali Linux e Windows e set di scalabilità di macchine virtuali.

    Come parte delle scelte di tecnologia di base, prendere in considerazione le funzionalità di sicurezza degli SKU delle macchine virtuali che supportano il carico di lavoro.

  • Assicurarsi di applicare patch e aggiornamenti di sicurezza tempestivi e automatizzati. Assicurarsi che gli aggiornamenti vengano implementati e convalidati automaticamente usando un processo ben definito. Usare una soluzione come Automazione di Azure per gestire gli aggiornamenti del sistema operativo e mantenere la conformità alla sicurezza eseguendo aggiornamenti critici.

  • Identificare le macchine virtuali che contengono lo stato. Assicurarsi che i dati siano classificati in base alle etichette di riservatezza fornite dall'organizzazione. Proteggere i dati usando controlli di sicurezza come livelli appropriati di crittografia inattivi e in transito. Se si dispone di requisiti di riservatezza elevati, è consigliabile usare controlli di sicurezza elevata come la doppia crittografia e il calcolo riservato di Azure per proteggere i dati in uso.

  • Fornire la segmentazione alle macchine virtuali e ai set di scalabilità impostando limiti di rete e controlli di accesso. Inserire macchine virtuali nei gruppi di risorse che condividono lo stesso ciclo di vita.

  • Applicare i controlli di accesso alle identità che tentano di raggiungere le macchine virtuali e anche alle macchine virtuali che raggiungono altre risorse. Usare Microsoft Entra ID per le esigenze di autenticazione e autorizzazione. Inserire password complesse, autenticazione a più fattori e controllo degli accessi in base al ruolo (RBAC) per le macchine virtuali e le relative dipendenze, ad esempio i segreti, per consentire alle identità consentite di eseguire solo le operazioni previste per i propri ruoli.

    Limitare l'accesso alle risorse in base alle condizioni usando Microsoft Entra accesso condizionale. Definire i criteri condizionali in base alla durata e al set minimo di autorizzazioni necessarie.

  • Usare i controlli di rete per limitare il traffico in ingresso e in uscita. Isolare le macchine virtuali e i set di scalabilità in Azure Rete virtuale e definire i gruppi di sicurezza di rete per filtrare il traffico. Proteggere da attacchi DDoS (Distributed Denial of Service). Usare i servizi di bilanciamento del carico e le regole del firewall per proteggere da attacchi di esfiltrazione del traffico dannoso e di esfiltrazione dei dati.

    Usare Azure Bastion per fornire connettività sicura alle macchine virtuali per l'accesso operativo.

    La comunicazione verso e dalle macchine virtuali alla piattaforma come servizio (PaaS) deve essere su endpoint privati.

  • Ridurre la superficie di attacco grazie alla protezione avanzata delle immagini del sistema operativo e alla rimozione di componenti inutilizzati. Usare immagini più piccole e rimuovere file binari non necessari per eseguire il carico di lavoro. Restringere le configurazioni delle macchine virtuali rimuovendo le funzionalità, ad esempio account e porte predefinite, che non è necessario.

  • Proteggere i segreti , ad esempio i certificati necessari per proteggere i dati in transito. È consigliabile usare l'estensione azure Key Vault per Windows o Linux che aggiorna automaticamente i certificati archiviati in un insieme di credenziali delle chiavi. Quando rileva una modifica nei certificati, l'estensione recupera e installa i certificati corrispondenti.

  • Rilevamento delle minacce. Monitorare le macchine virtuali per le minacce e le configurazioni non configurate. Usare Defender per i server per acquisire le modifiche della macchina virtuale e del sistema operativo e mantenere un audit trail di accesso, nuovi account e modifiche nelle autorizzazioni.

  • Prevenzione delle minacce. Proteggere da attacchi malware e attori malintenzionati implementando controlli di sicurezza come firewall, software antivirus e sistemi di rilevamento delle intrusioni. Determinare se è necessario un ambiente di esecuzione attendibile ( TEE).

Consigli

Recommendation Vantaggi
(Set di scalabilità) Assegnare un'identità gestita ai set di scalabilità. Tutte le macchine virtuali nel set di scalabilità ottengono la stessa identità tramite il profilo di macchina virtuale specificato.

(macchine virtuali) È anche possibile assegnare un'identità gestita a singole macchine virtuali quando vengono create e quindi aggiungerle a un set di scalabilità, se necessario.
Quando le macchine virtuali comunicano con altre risorse, superano un limite di attendibilità. I set di scalabilità e le macchine virtuali devono autenticare l'identità prima che sia consentita la comunicazione. Microsoft Entra ID gestisce l'autenticazione usando identità gestite.
(Set di scalabilità) Scegliere SKU vm con funzionalità di sicurezza.
Ad esempio, alcuni SKU supportano la crittografia BitLocker e il calcolo riservato fornisce la crittografia dei dati in uso.
Esaminare le funzionalità per comprendere le limitazioni.
Le funzionalità fornite da Azure si basano su segnali acquisiti in molti tenant e possono proteggere le risorse meglio dei controlli personalizzati. È anche possibile usare i criteri per applicare tali controlli.
(macchine virtuali, set di scalabilità) Applicare i tag consigliati dall'organizzazione nelle risorse di cui è stato effettuato il provisioning. L'assegnazione di tag è un modo comune per segmentare e organizzare le risorse e può essere fondamentale durante la gestione degli eventi imprevisti. Per altre informazioni, vedere Scopo della denominazione e dell'assegnazione di tag.
(macchine virtuali, set di scalabilità) Impostare un profilo di sicurezza con le funzionalità di sicurezza che si desidera abilitare nella configurazione della macchina virtuale.
Ad esempio, quando si specifica la crittografia nell'host nel profilo, i dati archiviati nell'host della macchina virtuale vengono crittografati inattivi e i flussi vengono crittografati nel servizio di archiviazione.
Le funzionalità nel profilo di sicurezza vengono abilitate automaticamente al momento della creazione della macchina virtuale.
Per altre informazioni, vedere Baseline di sicurezza di Azure per set di scalabilità di macchine virtuali.
(macchine virtuali) Scegliere opzioni di rete sicure per il profilo di rete della macchina virtuale.

Non associare direttamente indirizzi IP pubblici alle macchine virtuali e non abilitare l'inoltro IP.

Assicurarsi che tutte le interfacce di rete virtuale abbiano un gruppo di sicurezza di rete associato.
È possibile impostare i controlli di segmentazione nel profilo di rete.
Gli utenti malintenzionati analizzano gli indirizzi IP pubblici, che rendono le macchine virtuali vulnerabili alle minacce.
(macchine virtuali) Scegliere opzioni di archiviazione sicure per il profilo di archiviazione della macchina virtuale.

Abilitare la crittografia dei dischi e la crittografia dei dati inattivi per impostazione predefinita. Disabilitare l'accesso alla rete pubblica ai dischi della macchina virtuale.
La disabilitazione dell'accesso alla rete pubblica consente di impedire l'accesso non autorizzato ai dati e alle risorse.
(macchine virtuali, set di scalabilità) Includere estensioni nelle macchine virtuali che proteggono dalle minacce.
Ad esempio,
- estensione Key Vault per Windows e Linux
- autenticazione Microsoft Entra ID
- Microsoft Antimalware per Azure Servizi cloud e Macchine virtuali
- Estensione Crittografia dischi di Azure per Windows e Linux.
Le estensioni vengono usate per avviare il bootstrap delle macchine virtuali con il software appropriato che protegge l'accesso alle macchine virtuali e dalle macchine virtuali.
Le estensioni fornite da Microsoft vengono aggiornate frequentemente per mantenere aggiornati gli standard di sicurezza in evoluzione.

Ottimizzazione dei costi

L'ottimizzazione dei costi è incentrata sul rilevamento di modelli di spesa, sulla priorità degli investimenti in aree critiche e sull'ottimizzazione in altri utenti per soddisfare i requisiti aziendali dell'organizzazione.

I principi di progettazione dell'ottimizzazione dei costi forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi e rendere i compromessi in base alle esigenze nella progettazione tecnica correlata alla Macchine virtuali e al relativo ambiente.

Elenco di controllo della progettazione

Avviare la strategia di progettazione in base all'elenco di controllo della revisione della progettazione per l'ottimizzazione dei costi per gli investimenti. Ottimizzare la progettazione in modo che il carico di lavoro sia allineato al budget allocato per il carico di lavoro. La progettazione deve usare le funzionalità di Azure appropriate, monitorare gli investimenti e trovare opportunità per ottimizzare nel tempo.

  • Stimare i costi realistici. Usare il calcolatore dei prezzi per stimare i costi delle macchine virtuali. Identificare la macchina virtuale migliore per il carico di lavoro usando il selettore vm. Per altre informazioni, vedere Prezzi di Linux e Windows .

  • Implementare i guardrail dei costi. Usare i criteri di governance per limitare i tipi di risorse, le configurazioni e le posizioni. Usare il controllo degli accessi in base al ruolo per bloccare le azioni che possono causare l'overspending.

  • Scegliere le risorse appropriate. La selezione delle dimensioni del piano di macchina virtuale e degli SKU influisce direttamente sul costo complessivo. Scegliere macchine virtuali in base alle caratteristiche del carico di lavoro. La CPU del carico di lavoro è intensivo o esegue processi interrompibili? Ogni SKU ha opzioni del disco associate che influiscono sul costo complessivo.

  • Scegliere le funzionalità appropriate per le risorse dipendenti. Risparmiare sui costi di archiviazione di backup per il livello standard dell'insieme di credenziali usando Backup di Azure archiviazione con capacità riservata. Offre uno sconto quando si esegue il commit di una prenotazione per un anno o tre anni.

    Il livello di archiviazione in Archiviazione di Azure è un livello offline ottimizzato per l'archiviazione dei dati BLOB a cui si accede raramente. Il livello di archiviazione offre i costi di archiviazione più bassi, ma i costi di recupero e la latenza dei dati più elevati rispetto ai livelli online ad accesso frequente e sporadico.

    È consigliabile usare la zona per il ripristino di emergenza per le macchine virtuali da ripristinare dall'errore del sito riducendo la complessità della disponibilità usando i servizi con ridondanza della zona. Possono essere offerti vantaggi dal costo della complessità operativa ridotta.

  • Scegliere il modello di fatturazione corretto. Valutare se i modelli basati sull'impegno per l'elaborazione ottimizzano i costi in base ai requisiti aziendali del carico di lavoro. Prendere in considerazione queste opzioni di Azure:

    • Prenotazioni di Azure: pagamento anticipato per carichi di lavoro prevedibili per ridurre i costi rispetto ai prezzi basati su consumo.

      Importante

      Acquistare istanze riservate per ridurre i costi di Azure per i carichi di lavoro con utilizzo stabile. Gestire l'utilizzo per assicurarsi di non pagare più risorse rispetto all'uso. Mantenere le istanze riservate semplici e mantenere basso il sovraccarico di gestione per ridurre i costi.

    • Piano di risparmio: se si esegue il commit di una spesa oraria fissa per i servizi di calcolo per uno o tre anni, questo piano può ridurre i costi.
    • Vantaggio Azure Hybrid: salvare quando si esegue la migrazione delle macchine virtuali locali ad Azure.
  • Monitorare l'utilizzo. Monitorare continuamente i modelli di utilizzo e rilevare macchine virtuali inutilizzate o sottoutilizzate. Per queste istanze, arrestare le istanze della macchina virtuale quando non sono in uso. Il monitoraggio è un approccio fondamentale dell'eccellenza operativa. Per altre informazioni, vedere le raccomandazioni in Eccellenza operativa.

  • Cercare modi per ottimizzare. Alcune strategie includono la scelta dell'approccio più conveniente tra l'aumento delle risorse in un sistema esistente o il ridimensionamento e l'aggiunta di altre istanze di tale sistema o la scalabilità orizzontale. È possibile scaricare la domanda di offload distribuendola ad altre risorse oppure è possibile ridurre la domanda implementando code di priorità, offload del gateway, buffering e limitazione della frequenza. Per altre informazioni, vedere le raccomandazioni in Efficienza delle prestazioni.

Consigli

Recommendation Vantaggi
(macchine virtuali, set di scalabilità) Scegliere le dimensioni e lo SKU corretti del piano di macchina virtuale. Identificare le dimensioni migliori della macchina virtuale per il carico di lavoro.
Usare il selettore di macchine virtuali per identificare la macchina virtuale migliore per il carico di lavoro. Vedere Prezzi di Windows e Linux .

Per i carichi di lavoro come processi di elaborazione batch altamente paralleli che possono tollerare alcune interruzioni, prendere in considerazione l'uso di Azure Spot Macchine virtuali. Le macchine virtuali spot sono valide per l'esperimento, lo sviluppo e il test di soluzioni su larga scala.
GLI SKU vengono prezzi in base alle funzionalità offerte. Se non sono necessarie funzionalità avanzate, non sovraspendare gli SKU.

Individuare le macchine virtuali sfruttano la capacità in eccedenza in Azure con un costo inferiore.
(macchine virtuali, set di scalabilità) Valutare le opzioni del disco associate agli SKU della macchina virtuale.
Determinare le esigenze di prestazioni tenendo presente le esigenze di capacità di archiviazione e la contabilità per i modelli di carico di lavoro variabili.
Ad esempio, il disco SSD Premium di Azure v2 consente di regolare in modo granulare le prestazioni indipendentemente dalle dimensioni del disco.
Alcuni tipi di dischi ad alte prestazioni offrono funzionalità e strategie di ottimizzazione dei costi aggiuntive.
La funzionalità di regolazione del disco SSD Premium v2 può ridurre i costi perché offre prestazioni elevate senza sovraprovisioning, che potrebbero altrimenti causare risorse sottoutilizzate.
(Set di scalabilità) Combinare macchine virtuali regolari con macchine virtuali spot.
L'orchestrazione flessibile consente di distribuire macchine virtuali spot in base a una percentuale specificata.
Ridurre i costi dell'infrastruttura di calcolo applicando gli sconti profondi delle macchine virtuali spot.
(Set di scalabilità) Ridurre il numero di istanze della macchina virtuale quando la domanda diminuisce.
Impostare un criterio di scalabilità in base ai criteri.

Arrestare le macchine virtuali durante le ore di off-hours. È possibile usare la funzionalità Automazione di Azure Start/Stop e configurarla in base alle esigenze aziendali.
Il ridimensionamento o l'arresto delle risorse quando non sono in uso riduce il numero di macchine virtuali in esecuzione nel set di scalabilità, che consente di risparmiare sui costi.
La funzionalità Start/Stop è un'opzione di automazione a basso costo.
(macchine virtuali, set di scalabilità) Sfruttare la mobilità delle licenze usando Vantaggio Azure Hybrid. Le macchine virtuali dispongono di un'opzione di licenza che consente di portare le licenze del sistema operativo Windows Server locali ad Azure.
Vantaggio Azure Hybrid consente anche di portare alcune sottoscrizioni Linux ad Azure.
È possibile ottimizzare le licenze locali mentre si ottengono i vantaggi del cloud.

Eccellenza operativa

L'eccellenza operativa si concentra principalmente sulle procedure per le procedure di sviluppo, l'osservabilità e la gestione delle versioni.

I principi di progettazione dell'eccellenza operativa forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi per i requisiti operativi del carico di lavoro.

Elenco di controllo della progettazione

Avviare la strategia di progettazione in base all'elenco di controllo della revisione della progettazione per l'eccellenza operativa per definire i processi per l'osservabilità, i test e la distribuzione correlati ai set di Macchine virtuali e di scalabilità.

  • Monitorare le istanze della macchina virtuale. Raccogliere log e metriche dalle istanze della macchina virtuale per monitorare l'utilizzo delle risorse e misurare l'integrità delle istanze. Alcune metriche comuni includono l'utilizzo della CPU, il numero di richieste e la latenza di input/output (I/O). Configurare gli avvisi di Monitoraggio di Azure per ricevere notifiche sui problemi e per rilevare le modifiche di configurazione nell'ambiente.

  • Monitorare l'integrità delle macchine virtuali e delle relative dipendenze.

    • Distribuire i componenti di monitoraggio per raccogliere log e metriche che offrono una visualizzazione completa dei dati di diagnostica delle macchine virtuali, del sistema operativo guest e dell'avvio. set di scalabilità di macchine virtuali roll up telemetria, che consente di visualizzare le metriche di integrità a un singolo livello di macchina virtuale o come aggregazione. Usare Monitoraggio di Azure per visualizzare questi dati per macchina virtuale o aggregati in più macchine virtuali. Per altre informazioni, vedere Raccomandazioni sugli agenti di monitoraggio.
    • Sfruttare i componenti di rete che controllano lo stato di integrità delle macchine virtuali. Ad esempio, Azure Load Balancer ping le macchine virtuali per rilevare macchine virtuali non integre e reindirizzare di conseguenza il traffico.
    • Configurare le regole di avviso di Monitoraggio di Azure. Determinare condizioni importanti nei dati di monitoraggio per identificare e risolvere i problemi prima di influire sul sistema.
  • Creare un piano di manutenzione che include l'applicazione regolare delle patch di sistema come parte delle operazioni di routine. Includere processi di emergenza che consentono l'applicazione di patch immediata. È possibile disporre di processi personalizzati per gestire l'applicazione di patch o delegare parzialmente l'attività ad Azure. Azure offre funzionalità per la manutenzione di singole macchine virtuali. È possibile configurare le finestre di manutenzione per ridurre al minimo le interruzioni durante gli aggiornamenti. Durante gli aggiornamenti della piattaforma, le considerazioni sul dominio di errore sono fondamentali per la resilienza. È consigliabile distribuire almeno due istanze in una zona. Due macchine virtuali per zona garantiscono un minimo di una macchina virtuale in ogni zona perché un solo dominio di errore in una zona viene aggiornato alla volta. Quindi, per tre zone, effettuare il provisioning di almeno sei istanze.

  • Automatizzare i processi per l'avvio, l'esecuzione di script e la configurazione di macchine virtuali. È possibile automatizzare i processi usando estensioni o script personalizzati. È consigliabile usare le opzioni seguenti:

    • L'estensione della macchina virtuale Key Vault aggiorna automaticamente i certificati archiviati in un insieme di credenziali delle chiavi.

    • L'estensione script personalizzata di Azure per Windows e Linux scarica ed esegue script in Macchine virtuali. Usare questa estensione per la configurazione post-distribuzione, l'installazione software o qualsiasi altra attività di configurazione o gestione.

    • Usare cloud-init per configurare l'ambiente di avvio per le macchine virtuali basate su Linux.

  • Sono disponibili processi per l'installazione di aggiornamenti automatici. È consigliabile usare l'applicazione di patch guest delle macchine virtuali automatiche per un'implementazione tempestiva delle patch critiche e delle patch di sicurezza. Usare Gestione aggiornamenti in Automazione di Azure per gestire gli aggiornamenti del sistema operativo per le macchine virtuali Windows e Linux in Azure.

  • Creare un ambiente di test che corrisponda strettamente all'ambiente di produzione per testare gli aggiornamenti e le modifiche prima di distribuirli nell'ambiente di produzione. Sono disponibili processi per testare gli aggiornamenti della sicurezza, le baseline delle prestazioni e gli errori di affidabilità. Sfruttare le librerie di errori di Azure Chaos Studio per inserire e simulare le condizioni di errore. Per altre informazioni, vedere Libreria di errori e azioni di Azure Chaos Studio.

  • Gestire la quota. Pianificare il livello di quota richiesto dal carico di lavoro e esaminare regolarmente tale livello man mano che il carico di lavoro evolve. Se è necessario aumentare o ridurre la quota, richiedere le modifiche in anticipo.

Consigli

Recommendation Vantaggi
(Set di scalabilità) set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile può semplificare la distribuzione e la gestione del carico di lavoro. Ad esempio, è possibile gestire facilmente la riparazione automatica usando riparazioni automatiche. L'orchestrazione flessibile può gestire le istanze di macchine virtuali su larga scala. La gestione di singole macchine virtuali comporta un sovraccarico operativo.

Ad esempio, quando si eliminano le istanze di macchina virtuale, vengono eliminati automaticamente anche i dischi e le schede di interfaccia di rete associati. Le istanze di macchine virtuali vengono distribuite tra più domini di errore in modo che le operazioni di aggiornamento non interrompano il servizio.
(Set di scalabilità) Mantenere aggiornate le macchine virtuali impostando un criterio di aggiornamento. È consigliabile eseguire l'aggiornamento in sequenza. Tuttavia, se è necessario un controllo granulare, scegliere di eseguire l'aggiornamento manualmente.

Per l'orchestrazione flessibile, è possibile usare Gestione aggiornamenti in Automazione di Azure.
La sicurezza è il motivo principale per gli aggiornamenti. Le garanzie di sicurezza per le istanze non devono essere decadite nel tempo.

Gli aggiornamenti in sequenza vengono eseguiti in batch, in modo da garantire che tutte le istanze non siano inattivo contemporaneamente.
(VM, set di scalabilità) Distribuire automaticamente le applicazioni VM dalla raccolta di calcolo di Azure definendo le applicazioni nel profilo. Le macchine virtuali nel set di scalabilità vengono create e le app specificate sono preinstallate, semplificando la gestione.
Installare i componenti software predefiniti come estensioni come parte del bootstrap.
Azure supporta molte estensioni che possono essere usate per configurare, monitorare, proteggere e fornire applicazioni di utilità per le macchine virtuali.

Abilitare gli aggiornamenti automatici nelle estensioni.
Le estensioni consentono di semplificare l'installazione del software su larga scala senza dover installare, configurare o aggiornare manualmente l'installazione in ogni macchina virtuale.
(VM, set di scalabilità) Monitorare e misurare l'integrità delle istanze della macchina virtuale.

Distribuire l'estensione Agente di monitoraggio nelle macchine virtuali per raccogliere i dati di monitoraggio dal sistema operativo guest con regole di raccolta dati specifiche del sistema operativo.

Abilitare informazioni dettagliate sulle macchine virtuali per monitorare l'integrità e le prestazioni e visualizzare le tendenze dei dati raccolti.

Usare la diagnostica di avvio per ottenere informazioni come avvio delle macchine virtuali. Diagnostica di avvio diagnosticare anche gli errori di avvio.
I dati di monitoraggio sono alla base della risoluzione degli eventi imprevisti. Uno stack di monitoraggio completo fornisce informazioni sulle prestazioni delle macchine virtuali e sulla relativa integrità. Monitorando continuamente le istanze, è possibile essere pronti per o prevenire errori come l'overload delle prestazioni e i problemi di affidabilità.

Efficienza delle prestazioni

L'efficienza delle prestazioni riguarda la gestione dell'esperienza utente anche quando si verifica un aumento del carico gestendo la capacità. La strategia include il ridimensionamento delle risorse, l'identificazione e l'ottimizzazione di potenziali colli di bottiglia e l'ottimizzazione per le prestazioni di picco.

I principi di progettazione dell'efficienza delle prestazioni forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi di capacità rispetto all'utilizzo previsto.

Elenco di controllo della progettazione

Avviare la strategia di progettazione in base all'elenco di controllo di revisione della progettazione per l'efficienza delle prestazioni. Definire una linea di base basata su indicatori di prestazioni chiave per Macchine virtuali e set di scalabilità.

  • Definire gli obiettivi di prestazioni. Identificare le metriche delle macchine virtuali per tenere traccia e misurare gli indicatori di prestazioni come tempo di risposta, utilizzo della CPU e utilizzo della memoria, nonché metriche del carico di lavoro, ad esempio transazioni al secondo, utenti simultanei e disponibilità e integrità.

  • Fattore nel profilo delle prestazioni delle macchine virtuali, dei set di scalabilità e della configurazione del disco nella pianificazione della capacità. Ogni SKU ha un profilo diverso di memoria e CPU e si comporta in modo diverso a seconda del tipo di carico di lavoro. Condurre progetti pilota e prove di concetto per comprendere il comportamento delle prestazioni nel carico di lavoro specifico.

  • Ottimizzazione delle prestazioni delle macchine virtuali. Sfruttare l'ottimizzazione delle prestazioni e migliorare le funzionalità in base alle esigenze del carico di lavoro. Ad esempio, usare NVMe (Non-Volatile Memory Express) collegato localmente per i casi d'uso ad alte prestazioni e la rete accelerata e usare SSD Premium v2 per migliorare le prestazioni e la scalabilità.

  • Prendere in considerazione i servizi dipendenti. Le dipendenze del carico di lavoro, ad esempio la memorizzazione nella cache, il traffico di rete e le reti per la distribuzione di contenuti, che interagiscono con le macchine virtuali possono influire sulle prestazioni. Considerare anche la distribuzione geografica, ad esempio zone e aree, che possono aggiungere latenza.

  • Raccogliere dati sulle prestazioni. Seguire le procedure consigliate per l'eccellenza operativa per il monitoraggio e distribuire le estensioni appropriate per visualizzare le metriche che tengono traccia degli indicatori di prestazioni.

  • Gruppi di posizionamento di prossimità. Usare i gruppi di posizionamento di prossimità nei carichi di lavoro in cui è necessaria una bassa latenza per garantire che le macchine virtuali si trovino fisicamente vicine tra loro.

Consigli

Recommendation Vantaggi
(VM, set di scalabilità) Scegliere SKU per le macchine virtuali allineate alla pianificazione della capacità.

Avere una buona conoscenza dei requisiti del carico di lavoro, tra cui il numero di core, memoria, archiviazione e larghezza di banda di rete, in modo da filtrare gli SKU non adatti.
L'assegnazione dei diritti alle macchine virtuali è una decisione fondamentale che influisce in modo significativo sulle prestazioni del carico di lavoro. Senza il set corretto di macchine virtuali, è possibile che si verifichino problemi di prestazioni e si accumulano costi non necessari.
(VM, set di scalabilità) Distribuire macchine virtuali del carico di lavoro sensibili alla latenza in gruppi di posizionamento di prossimità. I gruppi di posizionamento di prossimità riducono la distanza fisica tra le risorse di calcolo di Azure, che possono migliorare le prestazioni e ridurre la latenza di rete tra macchine virtuali autonome, macchine virtuali in più set di disponibilità o macchine virtuali in più set di scalabilità.
(VM, set di scalabilità) Impostare il profilo di archiviazione analizzando le prestazioni del disco dei carichi di lavoro esistenti e dello SKU della macchina virtuale.

Usare unità SSD Premium per le macchine virtuali di produzione. Regolare le prestazioni dei dischi con SSD Premium v2.

Usare dispositivi NVMe collegati localmente.
Le unità SSD Premium offrono prestazioni elevate e dischi a bassa latenza supportano le macchine virtuali con carichi di lavoro con elevato utilizzo di I/O.
Ssd Premium v2 non richiede il ridimensionamento del disco, che consente prestazioni elevate senza un provisioning eccessivo e riduce al minimo il costo della capacità inutilizzata.

Se disponibile in SKU di macchine virtuali, appliance NVMe collegate localmente o dispositivi simili possono offrire prestazioni elevate, in particolare per i casi d'uso che richiedono operazioni di input/output elevate al secondo (IOPS) e bassa latenza.
(MACCHINE VIRTUALI) Valutare la possibilità di abilitare la rete accelerata. Consente la virtualizzazione I/O radice singola (SR-IOV) a una macchina virtuale, migliorando notevolmente le prestazioni di rete.
(VM, set di scalabilità) Impostare le regole di scalabilità automatica per aumentare o ridurre il numero di istanze di macchine virtuali nel set di scalabilità in base alla richiesta. Se aumenta la richiesta da parte dell'applicazione, aumenta il carico sulle istanze di macchine virtuali nel set di scalabilità. Le regole di scalabilità automatica assicurano che siano disponibili risorse sufficienti per soddisfare la domanda.

Criteri di Azure

Azure offre un ampio set di criteri predefiniti correlati a Macchine virtuali e alle relative dipendenze. Alcune delle raccomandazioni precedenti possono essere controllate tramite Criteri di Azure. Ad esempio, è possibile verificare se:

  • La crittografia nell'host è abilitata.
  • Le estensioni antimalware vengono distribuite e abilitate per gli aggiornamenti automatici nelle macchine virtuali che eseguono Windows Server.
  • L'applicazione automatica delle patch alle immagini del sistema operativo nei set di scalabilità è abilitata.
  • Vengono installate solo le estensioni vm approvate.
  • L'agente di monitoraggio e gli agenti di dipendenza sono abilitati nelle nuove macchine virtuali nell'ambiente Azure.
  • Solo gli SKU di macchine virtuali consentiti vengono distribuiti per limitare le dimensioni in base ai vincoli dei costi.
  • Gli endpoint privati vengono usati per accedere alle risorse del disco.
  • Il rilevamento delle vulnerabilità è abilitato. Esistono regole specializzate per i computer Windows. Ad esempio, è possibile pianificare Windows Defender per l'analisi ogni giorno.

Per una governance completa, esaminare le definizioni predefinite Criteri di Azure per Macchine virtuali e altri criteri che potrebbero influire sulla sicurezza del livello di calcolo.

Raccomandazioni di Azure Advisor

Azure Advisor è un consulente cloud personalizzato che facilita l'applicazione delle procedure consigliate per ottimizzare le distribuzioni di Azure. Ecco alcuni consigli che consentono di migliorare l'affidabilità, la sicurezza, l'efficacia dei costi, le prestazioni e l'eccellenza operativa delle Macchine virtuali.

Passaggi successivi

Si considerino gli articoli seguenti come risorse che illustrano le raccomandazioni evidenziate in questo articolo.