Voor het inrichten van een virtuele machine (VM) in Azure zijn naast de VM zelf nog enkele extra onderdelen vereist, waaronder netwerk- en opslagresources. Dit artikel bevat aanbevolen procedures voor het uitvoeren van een Windows-VM in Azure.
Architectuur
Een Visio-bestand van deze architectuur downloaden.
Werkstroom
Resourcegroep
Een resourcegroep is een logische container die gerelateerde Azure-resources bevat. Over het algemeen groepeert u resources op basis van hun levensduur en wie ze gaat beheren.
Plaats nauw verwante resources die dezelfde levenscyclus delen, in dezelfde resourcegroep. Met resourcegroepen kunt u resources groepsgewijs implementeren en bewaken. Ook kunt u de factureringskosten per groep bijhouden. Daarnaast kunt u resources verwijderen als set. Dit is handig voor testimplementaties. Wijs zinvolle resourcenamen toe om het zoeken naar een specifieke resource te vereenvoudigen en de rol ervan te verduidelijken. Zie Aanbevolen naamconventies voor Azure-resources voor meer informatie.
Virtuele machine
U kunt een virtuele machine inrichten vanuit een lijst met gepubliceerde installatiekopieën, via een aangepaste beheerde installatiekopie of via een VHD-bestand (virtuele harde schijf) dat u naar Azure Blob Storage uploadt.
Azure biedt veel verschillende grootten voor virtuele machines. Zie Grootten voor virtuele machines in Azure voor meer informatie. Als u een bestaande workload naar Azure verplaatst, begint u met de VM-grootte die het meest overeenkomt met uw on-premises servers. Meet vervolgens de prestaties van uw werkelijke workload in termen van CPU, geheugen en schijfinvoer/uitvoerbewerkingen per seconde (IOPS) en pas de grootte indien nodig aan.
Over het algemeen kiest u een Azure-regio die het dichtst bij uw interne gebruikers of klanten ligt. Niet alle VM-grootten zijn beschikbaar in alle regio's. Zie Services per regio voor meer informatie. Voer de volgende opdracht uit vanuit de Azure CLI voor een lijst van de VM-grootten die beschikbaar zijn in een specifieke regio:
az vm list-sizes --location <location>
Zie Windows VM-installatiekopieën zoeken voor informatie over het kiezen van een installatiekopie van een gepubliceerde virtuele machine.
Disks
Voor de beste-I/O-prestaties van de schijf raden we Premium Storage aan, waarmee gegevens op SSD's (solid-state drives) worden opgeslagen. De kosten zijn gebaseerd op de capaciteit van de ingerichte schijf. IOPS en doorvoer zijn ook afhankelijk van de schijfgrootte, dus houd bij het inrichten van een schijf rekening met alle drie de factoren (capaciteit, IOPS en doorvoer).
U wordt ook aangeraden Managed Disks te gebruiken. Beheerde schijven vereenvoudigen het schijfbeheer door de opslag voor u te verwerken. Beheerde schijven vereisen geen opslagaccount. U geeft gewoon de grootte en het type schijf op en deze wordt geïmplementeerd als een maximaal beschikbare resource
De besturingssysteemschijf is een VHD die is opgeslagen in Azure Storage, zodat deze ook beschikbaar blijft wanneer de hostmachine niet actief is. U wordt ook aangeraden een of meer gegevensschijven te maken. Dit zijn permanente VHD's die worden gebruikt voor toepassingsgegevens. Installeer toepassingen zo mogelijk op een gegevensschijf, niet op de besturingssysteemschijf. Voor sommige oudere toepassingen moeten onderdelen wellicht op station C: worden geïnstalleerd. In dat geval kunt u de besturingssysteemschijf vergroten of verkleinen met behulp van PowerShell.
De VM wordt ook gemaakt met een tijdelijke schijf (het D: station in Windows). Deze schijf wordt opgeslagen op een fysiek station op de hostcomputer. De schijf wordt niet opgeslagen in Azure Storage en wordt mogelijk verwijderd tijdens opnieuw opstarten en andere gebeurtenissen in de levensduur van de virtuele machine. Gebruik deze schijf alleen voor tijdelijke gegevens, zoals pagina- of wisselbestanden.
Netwerk
De netwerkonderdelen bevatten de volgende resources:
Virtueel netwerk. Elke VM wordt geïmplementeerd in een virtueel netwerk dat kan worden gesegmenteerd in meerdere subnetten.
Netwerkinterface (NIC). Via de NIC kan de virtuele machine communiceren met het virtuele netwerk. Als u meerdere NIC's voor uw VM nodig hebt, moet u er rekening mee houden dat er een maximum aantal NIC's is gedefinieerd voor elke VM-grootte.
Openbaar IP-adres. Er is een openbaar IP-adres nodig om te communiceren met de VM, bijvoorbeeld via extern bureaublad (RDP). Het openbare IP-adres kan dynamisch of statisch zijn. De standaardwaarde is dynamisch.
Reserveer een statisch IP-adres als u een vast IP-adres nodig hebt dat niet wordt gewijzigd, bijvoorbeeld als u een DNS A-record moet maken of het IP-adres wilt toevoegen aan een veilige lijst.
U kunt ook een volledig gekwalificeerde domeinnaam (FQDN) voor het IP-adres maken. U kunt vervolgens een CNAME-record maken in DNS dat naar de FQDN verwijst. Zie Een volledig gekwalificeerde domeinnaam maken in de Azure Portal voor meer informatie.
Netwerkbeveiligingsgroep (NSG). Netwerkbeveiligingsgroepen worden gebruikt om netwerkverkeer naar VM's toe te staan of te weigeren. NSG's kunnen worden gekoppeld aan subnetten of aan afzonderlijke VM-exemplaren.
Alle NSG's bevatten een set standaardregels, met inbegrip van een regel waarmee al het inkomende internetverkeer wordt geblokkeerd. De standaardregels kunnen niet worden verwijderd, maar ze kunnen wel worden vervangen door andere regels. Als u internetverkeer wilt inschakelen, maakt u regels die binnenkomend verkeer naar specifieke poorten toestaan, bijvoorbeeld poort 80 voor HTTP. Als u RDP wilt inschakelen, voegt u een NSG-regel toe waarmee inkomend verkeer op TCP-poort 3389 wordt toegestaan.
Operations
Diagnostische gegevens. Schakel bewaking en diagnostiek in, inclusief metrische basisgegevens over de status, diagnostische logboeken over de infrastructuur en diagnostische gegevens over opstarten. Met diagnostische gegevens over opstarten kunt u opstartfouten achterhalen als de virtuele machine in een niet-opstartbare status komt. Maak een Azure Storage-account om de logboeken op te slaan. Een standaardaccount voor lokaal redundante opslag (LRS) is voldoende voor diagnostische logboeken. Zie Controle en diagnose inschakelen voor meer informatie.
Beschikbaarheid. Uw VM kan worden beïnvloed door gepland onderhoud of niet-geplande downtime. U kunt logboeken over het opnieuw opstarten van virtuele machines gebruiken om na te gaan of het opnieuw opstarten van een virtuele machine is veroorzaakt door gepland onderhoud. Implementeer voor hogere beschikbaarheid meerdere virtuele machines in een beschikbaarheidsset. Deze configuratie biedt een hogere SLA (Service Level Agreement).
Backups Ter bescherming tegen onbedoeld gegevensverlies gebruikt u de Azure Backup-service om een back-up van uw VM's te maken in geografisch redundante opslag. Azure Backup biedt toepassingsconsistente back-ups.
Een VM stoppen. Azure maakt onderscheid tussen een 'gestopte' status en een status waarbij de toewijzing is opgeheven. Er worden kosten in rekening gebracht wanneer de status van de virtuele machine is gestopt, maar niet wanneer de toewijzing van de virtuele machine is opgeheven. In Azure Portal wordt met de knop Stoppen de toewijzing van een virtuele machine opgeheven. Als u afsluit via het besturingssysteem terwijl u bent aangemeld, wordt de virtuele machine wel gestopt, maar de toewijzing ervan niet opgeheven, zodat u nog steeds kosten in rekening worden gebracht.
Een VM verwijderen. Als u een virtuele machine verwijdert, worden de VHD's niet verwijderd. Dit betekent dat u de virtuele machine veilig zonder gegevensverlies kunt verwijderen. Er worden echter nog steeds kosten in rekening gebracht voor opslag. Als u de VHD wilt verwijderen, verwijdert u het bestand uit Blob Storage. Gebruik ter voorkoming van onbedoeld verwijderen een resourcevergrendeling om de gehele resourcegroep of afzonderlijke resources, zoals een virtuele machine, te vergrendelen.
Overwegingen
Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.
Kostenoptimalisatie
Kostenoptimalisatie gaat over het zoeken naar manieren om onnodige uitgaven te verminderen en de operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.
Er zijn verschillende opties voor VM-grootten, afhankelijk van het gebruik en de workload. Het assortiment omvat de voordeligste optie van de Bs-serie tot de nieuwste GPU-VM's die zijn geoptimaliseerd voor machine learning. Zie Prijzen voor Azure Windows-VM's voor meer informatie over de beschikbare opties.
Voor voorspelbare workloads gebruikt u Azure-reserveringen en het Azure-besparingsplan voor berekeningen met een contract van één of drie jaar en ontvangt u aanzienlijke besparingen op de prijzen voor betalen per gebruik. Voor workloads zonder voorspelbare voltooiingstijd of resourceverbruik kunt u de optie Betalen per gebruik overwegen.
Gebruik Azure Spot-VM's om workloads uit te voeren die kunnen worden onderbroken en vereisen geen voltooiing binnen een vooraf bepaald tijdsbestek of een SLA. Azure implementeert spot-VM's als er capaciteit beschikbaar is en wordt verwijderd wanneer de capaciteit terug nodig is. De kosten voor virtuele Spot-machines zijn aanzienlijk lager. Overweeg spot-VM's voor deze workloads:
- High Performance Computing-scenario's, batchverwerkingstaken of toepassingen voor visuele rendering.
- Testomgevingen, waaronder workloads voor continue integratie en continue levering.
- Grootschalige staatloze toepassingen.
Gebruik de Azure-prijscalculator om de kosten te schatten.
Raadpleeg de kostensectie in Microsoft Azure Well-Architected Framework voor meer informatie.
Beveiliging
Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.
Gebruik Microsoft Defender for Cloud om een centraal overzicht te krijgen van de beveiligingsstatus van uw Azure-resources. Defender voor Cloud bewaakt mogelijke beveiligingsproblemen en biedt een uitgebreid beeld van de beveiligingsstatus van uw implementatie. Defender for Cloud wordt geconfigureerd per Azure-abonnement. Schakel het verzamelen van beveiligingsgegevens in zoals beschreven in Onboard your Azure subscription to Defender for Cloud Standard (Uw Azure-abonnement onboarden voor Defender for Cloud Standard). Wanneer gegevensverzameling is ingeschakeld, scant Defender voor Cloud automatisch alle VM's die onder dat abonnement zijn gemaakt.
Patchbeheer. Indien ingeschakeld, controleert Defender for Cloud of er beveiligingsupdates en essentiële updates ontbreken. Gebruik Instellingen voor groepsbeleid op de virtuele machine om automatische systeemupdates in te schakelen.
Antimalware. Indien ingeschakeld, controleert Defender voor Cloud of antimalwaresoftware is geïnstalleerd. U kunt Defender voor Cloud ook gebruiken om antimalwaresoftware te installeren vanuit de Azure Portal.
Toegangsbeheer. Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om de toegang tot Azure-resources te beheren. Met Azure RBAC kunt u autorisatierollen toewijzen aan leden van uw DevOps-team. Iemand met de rol Lezer kan bijvoorbeeld wel Azure-resources weergeven, maar deze niet maken, beheren of verwijderen. Sommige machtigingen zijn specifiek voor een Azure-resourcetype. Iemand met de rol van Inzender voor virtuele machines kan bijvoorbeeld een virtuele machine opnieuw opstarten of de toewijzing van een virtuele machine ongedaan maken, het beheerderswachtwoord opnieuw instellen, een nieuwe virtuele machine maken, enzovoort. Andere ingebouwde rollen die nuttig kunnen zijn voor deze architectuur zijn onder andere DevTest Labs-gebruikers- en netwerkbijdrager.
Notitie
Azure RBAC beperkt niet de acties die een gebruiker die is aangemeld bij een VM, kan uitvoeren. Deze machtigingen worden bepaald door het accounttype op het gastbesturingssysteem.
Auditlogboeken. Gebruik auditlogboeken om inrichtingsacties en andere VM-gebeurtenissen te bekijken.
Gegevensversleuteling. Gebruik Azure Disk Encryption als u het besturingssysteem en de gegevensschijven moet versleutelen.
Operationele uitmuntendheid
Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.
Gebruik infrastructuur als code (IaC) met behulp van één Azure Resource Manager-sjabloon voor het inrichten van de Azure-resources (declaratieve benadering) of met behulp van één PowerShell-script (imperatieve benadering). Omdat alle resources zich in hetzelfde virtuele netwerk bevinden, zijn ze geïsoleerd in dezelfde basisworkload. Dit maakt het eenvoudiger om de specifieke resources van de workload te koppelen aan een DevOps-team, zodat het team alle aspecten van die resources onafhankelijk kan beheren. Met deze isolatie kunnen het DevOps-team en de services continue integratie en continue levering (CI/CD) uitvoeren.
U kunt ook verschillende Azure Resource Manager-sjablonen gebruiken en deze integreren met Azure DevOps Services om binnen enkele minuten verschillende omgevingen in te richten, bijvoorbeeld om productiescenario's zoals scenario's te repliceren of testomgevingen alleen te laden wanneer dat nodig is, waardoor kosten worden bespaard.
Zie Windows N-tier-toepassing in Azure met SQL Server voor architectuur met een hogere beschikbaarheid. De referentiearchitectuur bevat meer dan één VM en elke VM is opgenomen in een beschikbaarheidsset.
Overweeg het gebruik van de Azure Monitor voor het analyseren en optimaliseren van de prestaties van uw infrastructuur, het bewaken en diagnosticeren van netwerkproblemen zonder u aan te melden bij uw virtuele machines.
Volgende stappen
- Zie Quickstart: Een virtuele Windows-machine maken in de Azure Portal
- Zie NVIDIA GPU-stuurprogramma's installeren op vm's uit de N-serie waarop Windows wordt uitgevoerd als u NVIDIA-stuurprogramma's wilt installeren op een Windows-VM
- Als u AMD-stuurprogramma's wilt installeren op een Windows-VM, raadpleegt u AMD GPU-stuurprogramma's installeren op virtuele machines uit de N-serie waarop Windows wordt uitgevoerd
- Zie Virtuele Windows-machines maken en beheren met Azure PowerShell