Delen via


Perspectief van Azure Well-Architected Framework op Virtual Machines en schaalsets

Azure Virtual Machines is een type rekenservice die u kunt gebruiken om virtuele machines (VM's) te maken en uit te voeren op het Azure-platform. Het biedt flexibiliteit in verschillende SKU's, besturingssystemen en configuraties met verschillende factureringsmodellen.

In dit artikel wordt ervan uitgegaan dat u als architect de beslissingsstructuur voor berekeningen hebt bekeken en Virtual Machines hebt gekozen als de rekenservice voor uw workload. De richtlijnen in dit artikel bevatten architectuuraanbevelingen die zijn toegewezen aan de principes van de Azure Well-Architected Framework-pijlers.

Belangrijk

Het gebruik van deze handleiding

Elke sectie bevat een ontwerpcontrolelijst met aandachtsgebieden voor architectuur, samen met ontwerpstrategieën die zijn gelokaliseerd in het technologiebereik.

Er zijn ook aanbevelingen opgenomen over de technologische mogelijkheden die kunnen helpen bij het materialiseren van deze strategieën. De aanbevelingen vormen geen volledige lijst met alle configuraties die beschikbaar zijn voor Virtual Machines en de bijbehorende afhankelijkheden. In plaats daarvan worden de belangrijkste aanbevelingen vermeld die zijn toegewezen aan de ontwerpperspectieven. Gebruik de aanbevelingen om uw proof-of-concept te bouwen of uw bestaande omgevingen te optimaliseren.

Basisarchitectuur waarin de belangrijkste aanbevelingen worden gedemonstreert: Virtual Machines basislijnarchitectuur.

Technologiebereik

Deze beoordeling is gericht op de onderling gerelateerde beslissingen voor de volgende Azure-resources:

  • Virtual Machines

  • Microsoft Azure Virtual Machine Scale Sets

  • Disks

    Schijven zijn een kritieke afhankelijkheid voor vm-gebaseerde architecturen. Zie Schijven en optimalisatie voor meer informatie.

Betrouwbaarheid

Het doel van de pijler Betrouwbaarheid is om doorlopende functionaliteit te bieden door voldoende tolerantie te bouwen en de mogelijkheid om snel te herstellen van fouten.

De ontwerpprincipes voor betrouwbaarheid bieden een ontwerpstrategie op hoog niveau die wordt toegepast op afzonderlijke onderdelen, systeemstromen en het systeem als geheel.

Controlelijst voor ontwerp

Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor betrouwbaarheid. Bepaal de relevantie voor uw bedrijfsvereisten en houd daarbij rekening met de SKU's en functies van VM's en hun afhankelijkheden. Breid de strategie uit met meer benaderingen als dat nodig is.

  • Bekijk Virtual Machines quota en limieten die ontwerpbeperkingen kunnen opleveren. VM's hebben specifieke limieten en quota, die variëren afhankelijk van het type VM of de regio. Er kunnen abonnementsbeperkingen zijn, zoals het aantal VM's per abonnement of het aantal kernen per VM. Als andere workloads uw abonnement delen, is uw mogelijkheid om gegevens te gebruiken mogelijk beperkt. Controleer de limieten voor VM's, virtuele-machineschaalsets en beheerde schijven.

  • Voer een foutmodusanalyse uit om storingspunten te minimaliseren door vm-interacties met de netwerk- en opslagonderdelen te analyseren. Kies configuraties zoals kortstondige besturingssysteemschijven om schijftoegang te lokaliseren en netwerkhops te voorkomen. Voeg een load balancer toe om zelfbehoud te verbeteren door netwerkverkeer over meerdere VM's te distribueren, waardoor de beschikbaarheid en betrouwbaarheid worden verbeterd.

  • Bereken uw samengestelde serviceniveaudoelstellingen (SLO's) op basis van Azure Service Level Agreements (SLA's). Zorg ervoor dat uw SLO niet hoger is dan de Azure-SLA's om onrealistische verwachtingen en mogelijke problemen te voorkomen.

    Houd rekening met de complexiteit die afhankelijkheden veroorzaken. Sommige afhankelijkheden, zoals virtuele netwerken en netwerkinterfacekaarten (NIC's), hebben bijvoorbeeld geen eigen SLA's. Andere afhankelijkheden, zoals een gekoppelde gegevensschijf, hebben SLA's die kunnen worden geïntegreerd met VM-SLA's. U moet rekening houden met deze variaties, omdat ze van invloed kunnen zijn op de prestaties en betrouwbaarheid van vm's.

    Houd rekening met de kritieke afhankelijkheden van VM's op onderdelen zoals schijven en netwerkonderdelen. Als u deze relaties begrijpt, kunt u bepalen welke kritieke stromen van invloed zijn op de betrouwbaarheid.

  • Statusisolatie maken. Workloadgegevens moeten zich op een afzonderlijke gegevensschijf bevinden om interferentie met de besturingssysteemschijf te voorkomen. Als een VM uitvalt, kunt u een nieuwe besturingssysteemschijf met dezelfde gegevensschijf maken, wat zorgt voor tolerantie en foutisolatie. Zie Tijdelijke besturingssysteemschijven voor meer informatie.

  • Vm's en hun afhankelijkheden redundant maken in verschillende zones. Als een VM uitvalt, moet de workload blijven werken vanwege redundantie. Neem afhankelijkheden op in uw redundantieopties. Gebruik bijvoorbeeld de ingebouwde redundantieopties die beschikbaar zijn voor schijven. Gebruik zone-redundante IP-adressen om gegevensbeschikbaarheid en hoge uptime te garanderen.

  • Wees klaar om omhoog en uit te schalen om verslechtering van het serviceniveau te voorkomen en om fouten te voorkomen. Virtual Machine Scale Sets beschikken over mogelijkheden voor automatische schaalaanpassing waarmee nieuwe exemplaren worden gemaakt naar behoefte en de belasting wordt verdeeld over meerdere VM's en beschikbaarheidszones.

  • Bekijk de opties voor automatisch herstel. Azure biedt ondersteuning voor de bewaking van statusvermindering en functies voor zelfherstel voor VM's. Schaalsets bieden bijvoorbeeld automatische exemplaarreparaties. In meer geavanceerde scenario's omvat zelfherstel het gebruik van Azure Site Recovery, het hebben van een passieve stand-by om failover naar uit te voeren of opnieuw te implementeren vanuit infrastructuur als code (IaC). De methode die u kiest, moet zijn afgestemd op de bedrijfsvereisten en de activiteiten van uw organisatie. Zie Vm-serviceonderbrekingen voor meer informatie.

  • De VM's en hun afhankelijkheden rechten geven. Krijg inzicht in het verwachte werk van uw VM om ervoor te zorgen dat deze niet te weinig is en de maximale belasting kan verwerken. Extra capaciteit hebben om fouten te beperken.

  • Maak een uitgebreid noodherstelplan. Paraatheid bij noodgevallen omvat het opstellen van een uitgebreid plan en het beslissen over een technologie voor herstel.

    Afhankelijkheden en stateful onderdelen, zoals gekoppelde opslag, kunnen het herstel bemoeilijken. Als schijven uitvallen, is die fout van invloed op de werking van de virtuele machine. Neem een duidelijk proces voor deze afhankelijkheden op in uw herstelplannen.

  • Voer bewerkingen strikt uit. Ontwerpkeuzen voor betrouwbaarheid moeten worden ondersteund door effectieve bewerkingen op basis van de principes van bewaking, tolerantietests in productie, geautomatiseerde toepassings-VM-patches en upgrades, en consistentie van implementaties. Zie Operational Excellence voor operationele richtlijnen.

Aanbevelingen

Aanbeveling Voordeel
(Schaalset) Gebruik Virtual Machine Scale Sets in de modus Flexibele indeling om VM's te implementeren. Maak uw toepassing toekomstbestendig voor schalen en profiteer van de hoge beschikbaarheidsgaranties die VM's verspreiden over foutdomeinen in een regio of beschikbaarheidszone.
(VM's) Implementeer integriteitseindpunten die statussen van exemplaren verzenden op VM's.

(Schaalset) Schakel automatische reparaties in op de schaalset door de gewenste herstelactie op te geven.
Overweeg om een tijdsbestek in te stellen waarin automatische reparaties worden onderbroken als de status van de VM verandert.
Behoud de beschikbaarheid, zelfs als een exemplaar als beschadigd wordt beschouwd. Automatische reparaties starten het herstel door het defecte exemplaar te vervangen.

Het instellen van een tijdvenster kan onbedoelde of voortijdige reparatiebewerkingen voorkomen.
(Schaalset) Schakel overprovisioning in voor schaalsets. Overprovisioning verkort de implementatietijden en heeft een kostenvoordeel omdat de extra VM's niet in rekening worden gebracht.
(Schaalset) Flexibele indeling toestaan om de VM-exemplaren over zoveel mogelijk foutdomeinen te spreiden. Met deze optie worden foutdomeinen geïsoleerd. Tijdens onderhoudsperioden, wanneer één foutdomein wordt bijgewerkt, zijn VM-exemplaren beschikbaar in de andere foutdomeinen.
(Schaalset) Implementeren in beschikbaarheidszones op schaalsets. Stel ten minste twee exemplaren in elke zone in.
Met zoneverdeling worden de exemplaren gelijkmatig verdeeld over zones.
De VM-exemplaren worden ingericht op fysiek afzonderlijke locaties binnen elke Azure-regio die tolerant zijn voor lokale fouten.
Houd er rekening mee dat er, afhankelijk van de beschikbaarheid van resources, een ongelijk aantal exemplaren tussen zones kan zijn. Zoneverdeling ondersteunt beschikbaarheid door ervoor te zorgen dat, als één zone niet beschikbaar is, de andere zones voldoende exemplaren hebben.
Twee exemplaren in elke zone bieden een buffer tijdens upgrades.
(VM's) Profiteer van de functie capaciteitsreserveringen. Capaciteit is gereserveerd voor uw gebruik en is beschikbaar binnen het bereik van de toepasselijke SLA's. U kunt capaciteitsreserveringen verwijderen wanneer u deze niet meer nodig hebt en facturering is gebaseerd op verbruik.

Tip

Zie Betrouwbaarheid in Virtual Machines voor meer informatie over betrouwbaarheid voor VM's.

Beveiliging

Het doel van de pijler Beveiliging is om vertrouwelijkheid, integriteit en beschikbaarheidsgaranties voor de workload te bieden.

De ontwerpprincipes voor beveiliging bieden een ontwerpstrategie op hoog niveau om deze doelen te bereiken door benaderingen toe te passen op het technische ontwerp van Virtual Machines.

Controlelijst voor ontwerp

Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor beveiliging. Beveiligingsproblemen en controles identificeren om de beveiligingspostuur te verbeteren. Breid de strategie uit met meer benaderingen als dat nodig is.

  • Bekijk de beveiligingsbasislijnen voor Linux- en Windows-VM's en Virtual Machine Scale Sets.

    Als onderdeel van uw basistechnologiekeuzes kunt u rekening houden met de beveiligingsfuncties van de VM-SKU's die uw workload ondersteunen.

  • Zorg voor tijdige en geautomatiseerde beveiligingspatches en -upgrades. Zorg ervoor dat updates automatisch worden geïmplementeerd en gevalideerd met behulp van een goed gedefinieerd proces. Gebruik een oplossing zoals Azure Automation om updates van het besturingssysteem te beheren en de beveiligingsnaleving te onderhouden door essentiële updates uit te voeren.

  • Identificeer de VM's met de status. Zorg ervoor dat de gegevens worden geclassificeerd op basis van de vertrouwelijkheidslabels die uw organisatie heeft opgegeven. Beveilig gegevens met behulp van beveiligingscontroles, zoals de juiste niveaus van at-rest- en in-transit-versleuteling. Als u hoge gevoeligheidsvereisten hebt, kunt u overwegen om besturingselementen met hoge beveiliging, zoals dubbele versleuteling en Azure Confidential Computing, te gebruiken om gebruikte gegevens te beschermen.

  • Bied segmentatie aan de VM's en schaalsets door netwerkgrenzen en toegangsbeheer in te stellen. Plaats VM's in resourcegroepen die dezelfde levenscyclus delen.

  • Pas toegangsbeheer toe op de identiteiten die proberen de VM's te bereiken en ook op de VM's die andere resources bereiken. Gebruik Microsoft Entra ID voor verificatie- en autorisatiebehoeften. Stel sterke wachtwoorden, meervoudige verificatie en op rollen gebaseerd toegangsbeheer (RBAC) in voor uw VM's en hun afhankelijkheden, zoals geheimen, om toe te staan dat toegestane identiteiten alleen de bewerkingen uitvoeren die van hun rollen worden verwacht.

    Beperk de toegang tot resources op basis van voorwaarden met behulp van Microsoft Entra voorwaardelijke toegang. Definieer het voorwaardelijke beleid op basis van de duur en de minimale set vereiste machtigingen.

  • Gebruik netwerkbesturingselementen om inkomend en uitgaand verkeer te beperken. Isoleer VM's en schaalsets in Azure Virtual Network en definieer netwerkbeveiligingsgroepen om verkeer te filteren. Bescherming tegen DDoS-aanvallen (Distributed Denial of Service). Gebruik load balancers en firewallregels om u te beschermen tegen aanvallen met schadelijk verkeer en gegevensexfiltratie.

    Gebruik Azure Bastion om beveiligde connectiviteit met de VIRTUELE machines te bieden voor operationele toegang.

    Communicatie van en naar de VM's naar PaaS-oplossingen (Platform as a Service) moet via privé-eindpunten gaan.

  • Verminder de kwetsbaarheid voor aanvallen door installatiekopieën van het besturingssysteem te beveiligen en ongebruikte onderdelen te verwijderen. Gebruik kleinere installatiekopieën en verwijder binaire bestanden die niet nodig zijn om de workload uit te voeren. Draai de VM-configuraties aan door functies, zoals standaardaccounts en poorten, te verwijderen die u niet nodig hebt.

  • Bescherm geheimen , zoals de certificaten die u nodig hebt om gegevens tijdens overdracht te beveiligen. Overweeg het gebruik van de Azure Key Vault-extensie voor Windows of Linux waarmee de certificaten die zijn opgeslagen in een sleutelkluis automatisch worden vernieuwd. Wanneer een wijziging in de certificaten wordt gedetecteerd, haalt de extensie de bijbehorende certificaten op en installeert deze.

  • Detectie van bedreigingen. Vm's controleren op bedreigingen en onjuiste configuraties. Gebruik Defender voor Servers om wijzigingen in vm's en besturingssystemen vast te leggen en een audittrail van toegang, nieuwe accounts en wijzigingen in machtigingen bij te houden.

  • Bedreigingspreventie. Bescherming tegen malwareaanvallen en kwaadwillende actoren door beveiligingscontroles zoals firewalls, antivirussoftware en inbraakdetectiesystemen te implementeren. Bepaal of een TEE (Trusted Execution Environment) vereist is.

Aanbevelingen

Aanbeveling Voordeel
(Schaalset) Wijs een beheerde identiteit toe aan schaalsets. Alle VM's in de schaalset krijgen dezelfde identiteit via het opgegeven VM-profiel.

(VM's) U kunt ook een beheerde identiteit toewijzen aan afzonderlijke VM's wanneer u deze maakt en deze indien nodig toevoegen aan een schaalset.
Wanneer VM's met andere resources communiceren, overschrijden ze een vertrouwensgrens. Schaalsets en VM's moeten hun identiteit verifiëren voordat communicatie is toegestaan. Microsoft Entra ID verwerkt die verificatie met behulp van beheerde identiteiten.
(Schaalset) Kies VM-SKU's met beveiligingsfuncties.
Sommige SKU's ondersteunen bijvoorbeeld BitLocker-versleuteling en vertrouwelijke computing biedt versleuteling van gegevens in gebruik.
Bekijk de functies om inzicht te hebben in de beperkingen.
Door Azure geleverde functies zijn gebaseerd op signalen die zijn vastgelegd in veel tenants en die resources beter kunnen beveiligen dan aangepaste besturingselementen. U kunt ook beleidsregels gebruiken om deze besturingselementen af te dwingen.
(VM's, schaalset) Pas door de organisatie aanbevolen tags toe in de ingerichte resources. Tagging is een veelgebruikte manier om resources te segmenteren en te organiseren en kan cruciaal zijn tijdens incidentbeheer. Zie Doel van naamgeving en taggen voor meer informatie.
(VM's, schaalset) Stel een beveiligingsprofiel in met de beveiligingsfuncties die u wilt inschakelen in de VM-configuratie.
Wanneer u bijvoorbeeld versleuteling op de host in het profiel opgeeft, worden de gegevens die zijn opgeslagen op de VM-host versleuteld at rest en worden stromen versleuteld naar de opslagservice.
De functies in het beveiligingsprofiel worden automatisch ingeschakeld wanneer de VM wordt gemaakt.
Zie Azure-beveiligingsbasislijn voor Virtual Machine Scale Sets voor meer informatie.
(VM's) Kies opties voor beveiligd netwerken voor het netwerkprofiel van uw VM.

Koppel openbare IP-adressen niet rechtstreeks aan uw VM's en schakel doorsturen via IP niet in.

Zorg ervoor dat alle virtuele netwerkinterfaces een gekoppelde netwerkbeveiligingsgroep hebben.
U kunt segmentatiebesturingselementen instellen in het netwerkprofiel.
Aanvallers scannen openbare IP-adressen, waardoor VM's kwetsbaar zijn voor bedreigingen.
(VM's) Kies opties voor beveiligde opslag voor het opslagprofiel van uw VM.

Schakel standaard schijfversleuteling en data-at-rest-versleuteling in. Schakel openbare netwerktoegang tot de VM-schijven uit.
Het uitschakelen van openbare netwerktoegang helpt onbevoegde toegang tot uw gegevens en resources te voorkomen.
(VM's, schaalset) Neem extensies op in uw VM's die bescherming bieden tegen bedreigingen.
Bijvoorbeeld:
- Key Vault-extensie voor Windows en Linux
- Microsoft Entra ID verificatie
- Microsoft Antimalware voor Azure Cloud Services en Virtual Machines
- Azure Disk Encryption-extensie voor Windows en Linux.
De extensies worden gebruikt om de VM's te bootstrapen met de juiste software die de toegang tot en van de VM's beschermt.
Door Microsoft geleverde extensies worden regelmatig bijgewerkt om de veranderende beveiligingsstandaarden bij te houden.

Kostenoptimalisatie

Kostenoptimalisatie is gericht op het detecteren van uitgavenpatronen, het prioriteren van investeringen in kritieke gebieden en het optimaliseren van andere uitgaven om aan het budget van de organisatie te voldoen en tegelijkertijd te voldoen aan de bedrijfsvereisten.

De ontwerpprincipes van Cost Optimization bieden een ontwerpstrategie op hoog niveau om deze doelen te bereiken en waar nodig compromissen te maken in het technische ontwerp met betrekking tot Virtual Machines en zijn omgeving.

Controlelijst voor ontwerp

Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Kostenoptimalisatie voor investeringen. Stem het ontwerp zo af dat de workload wordt afgestemd op het budget dat voor de workload is toegewezen. Uw ontwerp moet gebruikmaken van de juiste Azure-mogelijkheden, investeringen bewaken en kansen vinden om in de loop van de tijd te optimaliseren.

  • Maak een schatting van de realistische kosten. Gebruik de prijscalculator om de kosten van uw VM's te schatten. Identificeer de beste VM voor uw workload met behulp van de VM-selector. Zie Prijzen voor Linux en Windows voor meer informatie.

  • Implementeer kaders voor kosten. Gebruik governancebeleid om resourcetypen, configuraties en locaties te beperken. Gebruik RBAC om acties te blokkeren die kunnen leiden tot overschrijding van de besteding.

  • Kies de juiste resources. Uw selectie van VM-plangrootten en SKU's is rechtstreeks van invloed op de totale kosten. Kies VM's op basis van workloadkenmerken. Is de CPU van de workload intensief of worden er onderbreekbare processen uitgevoerd? Elke SKU heeft gekoppelde schijfopties die van invloed zijn op de totale kosten.

  • Kies de juiste mogelijkheden voor afhankelijke resources. Bespaar op back-upopslagkosten voor de kluis-standard-laag door gebruik te maken van Azure Backup-opslag met gereserveerde capaciteit. Het biedt een korting wanneer u een reservering voor een jaar of drie jaar vastlegt.

    De archieflaag in Azure Storage is een offlinelaag die is geoptimaliseerd voor het opslaan van blobgegevens die zelden worden geopend. De archieflaag biedt de laagste opslagkosten, maar hogere kosten voor het ophalen van gegevens en latentie in vergelijking met de dynamische en statische onlinelagen.

    Overweeg om zone-naar-zone-herstel na noodgevallen te gebruiken voor VM's om te herstellen van sitefouten en tegelijkertijd de complexiteit van de beschikbaarheid te verminderen met behulp van zone-redundante services. Er kunnen kostenvoordelen zijn door een verminderde operationele complexiteit.

  • Kies het juiste factureringsmodel. Evalueer of op toezegging gebaseerde modellen voor computing de kosten optimaliseren op basis van de bedrijfsvereisten van de workload. Overweeg deze Azure-opties:

    • Azure-reserveringen: vooruitbetalen voor voorspelbare workloads om de kosten te verlagen in vergelijking met prijzen op basis van verbruik.

      Belangrijk

      U kunt gereserveerde instanties aanschaffen om de Azure-kosten te verlagen voor workloads met een stabiel gebruik. Gebruik beheren om ervoor te zorgen dat u niet betaalt voor meer resources dan u gebruikt. Houd gereserveerde instanties eenvoudig en houd de beheeroverhead laag om de kosten te verlagen.

    • Besparingsplan: als u zich ertoe verbindt om een vast bedrag per uur te besteden aan rekenservices gedurende één of drie jaar, kan dit plan de kosten verlagen.
    • Azure Hybrid Benefit: sla op wanneer u uw on-premises VM's migreert naar Azure.
  • Gebruik bewaken. Bewaak continu gebruikspatronen en detecteer ongebruikte of onderbenutte VM's. Sluit voor deze exemplaren VM-exemplaren af wanneer ze niet in gebruik zijn. Bewaking is een belangrijke benadering van Operational Excellence. Zie de aanbevelingen in Operational Excellence voor meer informatie.

  • Zoek naar manieren om te optimaliseren. Sommige strategieën omvatten het kiezen van de meest kosteneffectieve benadering tussen het vergroten van resources in een bestaand systeem of omhoog schalen, en het toevoegen van meer exemplaren van dat systeem, of uitschalen. U kunt de vraag offloaden door deze te distribueren naar andere resources, of u kunt de vraag verminderen door prioriteitswachtrijen, gateway-offloading, buffering en snelheidsbeperking te implementeren. Zie de aanbevelingen in Prestatie-efficiëntie voor meer informatie.

Aanbevelingen

Aanbeveling Voordeel
(VM's, schaalset) Kies de juiste grootte en SKU van het VM-plan. Identificeer de beste VM-grootten voor uw workload.
Gebruik de VM-selector om de beste VM voor uw workload te identificeren. Zie Prijzen voor Windows en Linux .

Voor workloads zoals zeer parallelle batchverwerkingstaken die bepaalde onderbrekingen kunnen verdragen, kunt u overwegen Om Azure Spot Virtual Machines te gebruiken. Virtuele spot-machines zijn geschikt voor het experimenteren, ontwikkelen en testen van grootschalige oplossingen.
SKU's worden geprijsd op basis van de mogelijkheden die ze bieden. Als u geen geavanceerde mogelijkheden nodig hebt, moet u niet te veel geld uittrekken voor SKU's.

Spot-vm's profiteren van de overtollige capaciteit in Azure tegen lagere kosten.
(VM's, schaalset) Evalueer de schijfopties die zijn gekoppeld aan de SKU's van uw VM.
Bepaal uw prestatiebehoeften en houd daarbij rekening met uw opslagcapaciteitsbehoeften en houd rekening met fluctuerende workloadpatronen.
Met de Azure Premium SSD v2-schijf kunt u bijvoorbeeld uw prestaties nauwkeurig aanpassen, afhankelijk van de grootte van de schijf.
Sommige schijftypen met hoge prestaties bieden extra kostenoptimalisatiefuncties en -strategieën.
De aanpassingsmogelijkheid van de Premium SSD v2-schijf kan de kosten verlagen omdat deze hoge prestaties biedt zonder overprovisioning, wat anders zou kunnen leiden tot onderbenutte resources.
(Schaalset) Combineer gewone VM's met virtuele spot-machines.
Met flexibele indeling kunt u spot-virtuele machines distribueren op basis van een opgegeven percentage.
Verlaag de kosten van de rekeninfrastructuur door de verregaande kortingen van virtuele spot-machines toe te passen.
(Schaalset) Verminder het aantal VM-exemplaren wanneer de vraag afneemt.
Stel een inschaalbeleid in op basis van criteria.

Vm's buiten kantooruren stoppen. U kunt de functie Azure Automation Starten/stoppen gebruiken en deze configureren op basis van de behoeften van uw bedrijf.
Door resources in te schalen of te stoppen wanneer ze niet in gebruik zijn, vermindert u het aantal vm's dat in de schaalset wordt uitgevoerd, waardoor er kosten worden bespaard.
De functie Starten/stoppen is een goedkope automatiseringsoptie.
(VM's, schaalset) Profiteer van licentiemobiliteit met behulp van Azure Hybrid Benefit. VM's hebben een licentieoptie waarmee u uw eigen on-premises Windows Server-besturingssysteemlicenties kunt meenemen naar Azure.
met Azure Hybrid Benefit kunt u ook bepaalde Linux-abonnementen naar Azure brengen.
U kunt uw on-premises licenties maximaliseren en tegelijkertijd profiteren van de voordelen van de cloud.

Operationele topprestaties

Operational Excellence richt zich voornamelijk op procedures voor ontwikkelprocedures, waarneembaarheid en releasebeheer.

De ontwerpprincipes van Operational Excellence bieden een ontwerpstrategie op hoog niveau om deze doelstellingen voor de operationele vereisten van de workload te bereiken.

Controlelijst voor ontwerp

Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Operational Excellence voor het definiëren van processen voor waarneembaarheid, testen en implementatie met betrekking tot Virtual Machines en schaalsets.

  • Bewaak de VM-exemplaren. Verzamel logboeken en metrische gegevens van VM-exemplaren om het resourcegebruik te bewaken en de status van de exemplaren te meten. Enkele algemene metrische gegevens zijn CPU-gebruik, aantal aanvragen en I/O-latentie (invoer/uitvoer). Stel Azure Monitor-waarschuwingen in om te worden gewaarschuwd over problemen en om configuratiewijzigingen in uw omgeving te detecteren.

  • De status van de VM's en hun afhankelijkheden bewaken.

    • Implementeer bewakingsonderdelen om logboeken en metrische gegevens te verzamelen die een uitgebreid overzicht geven van uw VM's, gastbesturingssystemen en diagnostische opstartgegevens. Virtual Machine Scale Sets samengetelde telemetrie, waarmee u metrische statusgegevens op het niveau van een afzonderlijke VM of als een aggregatie kunt bekijken. Gebruik Azure Monitor om deze gegevens per VM of geaggregeerd over meerdere VM's weer te geven. Zie Aanbevelingen voor het bewaken van agents voor meer informatie.
    • Profiteer van netwerkonderdelen die de status van VM's controleren. Azure Load Balancer pingt bijvoorbeeld VM's om beschadigde VM's te detecteren en het verkeer dienovereenkomstig om te leiden.
    • Azure Monitor-waarschuwingsregels instellen. Bepaal belangrijke voorwaarden in uw bewakingsgegevens om problemen te identificeren en op te lossen voordat ze van invloed zijn op het systeem.
  • Maak een onderhoudsplan met regelmatige systeempatching als onderdeel van routinebewerkingen. Neem noodprocessen op die onmiddellijke patchtoepassing mogelijk maken. U kunt aangepaste processen hebben om patching te beheren of de taak gedeeltelijk aan Azure te delegeren. Azure biedt functies voor onderhoud van afzonderlijke VM's. U kunt onderhoudsvensters instellen om onderbrekingen tijdens updates te minimaliseren. Tijdens platformupdates zijn overwegingen voor foutdomeinen essentieel voor tolerantie. U wordt aangeraden ten minste twee exemplaren in een zone te implementeren. Twee VM's per zone garanderen minimaal één VM in elke zone, omdat slechts één foutdomein in een zone tegelijk wordt bijgewerkt. Richt dus voor drie zones ten minste zes exemplaren in.

  • Automatiseer processen voor bootstrapping, het uitvoeren van scripts en het configureren van VM's. U kunt processen automatiseren met behulp van extensies of aangepaste scripts. De volgende opties worden aangeraden:

    • De Key Vault VM-extensie vernieuwt automatisch certificaten die zijn opgeslagen in een sleutelkluis.

    • De aangepaste scriptextensie van Azure voor Windows en Linux downloadt en voert scripts uit op Virtual Machines. Gebruik deze extensie voor configuratie na implementatie, software-installatie of een andere configuratie- of beheertaak.

    • Gebruik cloud-init om de opstartomgeving in te stellen voor virtuele Linux-machines.

  • Beschikken over processen voor het installeren van automatische updates. Overweeg automatische VM-gastpatches te gebruiken voor een tijdige implementatie van kritieke patches en beveiligingspatches. Gebruik Updatebeheer in Azure Automation om besturingssysteemupdates te beheren voor uw Windows- en Linux-VM's in Azure.

  • Bouw een testomgeving die nauw overeenkomt met uw productieomgeving om updates en wijzigingen te testen voordat u ze in productie implementeert. Zorg voor processen om de beveiligingsupdates, prestatiebasislijnen en betrouwbaarheidsfouten te testen. Profiteer van Azure Chaos Studio-foutbibliotheken om foutvoorwaarden te injecteren en te simuleren. Zie Azure Chaos Studio-fout- en actiebibliotheek voor meer informatie.

  • Uw quotum beheren. Plan het quotumniveau dat uw workload vereist en controleer dat niveau regelmatig naarmate de workload zich ontwikkelt. Als u uw quotum wilt verhogen of verlagen, vraagt u deze wijzigingen vroeg aan.

Aanbevelingen

Aanbeveling Voordeel
(Schaalset) Virtual Machine Scale Sets in de modus Flexibele indeling kunt u helpen de implementatie en het beheer van uw workload te vereenvoudigen. U kunt bijvoorbeeld eenvoudig zelfherstel beheren met behulp van automatische reparaties. Flexibele indeling kan VM-exemplaren op schaal beheren. Het overdragen van afzonderlijke VM's voegt operationele overhead toe.

Wanneer u bijvoorbeeld VM-exemplaren verwijdert, worden de gekoppelde schijven en NIC's ook automatisch verwijderd. VM-exemplaren worden verspreid over meerdere foutdomeinen, zodat updatebewerkingen de service niet verstoren.
(Schaalset) Houd uw VM's up-to-date door een upgradebeleid in te stellen. We raden rolling upgrades aan. Als u echter gedetailleerde controle nodig hebt, kiest u ervoor om handmatig een upgrade uit te voeren.

Voor Flexibele indeling kunt u Updatebeheer gebruiken in Azure Automation.
Beveiliging is de primaire reden voor upgrades. Beveiligingsgaranties voor de exemplaren mogen na verloop van tijd niet vervallen.

Rolling upgrades worden uitgevoerd in batches, zodat niet alle exemplaren tegelijkertijd offline zijn.
(VM's, schaalset) Implementeer automatisch VM-toepassingen vanuit de Azure Compute Gallery door de toepassingen in het profiel te definiëren. De VM's in de schaalset worden gemaakt en de opgegeven apps zijn vooraf geïnstalleerd, waardoor het beheer eenvoudiger wordt.
Installeer vooraf gemaakte softwareonderdelen als extensies als onderdeel van bootstrapping.
Azure ondersteunt veel extensies die kunnen worden gebruikt voor het configureren, bewaken, beveiligen en leveren van hulpprogramma's voor uw VM's.

Automatische upgrades voor extensies inschakelen .
Met extensies kunt u de software-installatie op schaal vereenvoudigen zonder dat u deze handmatig op elke VM hoeft te installeren, configureren of upgraden.
(VM's, schaalset) Bewaak en meet de status van de VM-exemplaren.

Implementeer de agentextensie Controleren op uw VM's om bewakingsgegevens van het gastbesturingssysteem te verzamelen met besturingssysteemspecifieke regels voor gegevensverzameling.

Vm-inzichten inschakelen om de status en prestaties te bewaken en trends weer te geven op basis van de verzamelde gegevens.

Gebruik diagnostische gegevens over opstarten om informatie op te halen wanneer VM's worden opgestart. Diagnostische gegevens over opstarten diagnosticeren ook opstartfouten.
Bewakingsgegevens zijn de kern van het oplossen van incidenten. Een uitgebreide bewakingsstack biedt informatie over hoe de VM's presteren en hun status. Door de exemplaren continu te bewaken, kunt u klaar zijn voor fouten, zoals overbelasting van prestaties en betrouwbaarheidsproblemen, of deze voorkomen.

Prestatie-efficiëntie

Prestatie-efficiëntie gaat over het handhaven van de gebruikerservaring, zelfs wanneer de belasting toeneemt door capaciteit te beheren. De strategie omvat het schalen van resources, het identificeren en optimaliseren van mogelijke knelpunten en het optimaliseren van piekprestaties.

De ontwerpprincipes voor prestatie-efficiëntie bieden een ontwerpstrategie op hoog niveau om deze capaciteitsdoelen te bereiken ten opzichte van het verwachte gebruik.

Controlelijst voor ontwerp

Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Prestatie-efficiëntie. Definieer een basislijn die is gebaseerd op key performance indicators voor Virtual Machines en schaalsets.

  • Prestatiedoelen definiëren. Identificeer metrische VM-gegevens om prestatie-indicatoren bij te houden en te meten als reactietijd, CPU-gebruik en geheugengebruik, evenals metrische gegevens over workloads, zoals transacties per seconde, gelijktijdige gebruikers en beschikbaarheid en status.

  • Houd rekening met het prestatieprofiel van VM's, schaalsets en schijfconfiguratie in uw capaciteitsplanning. Elke SKU heeft een ander profiel van geheugen en CPU en gedraagt zich anders, afhankelijk van het type workload. Voer pilots en proofs of concept uit om inzicht te hebben in het prestatiegedrag onder de specifieke workload.

  • VM-prestaties afstemmen. Profiteer van prestatieoptimalisatie en het verbeteren van functies zoals vereist door de workload. Gebruik bijvoorbeeld lokaal gekoppelde niet-vluchtige geheugen express (NVMe) voor gebruiksvoorbeelden met hoge prestaties en versneld netwerken, en gebruik Premium SSD v2 voor betere prestaties en schaalbaarheid.

  • Rekening houden met de afhankelijke services. Workloadafhankelijkheden, zoals caching, netwerkverkeer en netwerken voor inhoudslevering, die communiceren met de VM's, kunnen de prestaties beïnvloeden. Overweeg ook geografische distributie, zoals zones en regio's, die latentie kunnen toevoegen.

  • Prestatiegegevens verzamelen. Volg de best practices voor operational excellence voor het bewaken en implementeren van de juiste extensies om metrische gegevens weer te geven die worden bijgehouden op basis van prestatie-indicatoren.

  • Nabijheidsplaatsingsgroepen. Gebruik nabijheidsplaatsingsgroepen in workloads waarbij lage latentie is vereist om ervoor te zorgen dat VM's zich fysiek dicht bij elkaar bevinden.

Aanbevelingen

Aanbeveling Voordeel
(VM's, schaalset) Kies SKU's voor VM's die zijn afgestemd op uw capaciteitsplanning.

Een goed begrip van uw workloadvereisten, inclusief het aantal kernen, geheugen, opslag en netwerkbandbreedte, zodat u ongeschikte SKU's kunt filteren.
Het instellen van rechten voor uw VM's is een fundamentele beslissing die de prestaties van uw workload aanzienlijk beïnvloedt. Zonder de juiste set VM's kunt u prestatieproblemen ondervinden en onnodige kosten maken.
(VM's, schaalset) Implementeer latentiegevoelige workload-VM's in nabijheidsplaatsingsgroepen. Nabijheidsplaatsingsgroepen verminderen de fysieke afstand tussen Azure-rekenresources, waardoor de prestaties kunnen worden verbeterd en de netwerklatentie tussen zelfstandige VM's, VM's in meerdere beschikbaarheidssets of VM's in meerdere schaalsets kan worden verminderd.
(VM's, schaalset) Stel het opslagprofiel in door de schijfprestaties van bestaande workloads en de VM-SKU te analyseren.

Gebruik Premium SSD's voor productie-VM's. Pas de prestaties van schijven aan met Premium SSD v2.

Lokaal gekoppelde NVMe-apparaten gebruiken.
Premium SSD's bieden schijfondersteuning met hoge prestaties en lage latentie voor VM's met I/O-intensieve workloads.
Voor Premium SSD v2 is geen schijfgrootte vereist, waardoor hoge prestaties mogelijk zijn zonder overmatige over-inrichting en de kosten van ongebruikte capaciteit worden geminimaliseerd.

Indien beschikbaar op VM-SKU's, kunnen lokaal gekoppelde NVMe of vergelijkbare apparaten hoge prestaties bieden, met name voor gebruiksvoorbeelden waarvoor hoge invoer-/uitvoerbewerkingen per seconde (IOPS) en lage latentie zijn vereist.
(VM's) Overweeg versneld netwerken in te schakelen. Het maakt I/O-virtualisatie met één hoofdmap (SR-IOV) voor een VM mogelijk, waardoor de netwerkprestaties aanzienlijk worden verbeterd.
(VM's, schaalset) Stel regels voor automatische schaalaanpassing in om het aantal VM-exemplaren in uw schaalset te verhogen of te verlagen op basis van de vraag. Als de vraag van uw toepassing toeneemt, neemt de belasting van de VM-exemplaren in de schaalset ook toe. Regels voor automatische schaalaanpassing zorgen ervoor dat u voldoende resources hebt om aan de vraag te voldoen.

Azure-beleid

Azure biedt een uitgebreide set ingebouwde beleidsregels met betrekking tot Virtual Machines en de bijbehorende afhankelijkheden. Sommige van de voorgaande aanbevelingen kunnen worden gecontroleerd via Azure Policy. U kunt bijvoorbeeld controleren of:

  • Versleuteling op de host is ingeschakeld.
  • Antimalware-extensies worden geïmplementeerd en ingeschakeld voor automatische updates op VM's waarop Windows Server wordt uitgevoerd.
  • Automatische patching van installatiekopieën van het besturingssysteem op schaalsets is ingeschakeld.
  • Alleen goedgekeurde VM-extensies worden geïnstalleerd.
  • De Monitor-agent en de afhankelijkheidsagents worden ingeschakeld op nieuwe VM's in uw Azure-omgeving.
  • Alleen de toegestane VM-SKU's worden geïmplementeerd om grootten te beperken op basis van kostenbeperkingen.
  • Privé-eindpunten worden gebruikt voor toegang tot schijfresources.
  • Detectie van beveiligingsproblemen is ingeschakeld. Er zijn gespecialiseerde regels voor Windows-computers. U kunt bijvoorbeeld Windows Defender plannen om elke dag te scannen.

Voor uitgebreide governance raadpleegt u de Azure Policy ingebouwde definities voor Virtual Machines en andere beleidsregels die van invloed kunnen zijn op de beveiliging van de rekenlaag.

Aanbevelingen voor Azure Advisor

Azure Advisor is een persoonlijke cloudconsultant die u helpt bij het volgen van best practices voor het optimaliseren van uw Azure-implementaties. Hier volgen enkele aanbevelingen waarmee u de betrouwbaarheid, beveiliging, kosteneffectiviteit, prestaties en operationele uitmuntendheid van Virtual Machines kunt verbeteren.

Volgende stappen

Bekijk de volgende artikelen als resources die de aanbevelingen laten zien die in dit artikel zijn gemarkeerd.