Perspectiva do Azure Well-Architected Framework sobre Máquinas Virtuais e conjuntos de dimensionamento
O Azure Máquinas Virtuais é um tipo de serviço de computação que você pode usar para criar e executar VMs (máquinas virtuais) na plataforma do Azure. Ele oferece flexibilidade em diferentes SKUs, sistemas operacionais e configurações com vários modelos de cobrança.
Este artigo pressupõe que, como arquiteto, você examinou a árvore de decisão de computação e escolheu Máquinas Virtuais como o serviço de computação para sua carga de trabalho. As diretrizes neste artigo fornecem recomendações de arquitetura mapeadas para os princípios dos pilares do Azure Well-Architected Framework.
Importante
Como usar este guia
Cada seção tem uma lista de verificação de design que apresenta áreas arquitetônicas preocupantes, juntamente com estratégias de design localizadas para o escopo da tecnologia.
Também estão incluídas recomendações sobre as funcionalidades de tecnologia que podem ajudar a materializar essas estratégias. As recomendações não representam uma lista completa de todas as configurações disponíveis para Máquinas Virtuais e suas dependências. Em vez disso, eles listam as principais recomendações mapeadas para as perspectivas de design. Use as recomendações para criar sua prova de conceito ou otimizar seus ambientes existentes.
Arquitetura fundamental que demonstra as principais recomendações: Máquinas Virtuais arquitetura de linha de base.
Escopo de tecnologia
Esta revisão se concentra nas decisões inter-relacionadas para os seguintes recursos do Azure:
Máquinas Virtuais
Conjuntos de dimensionamento de máquina virtual do Azure
Discos
Os discos são uma dependência crítica para arquiteturas baseadas em VM. Para obter mais informações, consulte Discos e otimização.
Confiabilidade
A finalidade do pilar confiabilidade é fornecer funcionalidade contínua criando resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.
Os princípios de design de confiabilidade fornecem uma estratégia de design de alto nível aplicada a componentes individuais, fluxos do sistema e o sistema como um todo.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Confiabilidade. Determine sua relevância para seus requisitos de negócios, tendo em mente os SKUs e os recursos das VMs e suas dependências. Estenda a estratégia para incluir mais abordagens conforme necessário.
Examine Máquinas Virtuais cotas e limites que podem representar restrições de design. As VMs têm limites e cotas específicos, que variam de acordo com o tipo de VM ou a região. Pode haver restrições de assinatura, como o número de VMs por assinatura ou o número de núcleos por VM. Se outras cargas de trabalho compartilharem sua assinatura, sua capacidade de consumir dados poderá ser reduzida. Verifique os limites em VMs, conjuntos de dimensionamento de máquinas virtuais e discos gerenciados.
Realize uma análise de modo de falha para minimizar pontos de falha analisando interações de VM com os componentes de rede e armazenamento. Escolha configurações como discos do so (sistema operacional) efêmero para localizar o acesso ao disco e evitar saltos de rede. Adicione um balanceador de carga para aprimorar a autopreservação distribuindo o tráfego de rede entre várias VMs, o que melhora a disponibilidade e a confiabilidade.
Calcule seus SLOs (objetivos de nível de serviço) compostos com base em SLAs (contratos de nível de serviço) do Azure. Verifique se o SLO não é maior do que os SLAs do Azure para evitar expectativas irreais e possíveis problemas.
Esteja ciente das complexidades que as dependências introduzem. Por exemplo, algumas dependências, como redes virtuais e NICs (placas de interface de rede), não têm seus próprios SLAs. Outras dependências, como um disco de dados associado, têm SLAs que se integram a SLAs de VM. Você deve considerar essas variações porque elas podem afetar o desempenho e a confiabilidade da VM.
Fator nas dependências críticas das VMs em componentes como discos e componentes de rede. Se você entender essas relações, poderá determinar os fluxos críticos que afetam a confiabilidade.
Criar isolamento de estado. Os dados da carga de trabalho devem estar em um disco de dados separado para evitar interferência no disco do sistema operacional. Se uma VM falhar, você poderá criar um disco do sistema operacional com o mesmo disco de dados, o que garante resiliência e isolamento de falhas. Para obter mais informações, consulte Discos do sistema operacional efêmero.
Tornar as VMs e suas dependências redundantes entre zonas. Se uma VM falhar, a carga de trabalho deverá continuar funcionando devido à redundância. Inclua dependências em suas opções de redundância. Por exemplo, use as opções de redundância interna que estão disponíveis com discos. Use IPs com redundância de zona para garantir a disponibilidade de dados e o alto tempo de atividade.
Esteja pronto para escalar verticalmente e escalar horizontalmente para evitar a degradação do nível de serviço e evitar falhas. Conjuntos de Dimensionamento de Máquinas Virtuais têm recursos de dimensionamento automático que criam novas instâncias conforme necessário e distribuem a carga entre várias VMs e zonas de disponibilidade.
Explore as opções de recuperação automática. O Azure dá suporte ao monitoramento de degradação de integridade e aos recursos de autorrecuperação para VMs. Por exemplo, os conjuntos de dimensionamento fornecem reparos automáticos de instância. Em cenários mais avançados, a autorrecuperação envolve o uso de Site Recovery do Azure, ter uma espera passiva para fazer failover ou reimplantar da IaC (infraestrutura como código). O método escolhido deve se alinhar aos requisitos de negócios e às operações organizacionais. Para obter mais informações, consulte Interrupções de serviço de VM.
Rightsize as VMs e suas dependências. Entenda o trabalho esperado da VM para garantir que ela não seja subdimensionada e possa lidar com a carga máxima. Ter capacidade extra para atenuar falhas.
Crie um plano de recuperação de desastre abrangente. A preparação para desastres envolve a criação de um plano abrangente e a decisão sobre uma tecnologia para recuperação.
Dependências e componentes com estado, como o armazenamento anexado, podem complicar a recuperação. Se os discos falharem, essa falha afetará o funcionamento da VM. Inclua um processo claro para essas dependências em seus planos de recuperação.
Executar operações com rigor. As opções de design de confiabilidade devem ser compatíveis com operações efetivas com base nos princípios de monitoramento, teste de resiliência em produção, patches e atualizações de VM de aplicativos automatizados e consistência de implantações. Para obter diretrizes operacionais, consulte Excelência Operacional.
Recomendações
| Recomendação | Benefício |
|---|---|
| (Conjunto de dimensionamento) Use Conjuntos de Dimensionamento de Máquinas Virtuais no modo de orquestração flexível para implantar VMs. | À prova de futuro, seu aplicativo para dimensionamento e aproveitar as garantias de alta disponibilidade que espalham VMs entre domínios de falha em uma região ou em uma zona de disponibilidade. |
| (VMs) Implemente pontos de extremidade de integridade de integridade que emitem status de integridade da instância em VMs. (Conjunto de dimensionamento) Habilite os reparos automáticos no conjunto de dimensionamento especificando a ação de reparo preferencial. Considere definir um período durante o qual os reparos automáticos pausam se o estado da VM for alterado. |
Mantenha a disponibilidade mesmo se uma instância for considerada não íntegra. Os reparos automáticos iniciam a recuperação substituindo a instância com falha. Definir uma janela de tempo pode impedir operações de reparo inadvertidas ou prematuras. |
| (Conjunto de dimensionamento) Habilite o superprovisionamento em conjuntos de dimensionamento. | O excesso de provisionamento reduz os tempos de implantação e tem um benefício de custo porque as VMs extras não são cobradas. |
| (Conjunto de dimensionamento) Permita que a orquestração flexível espalhe as instâncias de VM pelo maior número possível de domínios de falha. | Essa opção isola os domínios de falha. Durante os períodos de manutenção, quando um domínio de falha é atualizado, as instâncias de VM estão disponíveis nos outros domínios de falha. |
| (Conjunto de dimensionamento) Implantar entre zonas de disponibilidade em conjuntos de dimensionamento. Configure pelo menos duas instâncias em cada zona. O balanceamento de zona distribui igualmente as instâncias entre zonas. |
As instâncias de VM são provisionadas em locais fisicamente separados em cada região do Azure tolerantes a falhas locais. Tenha em mente que, dependendo da disponibilidade do recurso, pode haver um número desigual de instâncias entre zonas. O balanceamento de zona dá suporte à disponibilidade certificando-se de que, se uma zona estiver inativa, as outras zonas terão instâncias suficientes. Duas instâncias em cada zona fornecem um buffer durante as atualizações. |
| (VMs) Aproveite o recurso de reservas de capacidade. | A capacidade é reservada para seu uso e está disponível dentro do escopo dos SLAs aplicáveis. Você pode excluir reservas de capacidade quando não precisar mais delas, e a cobrança é baseada em consumo. |
Dica
Para obter mais informações sobre confiabilidade para VMs, consulte Confiabilidade em Máquinas Virtuais.
Segurança
A finalidade do pilar segurança é fornecer garantias de confidencialidade, integridade e disponibilidade para a carga de trabalho.
Os princípios de design de segurança fornecem uma estratégia de design de alto nível para atingir essas metas aplicando abordagens ao design técnico de Máquinas Virtuais.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Segurança. Identifique vulnerabilidades e controles para melhorar a postura de segurança. Estenda a estratégia para incluir mais abordagens conforme necessário.
Examine as linhas de base de segurança para VMs Linux e Windows e Conjuntos de Dimensionamento de Máquinas Virtuais.
Como parte de suas opções de tecnologia de linha de base, considere os recursos de segurança das SKUs de VM que dão suporte à sua carga de trabalho.
Garanta atualizações e aplicação de patch de segurança automatizadas e oportunas. Verifique se as atualizações são distribuídas e validadas automaticamente usando um processo bem definido. Use uma solução como Automação do Azure para gerenciar atualizações do sistema operacional e manter a conformidade de segurança fazendo atualizações críticas.
Identifique as VMs que contêm o estado. Certifique-se de que os dados sejam classificados de acordo com os rótulos de confidencialidade fornecidos pela sua organização. Proteja os dados usando controles de segurança, como níveis apropriados de criptografia em repouso e em trânsito. Se você tiver requisitos de alta confidencialidade, considere o uso de controles de alta segurança, como criptografia dupla e computação confidencial do Azure, para proteger os dados em uso.
Forneça segmentação para as VMs e conjuntos de dimensionamento definindo limites de rede e controles de acesso. Coloque as VMs em grupos de recursos que compartilham o mesmo ciclo de vida.
Aplique controles de acesso às identidades que tentam acessar as VMs e também às VMs que alcançam outros recursos. Use Microsoft Entra ID para necessidades de autenticação e autorização. Coloque senhas fortes, autenticação multifator e RBAC (controle de acesso baseado em função) em vigor para suas VMs e suas dependências, como segredos, para permitir que as identidades permitidas executem apenas as operações esperadas de suas funções.
Restrinja o acesso a recursos com base em condições usando Microsoft Entra acesso condicional. Defina as políticas condicionais com base na duração e no conjunto mínimo de permissões necessárias.
Use controles de rede para restringir o tráfego de entrada e saída. Isole VMs e conjuntos de dimensionamento no Azure Rede Virtual e defina grupos de segurança de rede para filtrar o tráfego. Proteja-se contra ataques de DDoS (negação de serviço distribuído). Use balanceadores de carga e regras de firewall para proteger contra ataques de exfiltração de dados e tráfego mal-intencionado.
Use o Azure Bastion para fornecer conectividade segura às VMs para acesso operacional.
A comunicação entre as VMs e as soluções de PaaS (plataforma como serviço) deve ser por pontos de extremidade privados.
Reduza a superfície de ataque protegendo imagens do sistema operacional e removendo componentes não utilizados. Use imagens menores e remova binários que não são necessários para executar a carga de trabalho. Aperte as configurações de VM removendo recursos, como contas e portas padrão, que você não precisa.
Proteja segredos como os certificados necessários para proteger os dados em trânsito. Considere usar a extensão de Key Vault do Azure para Windows ou Linux que atualiza automaticamente os certificados armazenados em um cofre de chaves. Quando detecta uma alteração nos certificados, a extensão recupera e instala os certificados correspondentes.
Detecção de ameaças. Monitore as VMs quanto a ameaças e configurações incorretas. Use o Defender para Servidores para capturar alterações de VM e sistema operacional e manter uma trilha de auditoria de acesso, novas contas e alterações nas permissões.
Prevenção contra ameaças. Proteja-se contra ataques de malware e atores mal-intencionados implementando controles de segurança como firewalls, software antivírus e sistemas de detecção de intrusão. Determine se um TEE (Ambiente de Execução Confiável) é necessário.
Recomendações
| Recomendação | Benefício |
|---|---|
| (Conjunto de dimensionamento) Atribua uma identidade gerenciada a conjuntos de dimensionamento. Todas as VMs no conjunto de dimensionamento obtêm a mesma identidade por meio do perfil de VM especificado. (VMs) Você também pode atribuir uma identidade gerenciada a VMs individuais ao criá-las e, em seguida, adicioná-la a um conjunto de dimensionamento, se necessário. |
Quando as VMs se comunicam com outros recursos, elas cruzam um limite de confiança. Conjuntos de dimensionamento e VMs devem autenticar sua identidade antes que a comunicação seja permitida. Microsoft Entra ID manipula essa autenticação usando identidades gerenciadas. |
| (Conjunto de dimensionamento) Escolha SKUs de VM com recursos de segurança. Por exemplo, alguns SKUs dão suporte à criptografia BitLocker e a computação confidencial fornece criptografia de dados em uso. Examine os recursos para entender as limitações. |
Os recursos fornecidos pelo Azure são baseados em sinais capturados em muitos locatários e podem proteger recursos melhor do que controles personalizados. Você também pode usar políticas para impor esses controles. |
| (VMs, conjunto de dimensionamento) Aplique marcas recomendadas pela organização nos recursos provisionados. | A marcação é uma maneira comum de segmentar e organizar recursos e pode ser crucial durante o gerenciamento de incidentes. Para obter mais informações, consulte Finalidade de nomenclatura e marcação. |
| (VMs, conjunto de dimensionamento) Defina um perfil de segurança com os recursos de segurança que você deseja habilitar na configuração da VM. Por exemplo, quando você especifica a criptografia no host no perfil, os dados armazenados no host da VM são criptografados em repouso e os fluxos são criptografados para o serviço de armazenamento. |
Os recursos no perfil de segurança são habilitados automaticamente quando a VM é criada. Para obter mais informações, consulte Linha de base de segurança do Azure para Conjuntos de Dimensionamento de Máquinas Virtuais. |
| (VMs) Escolha opções de rede segura para o perfil de rede da VM. Não associe diretamente endereços IP públicos às suas VMs e não habilite o encaminhamento de IP. Verifique se todos os adaptadores de rede virtual têm um grupo de segurança de rede associado. |
Você pode definir controles de segmentação no perfil de rede. Os invasores examinam endereços IP públicos, o que torna as VMs vulneráveis a ameaças. |
| (VMs) Escolha opções de armazenamento seguro para o perfil de armazenamento da VM. Habilite a criptografia de disco e a criptografia de dados em repouso por padrão. Desabilite o acesso à rede pública para os discos de VM. |
Desabilitar o acesso à rede pública ajuda a impedir o acesso não autorizado aos seus dados e recursos. |
| (VMs, conjunto de dimensionamento) Inclua extensões em suas VMs que protegem contra ameaças. Por exemplo, - extensão Key Vault para Windows e Linux - autenticação Microsoft Entra ID - Microsoft Antimalware para Serviços de Nuvem e Máquinas Virtuais do Azure - Extensão do Azure Disk Encryption para Windows e Linux. |
As extensões são usadas para inicializar as VMs com o software certo que protege o acesso de e para as VMs. As extensões fornecidas pela Microsoft são atualizadas com frequência para acompanhar os padrões de segurança em evolução. |
Otimização de custos
A Otimização de Custos concentra-se na detecção de padrões de gastos, na priorização de investimentos em áreas críticas e na otimização em outras pessoas para atender ao orçamento da organização e atender aos requisitos de negócios.
Os princípios de design de Otimização de Custos fornecem uma estratégia de design de alto nível para atingir essas metas e fazer compensações conforme necessário no design técnico relacionado a Máquinas Virtuais e seu ambiente.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Otimização de Custos para investimentos. Ajuste o design para que a carga de trabalho seja alinhada com o orçamento alocado para a carga de trabalho. Seu design deve usar as funcionalidades certas do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.
Estimar custos realistas. Use a calculadora de preços para estimar os custos de suas VMs. Identifique a melhor VM para sua carga de trabalho usando o seletor de VM. Para obter mais informações, consulte Preços do Linux e do Windows .
Implementar proteções de custo. Use políticas de governança para restringir tipos de recursos, configurações e locais. Use o RBAC para bloquear ações que podem levar a gastos excessivos.
Escolha os recursos certos. Sua seleção de tamanhos de plano de VM e SKUs afeta diretamente o custo geral. Escolha VMs com base nas características da carga de trabalho. A CPU da carga de trabalho é intensiva ou executa processos interrompíveis? Cada SKU tem opções de disco associadas que afetam o custo geral.
Escolha os recursos corretos para recursos dependentes. Economize nos custos de armazenamento de backup para a camada padrão do cofre usando Backup do Azure armazenamento com capacidade reservada. Ele oferece um desconto quando você se compromete com uma reserva por um ou três anos.
A camada de arquivos no Armazenamento do Azure é uma camada offline otimizada para armazenar dados de blob que raramente são acessados. A camada de arquivos oferece os menores custos de armazenamento, mas custos de recuperação de dados e latência mais altos em comparação com as camadas online frequentes e esporádicas.
Considere usar a recuperação de desastre de zona para zona para VMs se recuperarem de falhas de site, reduzindo a complexidade da disponibilidade usando serviços com redundância de zona. Pode haver benefícios de custo com a redução da complexidade operacional.
Escolha o modelo de cobrança certo. Avalie se os modelos baseados em compromisso para computação otimizam os custos com base nos requisitos de negócios da carga de trabalho. Considere estas opções do Azure:
- Reservas do Azure: pagar antecipadamente por cargas de trabalho previsíveis para reduzir os custos em comparação com os preços baseados em consumo.
Importante
Compre instâncias reservadas para reduzir os custos do Azure para cargas de trabalho que têm uso estável. Gerencie o uso para garantir que você não esteja pagando por mais recursos do que está usando. Mantenha as instâncias reservadas simples e mantenha a sobrecarga de gerenciamento baixa para reduzir os custos.
- Plano de economia: se você se comprometer a gastar um valor fixo por hora em serviços de computação por um ou três anos, esse plano poderá reduzir os custos.
- Benefício Híbrido do Azure: salve ao migrar suas VMs locais para o Azure.
- Reservas do Azure: pagar antecipadamente por cargas de trabalho previsíveis para reduzir os custos em comparação com os preços baseados em consumo.
Monitorar o uso. Monitore continuamente os padrões de uso e detecte VMs não utilizados ou subutilizadas. Para essas instâncias, desligue as instâncias de VM quando elas não estiverem em uso. O monitoramento é uma abordagem fundamental da Excelência Operacional. Para obter mais informações, consulte as recomendações em Excelência Operacional.
Procure maneiras de otimizar. Algumas estratégias incluem escolher a abordagem mais econômica entre aumentar os recursos em um sistema existente ou escalar verticalmente e adicionar mais instâncias desse sistema ou escalar horizontalmente. Você pode descarregar a demanda distribuindo-a para outros recursos ou pode reduzir a demanda implementando filas de prioridade, descarregamento de gateway, buffer e limitação de taxa. Para obter mais informações, consulte as recomendações em Eficiência de Desempenho.
Recomendações
| Recomendação | Benefício |
|---|---|
| (VMs, conjunto de dimensionamento) Escolha o tamanho e a SKU corretos do plano de VM. Identifique os melhores tamanhos de VM para sua carga de trabalho. Use o seletor de VM para identificar a melhor VM para sua carga de trabalho. Confira Preços do Windows e do Linux . Para cargas de trabalho como trabalhos de processamento em lotes altamente paralelos que podem tolerar algumas interrupções, considere usar o Azure Spot Máquinas Virtuais. As máquinas virtuais spot são boas para experimentar, desenvolver e testar soluções em grande escala. |
Os SKUs são precificados de acordo com as funcionalidades que oferecem. Se você não precisar de recursos avançados, não gasto demais em SKUs. As máquinas virtuais spot aproveitam a capacidade excedente no Azure a um custo menor. |
| (VMs, conjunto de dimensionamento) Avalie as opções de disco associadas aos SKUs da VM. Determine suas necessidades de desempenho, tendo em mente suas necessidades de capacidade de armazenamento e contabilizando padrões de carga de trabalho flutuantes. Por exemplo, o disco SSD Premium v2 do Azure permite que você ajuste granularmente o desempenho independentemente do tamanho do disco. |
Alguns tipos de disco de alto desempenho oferecem recursos e estratégias de otimização de custo extra. A funcionalidade de ajuste do disco SSD Premium v2 pode reduzir os custos porque fornece alto desempenho sem superprovisionamento, o que poderia levar a recursos subutilizados. |
| (Conjunto de dimensionamento) Misture VMs normais com máquinas virtuais spot. A orquestração flexível permite distribuir máquinas virtuais spot com base em uma porcentagem especificada. |
Reduza os custos de infraestrutura de computação aplicando os descontos profundos das máquinas virtuais spot. |
| (Conjunto de dimensionamento) Reduza o número de instâncias de VM quando a demanda diminuir. Defina uma política de redução horizontal com base em critérios. Interrompa as VMs fora do horário comercial. Você pode usar o recurso Iniciar/Parar Automação do Azure e configurá-lo de acordo com suas necessidades de negócios. |
O dimensionamento ou interrupção de recursos quando eles não estão em uso reduz o número de VMs em execução no conjunto de dimensionamento, o que economiza custos. O recurso Iniciar/Parar é uma opção de automação de baixo custo. |
| (VMs, conjunto de dimensionamento) Aproveite a mobilidade da licença usando Benefício Híbrido do Azure. As VMs têm uma opção de licenciamento que permite que você traga suas próprias licenças locais do sistema operacional Windows Server para o Azure. Benefício Híbrido do Azure também permite trazer determinadas assinaturas do Linux para o Azure. |
Você pode maximizar suas licenças locais ao obter os benefícios da nuvem. |
Excelência operacional
A Excelência Operacional concentra-se principalmente em procedimentos para práticas de desenvolvimento, observabilidade e gerenciamento de versão.
Os princípios de design de Excelência Operacional fornecem uma estratégia de design de alto nível para atingir essas metas para os requisitos operacionais da carga de trabalho.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Excelência Operacional para definir processos de observabilidade, teste e implantação relacionados a conjuntos de dimensionamento e Máquinas Virtuais.
Monitore as instâncias de VM. Colete logs e métricas de instâncias de VM para monitorar o uso de recursos e medir a integridade das instâncias. Algumas métricas comuns incluem o uso da CPU, o número de solicitações e a latência de E/S (entrada/saída). Configure alertas do Azure Monitor para serem notificados sobre problemas e detectar alterações de configuração em seu ambiente.
Monitore a integridade das VMs e suas dependências.
- Implante componentes de monitoramento para coletar logs e métricas que fornecem uma visão abrangente de suas VMs, sistema operacional convidado e dados de inicialização diagnóstico. Conjuntos de Dimensionamento de Máquinas Virtuais a telemetria acumulada, o que permite exibir métricas de integridade em um nível de VM individual ou como uma agregação. Use o Azure Monitor para exibir esses dados por VM ou agregados em várias VMs. Para obter mais informações, consulte Recomendações sobre agentes de monitoramento.
- Aproveite os componentes de rede que marcar a status de integridade das VMs. Por exemplo, Azure Load Balancer executa ping em VMs para detectar VMs não íntegras e redirecionar o tráfego adequadamente.
- Configurar regras de alerta do Azure Monitor. Determine condições importantes em seus dados de monitoramento para identificar e resolver problemas antes que eles afetem o sistema.
Crie um plano de manutenção que inclua a aplicação de patch regular do sistema como parte das operações de rotina. Inclua processos de emergência que permitem o aplicativo de patch imediato. Você pode ter processos personalizados para gerenciar a aplicação de patch ou delegar parcialmente a tarefa ao Azure. O Azure fornece recursos para manutenção de VM individual. Você pode configurar janelas de manutenção para minimizar interrupções durante as atualizações. Durante as atualizações da plataforma, as considerações de domínio de falha são fundamentais para a resiliência. Recomendamos que você implante pelo menos duas instâncias em uma zona. Duas VMs por zona garantem um mínimo de uma VM em cada zona porque apenas um domínio de falha em uma zona é atualizado por vez. Portanto, para três zonas, provisione pelo menos seis instâncias.
Automatize processos para inicialização, execução de scripts e configuração de VMs. Você pode automatizar processos usando extensões ou scripts personalizados. Recomendamos as seguintes opções:
A extensão de VM Key Vault atualiza automaticamente os certificados armazenados em um cofre de chaves.
A Extensão de Script Personalizado do Azure para Windows e Linux baixa e executa scripts no Máquinas Virtuais. Use essa extensão para a configuração pós-implantação, instalação de software ou qualquer outra tarefa de configuração ou gerenciamento.
Use cloud-init para configurar o ambiente de inicialização para VMs baseadas em Linux.
Tenha processos para instalar atualizações automáticas. Considere usar a aplicação automática de patch de convidado de VM para uma distribuição oportuna de patches críticos e patches de segurança. Use o Gerenciamento de Atualizações no Automação do Azure para gerenciar atualizações do sistema operacional para suas VMs Windows e Linux no Azure.
Crie um ambiente de teste que corresponda de perto ao seu ambiente de produção para testar atualizações e alterações antes de implantá-las na produção. Tenha processos em vigor para testar as atualizações de segurança, as linhas de base de desempenho e as falhas de confiabilidade. Aproveite as bibliotecas de falhas do Azure Chaos Studio para injetar e simular condições de erro. Para obter mais informações, confira Biblioteca de ações e falha do Azure Chaos Studio.
Gerencie sua cota. Planeje qual nível de cota sua carga de trabalho exige e examine esse nível regularmente à medida que a carga de trabalho evolui. Se você precisar aumentar ou diminuir sua cota, solicite essas alterações antecipadamente.
Recomendações
| Recomendação | Benefício |
|---|---|
| (Conjunto de dimensionamento) Conjuntos de Dimensionamento de Máquinas Virtuais no modo de orquestração flexível podem ajudar a simplificar a implantação e o gerenciamento da carga de trabalho. Por exemplo, você pode gerenciar facilmente a autorrecuperação usando reparos automáticos. | A orquestração flexível pode gerenciar instâncias de VM em escala. A entrega de VMs individuais adiciona sobrecarga operacional. Por exemplo, quando você exclui instâncias de VM, os discos e NICs associados também são excluídos automaticamente. As instâncias de VM são distribuídas em vários domínios de falha para que as operações de atualização não interrompam o serviço. |
| (Conjunto de dimensionamento) Mantenha suas VMs atualizadas definindo uma política de atualização. Recomendamos atualizações sem interrupção. No entanto, se você precisar de controle granular, escolha atualizar manualmente. Para orquestração flexível, você pode usar o gerenciamento de atualizações em Automação do Azure. |
A segurança é o principal motivo para atualizações. As garantias de segurança para as instâncias não devem ser deterioradas ao longo do tempo. Atualizações sem interrupção são feitas em lotes, o que garante que todas as instâncias não estejam inativas ao mesmo tempo. |
| (VMs, conjunto de dimensionamento) Implante automaticamente aplicativos de VM da Galeria de Computação do Azure definindo os aplicativos no perfil. | As VMs no conjunto de dimensionamento são criadas e os aplicativos especificados são pré-instalados, o que facilita o gerenciamento. |
| Instale componentes de software predefinidos como extensões como parte da inicialização. O Azure dá suporte a várias extensões que podem ser usadas para configurar, monitorar, proteger e fornecer aplicativos utilitários para suas VMs. Habilitar atualizações automáticas em extensões. |
As extensões podem ajudar a simplificar a instalação do software em escala sem que você precise instalá-la, configurar ou atualizá-la manualmente em cada VM. |
| (VMs, conjunto de dimensionamento) Monitore e meça a integridade das instâncias de VM. Implante a extensão Monitorar agente em suas VMs para coletar dados de monitoramento do sistema operacional convidado com regras de coleta de dados específicas do sistema operacional. Habilite os insights da VM para monitorar a integridade e o desempenho e exibir tendências dos dados coletados. Use diagnóstico de inicialização para obter informações como inicialização de VMs. As diagnóstico de inicialização também diagnosticam falhas de inicialização. |
Os dados de monitoramento estão no centro da resolução de incidentes. Uma pilha de monitoramento abrangente fornece informações sobre como as VMs estão sendo executadas e sua integridade. Ao monitorar continuamente as instâncias, você pode estar pronto para ou evitar falhas como sobrecarga de desempenho e problemas de confiabilidade. |
Eficiência de desempenho
A Eficiência de Desempenho se trata de manter a experiência do usuário mesmo quando há um aumento na carga gerenciando a capacidade. A estratégia inclui dimensionar recursos, identificar e otimizar possíveis gargalos e otimizar o desempenho de pico.
Os princípios de design de Eficiência de Desempenho fornecem uma estratégia de design de alto nível para atingir essas metas de capacidade em relação ao uso esperado.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Eficiência de Desempenho. Defina uma linha de base baseada nos principais indicadores de desempenho para Máquinas Virtuais e conjuntos de dimensionamento.
Definir destinos de desempenho. Identifique as métricas de VM para acompanhar e medir os indicadores de desempenho como tempo de resposta, utilização da CPU e utilização de memória, bem como métricas de carga de trabalho, como transações por segundo, usuários simultâneos e disponibilidade e integridade.
Fator no perfil de desempenho de VMs, conjuntos de dimensionamento e configuração de disco em seu planejamento de capacidade. Cada SKU tem um perfil diferente de memória e CPU e se comporta de forma diferente dependendo do tipo de carga de trabalho. Conduza pilotos e provas de conceito para entender o comportamento de desempenho na carga de trabalho específica.
Ajuste de desempenho da VM. Aproveite a otimização de desempenho e aprimoramento dos recursos conforme exigido pela carga de trabalho. Por exemplo, use NVMe (Express de Memória Não Volátil) anexado localmente para casos de uso de alto desempenho e rede acelerada e use o SSD Premium v2 para melhorar o desempenho e a escalabilidade.
Leve em conta os serviços dependentes. Dependências de carga de trabalho, como cache, tráfego de rede e redes de distribuição de conteúdo, que interagem com as VMs podem afetar o desempenho. Além disso, considere a distribuição geográfica, como zonas e regiões, que podem adicionar latência.
Coletar dados de desempenho. Siga as práticas recomendadas de Excelência Operacional para monitorar e implantar as extensões apropriadas para exibir as métricas que acompanham os indicadores de desempenho.
Grupos de posicionamento por proximidade. Use grupos de posicionamento por proximidade em cargas de trabalho em que a baixa latência é necessária para garantir que as VMs estejam fisicamente localizadas próximas umas das outras.
Recomendações
| Recomendação | Benefício |
|---|---|
| (VMs, conjunto de dimensionamento) Escolha SKUs para VMs que se alinham ao seu planejamento de capacidade. Tenha uma boa compreensão dos seus requisitos de carga de trabalho, incluindo o número de núcleos, memória, armazenamento e largura de banda de rede para que você possa filtrar SKUs inadequados. |
A rightsizing de suas VMs é uma decisão fundamental que afeta significativamente o desempenho da carga de trabalho. Sem o conjunto certo de VMs, você pode enfrentar problemas de desempenho e acumular custos desnecessários. |
| (VMs, conjunto de dimensionamento) Implante VMs de carga de trabalho sensíveis à latência em grupos de posicionamento por proximidade. | Os grupos de posicionamento por proximidade reduzem a distância física entre os recursos de computação do Azure, o que pode melhorar o desempenho e reduzir a latência de rede entre VMs autônomas, VMs em vários conjuntos de disponibilidade ou VMs em vários conjuntos de dimensionamento. |
| (VMs, conjunto de dimensionamento) Defina o perfil de armazenamento analisando o desempenho em disco das cargas de trabalho existentes e a SKU da VM. Use SSDs Premium para VMs de produção. Ajuste o desempenho dos discos com o SSD Premium v2. Use dispositivos NVMe anexados localmente. |
Os SSDs Premium oferecem suporte a discos de alto desempenho e baixa latência com cargas de trabalho com uso intensivo de E/S. O SSD Premium v2 não requer redimensionamento de disco, o que permite alto desempenho sem excesso de provisionamento e minimiza o custo da capacidade não utilizada. Quando disponível em SKUs de VM, o NVMe anexado localmente ou dispositivos semelhantes podem oferecer alto desempenho, especialmente para casos de uso que exigem altas operações de entrada/saída por segundo (IOPS) e baixa latência. |
| (VMs) Considere habilitar a rede acelerada. | Ele habilita a SR-IOV (virtualização de E/S raiz única) para uma VM, o que melhora muito o desempenho de rede. |
| (VMs, conjunto de dimensionamento) Defina regras de dimensionamento automático para aumentar ou diminuir o número de instâncias de VM em seu conjunto de dimensionamento com base na demanda. | Se a demanda do aplicativo aumentar, a carga em instâncias de VM no seu conjunto de dimensionamento também aumentará. As regras de dimensionamento automático garantem que você tenha recursos suficientes para atender à demanda. |
Políticas do Azure
O Azure fornece um amplo conjunto de políticas internas relacionadas a Máquinas Virtuais e suas dependências. Algumas das recomendações anteriores podem ser auditadas por meio de Azure Policy. Por exemplo, você pode marcar se:
- A criptografia no host está habilitada.
- Extensões antimalware são implantadas e habilitadas para atualizações automáticas em VMs que executam o Windows Server.
- A aplicação automática de patch de imagem do sistema operacional em conjuntos de dimensionamento está habilitada.
- Somente as extensões de VM aprovadas são instaladas.
- O agente monitor e os agentes de dependência estão habilitados em novas VMs em seu ambiente do Azure.
- Somente as SKUs de VM permitidas são implantadas para limitar tamanhos de acordo com restrições de custo.
- Pontos de extremidade privados são usados para acessar recursos de disco.
- A detecção de vulnerabilidades está habilitada. Há regras especializadas para computadores Windows. Por exemplo, você pode agendar Windows Defender para verificar todos os dias.
Para governança abrangente, examine as definições internas Azure Policy para Máquinas Virtuais e outras políticas que podem afetar a segurança da camada de computação.
Recomendações do Assistente do Azure
O Assistente do Azure é um consultor de nuvem personalizado que ajuda a seguir as práticas recomendadas para otimizar as implantações do Azure. Aqui estão algumas recomendações que podem ajudá-lo a melhorar a confiabilidade, a segurança, a eficácia do custo, o desempenho e a excelência operacional do Máquinas Virtuais.
Próximas etapas
Considere os artigos a seguir como recursos que demonstram as recomendações realçadas neste artigo.
- Use as seguintes arquiteturas de referência como exemplos de como você pode aplicar as diretrizes deste artigo a uma carga de trabalho:
- Arquiteturas de VM única: VM linux e VM do Windows
- Arquitetura fundamental que se concentra nas recomendações de infraestrutura: Máquinas Virtuais arquitetura de linha de base
- Crie experiência de implementação usando a seguinte documentação do produto:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de