Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As Máquinas Virtuais do Azure são um tipo de serviço de computação que você pode usar para criar e executar VMs (máquinas virtuais) na plataforma do Azure. Ele fornece flexibilidade em diferentes SKUs, sistemas operacionais e configurações com vários modelos de cobrança.
Este artigo pressupõe que, como arquiteto, você revisou a árvore de decisão de computação e escolheu Máquinas Virtuais como o serviço de computação para sua carga de trabalho. As diretrizes neste artigo fornecem recomendações arquitetônicas que são mapeadas para os princípios dos pilares do Well-Architected Framework.
Importante
Como usar este guia
Cada seção tem uma lista de verificação de design que apresenta áreas arquitetônicas preocupantes, juntamente com estratégias de design localizadas no escopo da tecnologia.
Também estão incluídas recomendações sobre os recursos de tecnologia que podem ajudar a materializar essas estratégias. As recomendações não representam uma lista completa de todas as configurações disponíveis para máquinas virtuais e suas dependências. Em vez disso, eles listam as principais recomendações alinhadas às perspectivas de design. Use as recomendações para criar sua prova de conceito ou otimizar seus ambientes existentes.
Arquitetura fundamental que demonstra as principais recomendações: arquitetura de linha de base de Máquinas Virtuais.
Escopo de tecnologia
Esta revisão se concentra nas decisões interrelacionadas para os seguintes recursos do Azure:
Máquinas virtuais
Conjuntos de escalas de máquinas virtuais do Azure
Os discos são uma dependência crucial para arquiteturas baseadas em VM, mas não são abordados neste artigo. Para obter mais informações, consulte as práticas recomendadas de arquitetura para o Armazenamento de Disco do Azure.
Fiabilidade
A finalidade do pilar confiabilidade é fornecer funcionalidade contínua criando resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.
princípios de design de confiabilidade fornecem uma estratégia de design de alto nível aplicada a componentes individuais, fluxos do sistema e o sistema como um todo.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de design para Confiabilidade. Determine sua relevância para seus requisitos de negócios, tendo em mente os SKUs e os recursos das VMs e suas dependências. Estenda a estratégia para incluir mais abordagens conforme necessário.
Examine as cotas e os limites das Máquinas Virtuais que podem representar restrições de design. As VMs têm limites e cotas específicos, que variam de acordo com o tipo de VM ou região. Pode haver restrições de assinatura, como o número de VMs por assinatura ou o número de núcleos por VM. Se outras cargas de trabalho compartilharem sua assinatura, sua capacidade de consumir dados poderá ser reduzida. Verifique os limites de VMs, conjuntos de dimensionamento de máquinas virtuais e discos gerenciados.
Realize uma análise de modo de falha para minimizar os pontos de falha analisando interações de VM com os componentes de rede e armazenamento. Escolha configurações como discos do sistema operacional efêmero (SO) para localizar o acesso ao disco e evitar saltos de rede. Adicione um balanceador de carga para aprimorar a autopreservação distribuindo o tráfego de rede em várias VMs, o que melhora a disponibilidade e a confiabilidade.
Calcule seus SLOs (objetivos de nível de serviço) compostos com base em SLAs (contratos de nível de serviço) do Azure. Verifique se o SLO não é maior do que os SLAs do Azure para evitar expectativas irreais e possíveis problemas.
Lembre-se das complexidades que as dependências introduzem. Por exemplo, algumas dependências, como redes virtuais e NICs (placas de interface de rede), não têm seus próprios SLAs. Outras dependências, como um disco de dados associado, têm SLAs que são integrados aos SLAs de máquinas virtuais (VM). Você deve considerar essas variações porque elas podem afetar o desempenho e a confiabilidade da VM.
Considere as dependências críticas das VMs em componentes como discos e redes. Se você entender essas relações, poderá determinar os fluxos críticos que afetam a confiabilidade.
Criar isolamento de estado. Os dados da carga de trabalho devem estar em um disco de dados separado para evitar interferência com o disco do sistema operacional. Se uma VM falhar, você poderá criar um novo disco do sistema operacional com o mesmo disco de dados, o que garante resiliência e isolamento de falhas. Para obter mais informações, consulte discos do sistema operacional efêmero.
Torne as VMs e suas dependências redundantes em várias zonas. Se uma VM falhar, a carga de trabalho deverá continuar funcionando devido à redundância. Inclua dependências em suas opções de redundância. Por exemplo, use as opções de redundância interna que estão disponíveis com discos. Use endereços IP com redundância de zona para garantir a disponibilidade de dados e o alto tempo de atividade.
Esteja pronto para escalar para cima e para fora para evitar a degradação no nível de serviço e evitar a falha. Os Conjuntos de Dimensionamento de Máquinas Virtuais têm recursos de dimensionamento automático que criam novas instâncias conforme necessário e distribuem a carga em várias VMs e zonas de disponibilidade.
Explore as opções de recuperação automática. O Azure dá suporte ao monitoramento de degradação de integridade e aos recursos de auto-recuperação para VMs. Por exemplo, os conjuntos de dimensionamento fornecem reparos automáticos de instância. Em cenários mais avançados, a autorrecuperação envolve o uso do Azure Site Recovery, ter uma espera passiva para fazer failover ou reimplantar da iaC (infraestrutura como código). O método escolhido deve se alinhar aos requisitos de negócios e às operações organizacionais. Para obter mais informações, consulte interrupções no serviço da VM.
Ajuste as VMs e suas dependências. Entenda o trabalho esperado da VM para garantir que ela não seja subdimensionada e possa lidar com a carga máxima. Tenha capacidade extra para atenuar falhas.
Crie um plano de recuperação de desastre abrangente. A preparação para desastres envolve a criação de um plano abrangente e a decisão sobre uma tecnologia para recuperação.
Dependências e componentes com estado, como o armazenamento anexado, podem complicar a recuperação. Se os discos falharem, essa falha afetará o funcionamento da VM. Inclua um processo claro para essas dependências em seus planos de recuperação.
Executar operações com rigor. As opções de design de confiabilidade devem ser suportadas por operações efetivas com base nos princípios de monitoramento, teste de resiliência em produção, patches e atualizações de VM de aplicativos automatizados e consistência de implantações. Para obter diretrizes operacionais, consulte Excelência Operacional.
Recomendações
| Recomendação | Benefício |
|---|---|
| (Conjunto de dimensionamento) usar conjuntos de dimensionamento de máquinas virtuais no modo de orquestração flexível para implantar VMs. | Prepare seu aplicativo para o futuro em termos de escalabilidade e aproveite as garantias de alta disponibilidade que distribuem VMs entre domínios de falha em uma região ou em uma zona de disponibilidade. |
| (VMs) Implemente endpoints de saúde que forneçam os status de integridade da instância nas VMs. (Conjunto de dimensionamento) Habilite os reparos automáticos no conjunto de dimensionamento especificando a ação de reparo preferencial. Considere a configuração de um período durante o qual os reparos automáticos pausam se o estado da VM for alterado. |
Mantenha a disponibilidade mesmo se uma instância for considerada com falhas. Os reparos automáticos iniciam a recuperação substituindo a instância com falha. Definir uma janela de tempo pode impedir operações de reparo inadvertidas ou prematuras. |
| (Conjunto de dimensionamento) Habilite o superprovisionamento em conjuntos de dimensionamento. | O excesso de provisionamento reduz os tempos de implantação e tem um benefício de custo porque as VMs extras não são cobradas. |
| (Conjunto de dimensionamento) Pré-alocar instâncias utilizando pools em espera. | As instâncias do pool em espera permanecem inativas, mas estão prontas para assumir cargas de trabalho se ocorrer uma falha. Essa funcionalidade aprimora a confiabilidade do sistema. |
| (Conjunto de dimensionamento) Permitir que a orquestração flexível espalhe as instâncias de VM pelo maior número possível de domínios de falha. | Essa opção isola domínios de falha. Durante os períodos de manutenção, quando um domínio de falha é atualizado, as instâncias de VM estão disponíveis nos outros domínios de falha. |
| (Conjunto de dimensionamento) Implantar através de zonas de disponibilidade em conjuntos de dimensionamento. Configure pelo menos duas instâncias em cada zona. O balanceamento de zona também espalha as instâncias entre zonas. |
As instâncias de VM são provisionadas em locais fisicamente separados em cada região do Azure que são tolerantes a falhas locais. Tenha em mente que, dependendo da disponibilidade de recursos, pode haver um número desigual de instâncias entre zonas. O balanceamento de zona dá suporte à disponibilidade, certificando-se de que, se uma zona estiver inoperante, as outras zonas terão instâncias suficientes. Duas instâncias em cada zona fornecem um buffer durante as atualizações. |
| (Conjunto de dimensionamento) Para aprimorar o tempo de atividade do serviço, mantendo o controle sobre as implicações de custo das atualizações, habilite o MaxSurge. | Novas instâncias são criadas em lotes usando o modelo de escala mais recente. Depois que as novas instâncias estiverem saudáveis, as instâncias antigas serão excluídas em lotes. Esse processo continua até que todas as instâncias sejam atualizadas, o que garante que não haja tempo de inatividade durante as atualizações. |
| (VMs) Aproveite a funcionalidade de reservas de capacidade. | A capacidade é reservada para seu uso e está disponível no escopo dos SLAs aplicáveis. Você pode excluir reservas de capacidade quando não precisar mais delas e a cobrança é baseada em consumo. |
Segurança
O objetivo do pilar Segurança é fornecer garantias de confidencialidade, integridade e disponibilidade à carga de trabalho.
Os princípios de design de segurança fornecem uma estratégia de design de alto nível para atingir essas metas aplicando abordagens ao design técnico de Máquinas Virtuais.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Segurança e identifique vulnerabilidades e controles para melhorar a postura de segurança. Estenda a estratégia para incluir mais abordagens conforme necessário.
Examine as linhas de base de segurança para VMs Linux e Windows e Conjuntos de Dimensionamento de Máquinas Virtuais.
Como parte de suas opções de tecnologia de linha de base, considere os recursos de segurança dos SKUs de VM que dão suporte à sua carga de trabalho.
Verifique a aplicação de patch e atualizações de segurança automatizadas e oportunas. Verifique se as atualizações são distribuídas e validadas automaticamente usando um processo bem definido. Use uma solução como a Automação do Azure para gerenciar atualizações do sistema operacional e manter a conformidade de segurança fazendo atualizações críticas.
Identifique as VMs que mantêm o estado. Verifique se os dados são classificados de acordo com os rótulos de confidencialidade que sua organização fornece. Proteja os dados usando controles de segurança, como níveis apropriados de criptografia em repouso e em trânsito. Se você tiver requisitos de alta confidencialidade, considere usar controles de alta segurança, como criptografia dupla e computação confidencial do Azure para proteger dados em uso.
Forneça segmentação para as VMs e conjuntos de dimensionamento definindo limites de rede e controles de acesso. Coloque VMs em grupos de recursos que compartilham o mesmo ciclo de vida.
Aplique controles de acesso às identidades que tentam alcançar as VMs e também às VMs que alcançam outros recursos. Use a ID do Microsoft Entra para necessidades de autenticação e autorização. Implemente senhas fortes, autenticação multifator e RBAC (Controle de Acesso Baseado em Função) para suas VMs e suas dependências, como dados confidenciais, para permitir que as identidades permitidas realizem apenas as operações esperadas de suas funções.
Restrinja o acesso a recursos com base nas condições usando o Acesso Condicional do Microsoft Entra. Defina as políticas condicionais com base na duração e no conjunto mínimo de permissões necessárias.
Use controles de rede para restringir o tráfego de entrada e saída. Isole VMs e conjuntos de dimensionamento na Rede Virtual do Azure e defina grupos de segurança de rede para filtrar o tráfego. Proteja contra ataques de DDoS (negação de serviço distribuído). Use balanceadores de carga e regras de firewall para proteger contra ataques de exfiltração de dados e tráfego mal-intencionados.
Use o Azure Bastion para fornecer conectividade mais segura às VMs para acesso operacional.
A comunicação de e para as VMs com soluções PaaS (plataforma como serviço) deve ser por meio de pontos de extremidade privados.
Reduza a superfície de ataque endurecendo as imagens do sistema operacional e removendo componentes não utilizados. Use imagens menores e remova binários que não são necessários para executar a carga de trabalho. Aperte as configurações de VM removendo recursos, como contas e portas padrão, que você não precisa.
Proteja segredos como os certificados necessários para proteger os dados em trânsito. Considere usar a extensão do Azure Key Vault para Windows ou Linux que atualiza automaticamente os certificados armazenados em um cofre de chaves. Quando detecta uma alteração nos certificados, a extensão recupera e instala os certificados correspondentes.
Detecção de ameaças. Monitore VMs para ameaças e configurações incorretas. Use o Defender para Servidores para capturar alterações de VM e sistema operacional e manter uma trilha de auditoria de acesso, novas contas e alterações nas permissões.
Prevenção contra ameaças. Proteja contra ataques de malware e atores mal-intencionados implementando controles de segurança como firewalls, software antivírus e sistemas de detecção de intrusão. Determine se um TEE (Ambiente de Execução Confiável) é necessário.
Recomendações
| Recomendação | Benefício |
|---|---|
| (Conjunto de dimensionamento) Atribua uma identidade gerenciada a conjuntos de dimensionamento. Todas as VMs no conjunto de dimensionamento obtêm a mesma identidade por meio do perfil de VM especificado. (VMs) Você também pode atribuir uma identidade gerenciada a VMs individuais ao criá-las e adicioná-la a um conjunto de dimensionamento, se necessário. |
Quando as VMs se comunicam com outros recursos, elas cruzam um limite de confiança. Conjuntos de dimensionamento e VMs devem autenticar sua identidade antes que a comunicação seja permitida. A ID do Microsoft Entra manipula essa autenticação usando identidades gerenciadas. |
| (Conjunto de escalonamento) Escolha SKUs de VM que tenham funcionalidades de segurança. Por exemplo, alguns SKUs dão suporte à criptografia BitLocker e a computação confidencial fornece criptografia de dados em uso. Examine os recursos para entender as limitações. |
Os recursos fornecidos pelo Azure são baseados em sinais capturados em muitos locatários e podem proteger recursos melhor do que controles personalizados. Você também pode usar políticas para impor esses controles. |
| (VMs, conjunto de escalas) Aplique as tags recomendadas pela organização nos recursos provisionados. | A marcação é uma maneira comum de segmentar e organizar recursos e pode ser crucial durante o gerenciamento de incidentes. Para obter mais informações, consulte Propósito de nomenclatura e marcação. |
| (VMs, conjunto de dimensionamento) Defina um perfil de segurança com os recursos de segurança que você deseja habilitar na configuração da VM. Por exemplo, quando você especifica a criptografia no host no perfil, os dados armazenados no host da VM são criptografados em repouso e os fluxos são criptografados para o serviço de armazenamento. |
Os recursos no perfil de segurança são habilitados automaticamente quando a VM é criada. Para obter mais informações, consulte a linha de base de segurança do Azure para Conjuntos de Dimensionamento de Máquinas Virtuais. |
| (VMs) Escolha opções de rede seguras para o perfil de rede da VM. Não associe diretamente endereços IP públicos às suas VMs e não habilite o encaminhamento de IP. Verifique se todos os adaptadores de rede virtual têm um grupo de segurança de rede associado. |
Você pode definir controles de segmentação no perfil de rede. Os invasores verificam endereços IP públicos. Essa atividade torna as VMs vulneráveis a ameaças. |
| (VMs) Escolha opções de armazenamento seguro para o perfil de armazenamento da VM. Habilite a criptografia de disco e a criptografia de dados em repouso por padrão. Desabilite o acesso à rede pública aos discos da VM. |
Desabilitar o acesso à rede pública ajuda a impedir o acesso não autorizado aos seus dados e recursos. |
| (VMs, conjunto de dimensionamento) Inclua extensões em suas VMs que protegem contra ameaças. Por exemplo - Extensão do Key Vault para Windows e Linux - Autenticação da ID do Microsoft Entra - Microsoft Antimalware para Serviços de Nuvem do Azure e Máquinas Virtuais - Extensão do Azure Disk Encryption para Windows e Linux. |
As extensões são usadas para inicializar as VMs com o software correto que protege o acesso de e para as VMs. As extensões fornecidas pela Microsoft são atualizadas com frequência para acompanhar os padrões de segurança em evolução. |
Otimização de custos
A otimização de custos se concentra na na detecção de padrões de gastos, na priorização de investimentos em áreas críticas e na otimização de outras para atender ao orçamento da organização e, ao mesmo tempo, aos requisitos comerciais.
Os princípios de design de Otimização de Custos fornecem uma estratégia de design de alto nível para atingir essas metas e fazer compensações conforme necessário no design técnico relacionado às Máquinas Virtuais e seu ambiente.
Lista de verificação de projeto
Comece sua estratégia de design com base na lista de verificação de revisão de design para otimização de custos em investimentos. Ajuste o design para que a carga de trabalho seja alinhada com o orçamento alocado para a carga de trabalho. Seu design deve usar os recursos corretos do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.
Estimar custos realistas. Use a calculadora de preços para estimar os custos de suas VMs. Identifique a melhor VM para sua carga de trabalho usando o seletor de VM. Para obter mais informações, consulte os preços do Linux e do Windows .
Implementar limites de custo. Use políticas de governança para restringir tipos de recursos, configurações e locais. Use o RBAC para bloquear ações que podem levar a gastos excessivos.
Escolha os recursos certos. Sua seleção de tamanhos de plano de VM e SKUs afeta diretamente o custo geral. Escolha VMs com base nas características da carga de trabalho. A CPU da carga de trabalho é intensiva ou executa processos interruptíveis? Cada SKU tem opções de disco associadas que afetam o custo geral.
Escolha as capacidades certas para recursos dependentes. Economize em custos de armazenamento de backup para a camada padrão do cofre usando o armazenamento de Backup do Azure com capacidade reservada. Ele oferece um desconto quando você se compromete com uma reserva por um ano ou três anos.
A camada de arquivamento no Armazenamento do Azure é uma camada offline otimizada para armazenar dados de blob que raramente são acessados. A camada de arquivo oferece os menores custos de armazenamento, mas custos de recuperação de dados mais altos e latência em comparação com as camadas online quente e fria.
Considere usar recuperação de desastres de zona para zona para que as VMs se recuperem de falhas no site, reduzindo a complexidade da disponibilidade com o uso de serviços com redundância de zona. Pode haver benefícios de custo com a redução da complexidade operacional.
Escolha o modelo de cobrança correto. Avalie se os modelos baseados em compromisso para computação otimizam os custos com base nos requisitos de negócios da carga de trabalho. Considere estas opções do Azure:
-
Reservas do Azure: pagar antecipadamente por cargas de trabalho previsíveis para reduzir os custos em comparação com os preços baseados em consumo.
Importante
Compre instâncias reservadas para reduzir os custos do Azure para cargas de trabalho que têm uso estável. Gerencie o uso para garantir que você não esteja pagando por mais recursos do que está usando. Mantenha as instâncias reservadas simples e mantenha a sobrecarga de gerenciamento baixa para reduzir os custos.
- Plano de poupança: se você se comprometer a gastar um valor fixo por hora em serviços de computação por um ou três anos, esse plano poderá reduzir os custos.
- Benefício Híbrido do Azure: salve quando migrar suas VMs locais para o Azure.
-
Reservas do Azure: pagar antecipadamente por cargas de trabalho previsíveis para reduzir os custos em comparação com os preços baseados em consumo.
Monitore o uso. Monitore continuamente os padrões de uso e detecte VMs não utilizados ou subutilizadas. Para essas instâncias, desligue as instâncias de VM quando elas não estiverem em uso. O monitoramento é uma abordagem fundamental da Excelência Operacional. Para obter mais informações, consulte as recomendações em Excelência Operacional.
Procure maneiras de otimizar. Algumas estratégias incluem escolher a abordagem mais econômica entre aumentar os recursos em um sistema existente ou escalar verticalmente e adicionar mais instâncias desse sistema ou escalar horizontalmente. Você pode descarregar a demanda distribuindo-a para outros recursos ou pode reduzir a demanda implementando filas de prioridade, descarregamento de gateway, buffer e limitação de taxa. Para obter mais informações, consulte as recomendações em Eficiência de Desempenho.
Recomendações
| Recomendação | Benefício |
|---|---|
| (VMs, conjunto de dimensionamento) Escolha o tamanho correto do plano de VM e a SKU. Identifique os melhores tamanhos de VM para sua carga de trabalho. Use o seletor de VM para identificar a melhor VM para sua carga de trabalho. Consulte os preços do Windows e do Linux . Para cargas de trabalho como trabalhos de processamento em lotes altamente paralelos que podem tolerar algumas interrupções, considere usar máquinas virtuais spot do Azure. Máquinas virtuais spot são boas para experimentar, desenvolver e testar soluções em larga escala. |
As SKUs são precificadas de acordo com os recursos que oferecem. Se você não precisar de recursos avançados, não gasta demais em SKUs. As máquinas virtuais spot aproveitam a capacidade excedente no Azure a um custo menor. |
| (Conjunto de dimensionamento) Misture VMs normais com máquinas virtuais spot. A orquestração flexível permite que você distribuir máquinas virtuais spot com base em uma porcentagem especificada. |
Reduza os custos de infraestrutura de computação aplicando os descontos profundos de máquinas virtuais spot. |
| (Conjunto de dimensionamento) Reduza o número de instâncias de VM quando a demanda decrescer. Defina uma política de dimensionamento com base nos critérios. |
O dimensionamento de recursos quando eles não estão em uso reduz o número de VMs executadas no conjunto de dimensionamento, o que economiza custos. |
| (VMs) Interrompa as VMs fora do horário comercial. Você pode usar o recurso Iniciar/Parar da Automação do Azure e configurá-lo de acordo com suas necessidades comerciais. | O recurso Iniciar/Parar é uma opção de automação de baixo custo que pode afetar significativamente seus custos de instância ociosa. |
| (VMs) Libere recursos de CPU usando o Azure Boost. | O descarregamento de processos de virtualização de back-end libera recursos de CPU para as máquinas virtuais convidadas. Essa otimização resulta em um melhor desempenho. O Azure Boost só está disponível em VMs específicas, portanto, verifique se você também escolhe tamanhos de VM que têm o Azure Boost habilitado. |
| (VMs, conjunto de dimensionamento) Aproveite a mobilidade da licença usando o Benefício Híbrido do Azure. As VMs têm uma opção de licenciamento que permite que você traga suas próprias licenças locais do sistema operacional Windows Server para o Azure. O Benefício Híbrido do Azure também permite que você traga determinadas assinaturas do Linux para o Azure. |
Você pode maximizar suas licenças locais ao obter os benefícios da nuvem. |
Excelência operacional
A Excelência Operacional concentra-se principalmente em procedimentos relacionados às práticas de desenvolvimento , observabilidade e gerenciamento de lançamentos.
Os princípios de design da Excelência Operacional fornecem uma estratégia de design de alto nível para atingir essas metas para os requisitos operacionais da carga de trabalho.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design da Excelência Operacional para definir processos de observabilidade, teste e implantação relacionados a Máquinas Virtuais e conjuntos de dimensionamento.
Monitore as instâncias de VM. Colete logs e métricas de instâncias de VM para monitorar o uso de recursos e medir a integridade das instâncias. Algumas métricas comuns incluem o uso da CPU, o número de solicitações e a latência de E/S (entrada/saída). Configure alertas do Azure Monitor para serem notificados sobre problemas e detectar alterações de configuração em seu ambiente.
Monitore a integridade das VMs e suas dependências.
- Implante componentes de monitoramento para coletar logs e métricas que proporcionem uma visão abrangente de suas VMs, do sistema operacional convidado e dos dados de diagnóstico de inicialização. Os Conjuntos de Dimensionamento de Máquinas Virtuais acumulam telemetria, o que permite exibir métricas de integridade em um nível de VM individual ou como uma agregação. Use o Azure Monitor para exibir esses dados para cada VM ou agregados em várias VMs. Para obter mais informações, consulte Recomendações sobre agentes de monitoramento.
- Aproveite os componentes de rede que verificam o status de integridade das VMs. Por exemplo, o Azure Load Balancer executa ping em VMs para detectar VMs não íntegras e redirecionar o tráfego adequadamente.
- Configurar regras de alerta do Azure Monitor. Determine condições importantes em seus dados de monitoramento para identificar e resolver problemas antes que eles afetem o sistema.
Crie um plano de manutenção que inclua a aplicação de patch regular do sistema como parte das operações de rotina. Inclua processos de emergência que permitam a aplicação imediata de patches. Você pode ter processos personalizados para gerenciar a aplicação de patch ou delegar parcialmente a tarefa ao Azure. O Azure fornece recursos para manutenção de VM individual. Você pode configurar janelas de manutenção para minimizar interrupções durante as atualizações. Durante as atualizações da plataforma, as considerações de domínio de falha são fundamentais para a resiliência. Recomendamos que você implante pelo menos duas instâncias em uma zona. Duas VMs por zona garantem um mínimo de uma VM em cada zona porque apenas um domínio de falha em uma zona é atualizado por vez. Portanto, para três zonas, provisione pelo menos seis instâncias.
Automatize processos para inicialização, execução de scripts e configuração de VMs. Você pode automatizar processos usando extensões ou scripts personalizados. Recomendamos as seguintes opções:
A extensão de VM do Key Vault atualiza automaticamente certificados armazenados em um cofre de chaves.
A Extensão de Script Personalizado do Azure para Windows e Linux baixa e executa scripts em Máquinas Virtuais. Use essa extensão para a configuração pós-implantação, instalação de software ou qualquer outra tarefa de configuração ou gerenciamento.
Use cloud-init para configurar o ambiente de inicialização para VMs baseadas em Linux.
Tenha processos para instalar atualizações automáticas. Considere usar Automatic VM guest patching para garantir a implantação oportuna de patches críticos e de segurança. Use o Gerenciador de Atualizações do Azure para gerenciar atualizações do sistema operacional para suas VMs Do Windows e Linux no Azure.
Crie um ambiente de teste que corresponda de perto ao seu ambiente de produção para testar atualizações e alterações antes de implantá-las na produção. Tenha processos em vigor para testar as atualizações de segurança, as linhas de base de desempenho e as falhas de confiabilidade. Aproveite as bibliotecas de falhas do Azure Chaos Studio para injetar e simular condições de erro. Para obter mais informações, consulte a biblioteca de falhas e ações do Azure Chaos Studio.
Gerencie sua cota. Planeje qual nível de cota sua carga de trabalho exige e examine esse nível regularmente à medida que a carga de trabalho evolui. Se você precisar aumentar ou diminuir sua cota, solicite essas alterações antecipadamente.
Recomendações
| Recomendação | Benefício |
|---|---|
| (Conjunto de dimensionamento) Conjuntos de Dimensionamento de Máquinas Virtuais no modo de orquestração flexível pode ajudar a simplificar a implantação e o gerenciamento de sua carga de trabalho. Por exemplo, você pode gerenciar facilmente a auto-recuperação usando reparos automáticos. | A orquestração flexível pode gerenciar instâncias de VM em escala. A entrega de VMs individuais adiciona sobrecarga operacional. Por exemplo, ao excluir instâncias de VM, você tem a opção de excluir ou reter discos e NICs associados à VM. As instâncias de VM podem ser distribuídas em vários domínios de falha para que as operações de atualização não interrompam o serviço. Você pode usar todas as APIs de VM padrão ao gerenciar instâncias de orquestração flexíveis. As VMs do Linux e do Windows podem residir no mesmo conjunto de dimensionamento flexível, simplificando o gerenciamento de cargas de trabalho heterogêneas. |
| (Conjunto de dimensionamento) Anexar ou desanexar uma VM de instância única a partir ou para Conjuntos de Dimensionamento de Máquinas Virtuais no modo de orquestração flexível oferece a flexibilidade para atender às demandas operacionais sem a necessidade de reimplantação da infraestrutura. | Anexar VMs permite que você traga VMs existentes sob o gerenciamento de um VMSS Flex, permitindo controle centralizado sobre atualizações, dimensionamento e monitoramento. Desanexar VMs do VMSS Flex permite isolar uma VM para solução de problemas ou configuração especial sem interromper o restante do conjunto de dimensionamento. |
| (Escala definida) Mantenha suas VMs atualizadas configurando uma política de atualização. Recomendamos atualizações sem interrupção. No entanto, se você precisar de controle granular, escolha atualizar manualmente. Para orquestração flexível, você pode usar o Gerenciador de Atualizações do Azure. |
A segurança é o principal motivo para atualizações. As garantias de segurança para as instâncias não devem deteriorar-se ao longo do tempo. Atualizações contínuas são feitas em lotes. Essa abordagem garante que todas as instâncias não estejam inativas ao mesmo tempo. |
| (VMs, conjunto de dimensionamento) Implante automaticamente aplicativos de VM da Galeria de Computação do Azure definindo os aplicativos no perfil. | As VMs no conjunto de dimensionamento são criadas e os aplicativos especificados são pré-instalados, o que facilita o gerenciamento. |
|
Instale componentes de software pré-configurados como extensões como parte do processo de inicialização. O Azure dá suporte a muitas extensões que podem ser usadas para configurar, monitorar, proteger e fornecer aplicativos utilitários para suas VMs. Habilitar atualizações automáticas em extensões. |
As extensões podem ajudar a simplificar a instalação de software em escala sem que você precise instalá-la, configurá-la ou atualizá-la manualmente em cada VM. |
| (VMs, conjunto de dimensionamento) Monitore e meça a integridade das instâncias de VM. Implante a extensão do agente monitor em suas VMs para coletar dados de monitoramento do sistema operacional convidado com regras de coleta de dados específicas do sistema operacional. Habilite os insights da VM para monitorar a integridade e o desempenho e exibir tendências dos dados coletados. Use o diagnóstico de inicialização para obter informações quando as VMs estão inicializando. O diagnóstico de inicialização também diagnostica falhas de inicialização. |
Os dados de monitoramento estão no centro da resolução de incidentes. Uma pilha de monitoramento completa fornece informações sobre como as Máquinas Virtuais (VMs) estão funcionando e sua saúde. Monitorando continuamente as instâncias, você pode estar pronto para ou evitar falhas como sobrecarga de desempenho e problemas de confiabilidade. |
Eficiência de desempenho
Eficiência de desempenho significa manter a experiência do usuário mesmo quando há um aumento na carga por meio do gerenciamento da capacidade. A estratégia inclui dimensionamento de recursos, identificação e otimização de possíveis gargalos e otimização para o desempenho de pico.
Os princípios de design de eficiência de desempenho fornecem uma estratégia de design de alto nível para atingir essas metas de capacidade considerando o uso esperado.
Lista de verificação de projeto
Comece sua estratégia de design com base na lista de verificação de revisão de design para confiabilidade. Defina uma linha de base baseada nos principais indicadores de desempenho para Máquinas Virtuais e conjuntos de dimensionamento.
Defina metas de desempenho. Identifique as métricas de VM para acompanhar e medir em relação aos indicadores de desempenho como tempo de resposta, utilização da CPU e utilização de memória, bem como métricas de carga de trabalho, como transações por segundo, usuários simultâneos e disponibilidade e integridade.
Considere o perfil de desempenho de VMs, conjuntos de dimensionamento e configuração de disco em seu planejamento de capacidade. Cada SKU tem um perfil diferente de memória e CPU e se comporta de forma diferente dependendo do tipo de carga de trabalho. Realize pilotos e provas de conceito para entender o comportamento de desempenho na carga de trabalho específica.
Ajuste de desempenho de VM. Aproveite a otimização de desempenho e os recursos de aprimoramento, conforme exigido pela carga de trabalho. Por exemplo, utilize Memória Não Volátil Expressa (NVMe) localmente anexada para casos de uso de alto desempenho e networking acelerado, e utilize SSD Premium v2 para obter melhor desempenho e escalabilidade.
Leve em conta os serviços dependentes. Dependências de carga de trabalho, como cache, tráfego de rede e redes de distribuição de conteúdo, que interagem com as VMs podem afetar o desempenho. Além disso, considere a distribuição geográfica, como zonas e regiões, que podem adicionar latência.
Coletar dados de desempenho. Siga as práticas recomendadas de Excelência Operacional para monitorar e implantar as extensões apropriadas para exibir as métricas que acompanham os indicadores de desempenho.
Grupos de posicionamento por proximidade. Use grupos de posicionamento por proximidade em cargas de trabalho em que a baixa latência é necessária para garantir que as VMs estejam fisicamente localizadas próximas umas das outras.
Recomendações
| Recomendação | Benefício |
|---|---|
| (VMs, conjunto de dimensionamento) Escolha SKUs para VMs que estejam alinhados ao seu planejamento de capacidade. Tenha uma boa compreensão dos requisitos de carga de trabalho, incluindo o número de núcleos, memória, armazenamento e largura de banda de rede para que você possa filtrar SKUs inadequados. |
O dimensionamento adequado das suas VMs é uma decisão fundamental que afeta significativamente o desempenho da sua carga de trabalho. Sem o conjunto certo de VMs, você pode enfrentar problemas de desempenho e acumular custos desnecessários. |
| (VMs, conjunto de dimensionamento) Implante VMs de carga de trabalho sensíveis à latência em grupos de posicionamento por proximidade. | Os grupos de posicionamento por proximidade reduzem a distância física entre os recursos de computação do Azure, o que pode melhorar o desempenho e reduzir a latência de rede entre VMs autônomas, VMs em vários conjuntos de disponibilidade ou VMs em vários conjuntos de dimensionamento. |
| (VMs) Considere habilitar a rede acelerada. | Ele habilita a virtualização de E/S raiz única (SR-IOV) para uma VM, o que melhora muito o desempenho de rede. |
| (VMs, conjunto de dimensionamento) Defina regras de dimensionamento automático para aumentar ou diminuir o número de instâncias de VM no conjunto de dimensionamento com base na demanda. | Se a demanda do seu aplicativo aumentar, a carga sobre as instâncias de VM no conjunto de dimensionamento também aumentará. As regras de dimensionamento automático garantem que você tenha recursos suficientes para atender à demanda. |
Políticas do Azure
O Azure fornece um amplo conjunto de políticas internas relacionadas a Máquinas Virtuais e suas dependências. Algumas das recomendações anteriores podem ser auditadas por meio do Azure Policy. Por exemplo, você pode verificar se:
A criptografia está habilitada no nível do host. Verifique se a criptografia está habilitada no nível do host para fornecer segurança extra para os dados da VM.
Extensões antimalware são implantadas. Verifique se as extensões antimalware são implantadas em VMs que executam o Windows Server e são definidas para atualizações automáticas para garantir a proteção contínua.
A atualização automática de imagem do SO está habilitada. Verifique se a atualização automática da imagem do sistema operacional está habilitada em escalas de conjuntos para garantir que suas VMs permaneçam atualizadas com patches de segurança.
Somente as extensões de VM aprovadas são instaladas. Verifique se apenas as extensões aprovadas estão instaladas em suas VMs. Essa abordagem ajuda a minimizar o risco de vulnerabilidades de segurança.
Os agentes de monitor e dependência estão habilitados. Verifique se o agente monitor e os agentes de dependência estão habilitados em todas as novas VMs para facilitar o monitoramento e o gerenciamento de dependências.
Apenas SKUs de VM permitidos são implantados. Confirme que apenas os modelos de máquinas virtuais (VM) aprovados foram implantados. Essa política garante a adesão às restrições de custo e aos requisitos de recursos.
Pontos de extremidade privados são usados para acesso ao disco. Verifique se os pontos de extremidade privados são usados para acessar com segurança os recursos de disco. Essa abordagem ajuda a evitar a exposição a redes públicas.
A detecção de vulnerabilidades está habilitada. Habilite a detecção de vulnerabilidades para suas VMs. Para computadores Windows, configure regras como verificações diárias com o Microsoft Defender Antivírus para detectar possíveis ameaças.
Para governança abrangente, examine as definições internas do Azure Policy para Máquinas Virtuais e outras políticas que podem afetar a segurança da camada de computação.
Recomendações do Assistente do Azure
O Assistente do Azure é um consultor de nuvem personalizado que ajuda você a seguir as práticas recomendadas para otimizar suas implantações do Azure.
Para obter mais informações, confira Assistente do Azure.
Conteúdo relacionado
Considere os artigos a seguir como recursos que demonstram as recomendações realçadas neste artigo.
- Use as seguintes arquiteturas de referência como exemplos de como você pode aplicar as diretrizes deste artigo a uma carga de trabalho:
- Arquiteturas de VM única: VM do Linux e VM do Windows
- Arquitetura fundamental que se concentra em recomendações de infraestrutura: arquitetura de linha de base de Máquinas Virtuais
- Crie conhecimentos de implementação usando a seguinte documentação do produto: