Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As Máquinas Virtuais do Azure são um tipo de serviço de computação que pode utilizar para criar e executar máquinas virtuais (VMs) na plataforma Azure. Ele oferece flexibilidade em diferentes SKUs, sistemas operacionais e configurações com vários modelos de faturamento.
Este artigo pressupõe que, como arquiteto, você revisou a árvore de decisão de computação e escolheu Máquinas Virtuais como o serviço de computação para sua carga de trabalho. As orientações neste artigo fornecem recomendações de arquitetura mapeadas de acordo com os princípios dos pilares do Well-Architected Framework.
Importante
Como usar este guia
Cada seção tem uma lista de verificação de projeto que apresenta áreas arquitetônicas de preocupação, juntamente com estratégias de design localizadas para o escopo da tecnologia.
Também estão incluídas recomendações sobre as capacidades tecnológicas que podem ajudar a materializar essas estratégias. As recomendações não representam uma lista exaustiva de todas as configurações disponíveis para Máquinas Virtuais e suas dependências. Em vez disso, eles listam as principais recomendações alinhadas às perspetivas de design. Use as recomendações para criar sua prova de conceito ou para otimizar seus ambientes existentes.
Arquitetura básica que demonstra as principais recomendações: arquitetura de linha de base de máquinas virtuais.
Âmbito da tecnologia
Esta análise concentra-se nas decisões inter-relacionadas para os seguintes recursos do Azure:
Máquinas Virtuais
Conjuntos de Escalonamento de Máquinas Virtuais do Azure
Os discos são uma dependência crucial para arquiteturas baseadas em VM, mas não são abordados neste artigo. Para obter mais informações, consulte Práticas recomendadas de arquitetura para o Armazenamento em Disco do Azure.
Fiabilidade
O objetivo do pilar Confiabilidade é fornecer funcionalidade contínua, criando resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.
Os princípios de design de fiabilidade fornecem uma estratégia de design de alto nível aplicada a componentes individuais, aos fluxos do sistema e ao sistema como um todo.
Lista de verificação de design
Inicie sua estratégia de design com base na lista de verificação de revisão de projeto para Confiabilidade. Determine sua relevância para seus requisitos de negócios, tendo em mente as SKUs e os recursos das VMs e suas dependências. Alargar a estratégia de modo a incluir mais abordagens, conforme necessário.
Analise as cotas e os limites de Máquinas Virtuais que podem representar restrições de design. As VMs têm limites e cotas específicos, que variam com base no tipo de VM ou na região. Pode haver restrições de assinatura, como o número de VMs por assinatura ou o número de núcleos por VM. Se outras cargas de trabalho compartilharem sua assinatura, sua capacidade de consumir dados poderá ser reduzida. Verifique os limites em VMs, conjuntos de dimensionamento de máquinas virtuais e discos gerenciados.
Conduza uma análise do modo de falha para minimizar os pontos de falha analisando as interações da VM com os componentes de rede e armazenamento. Escolha configurações como discos efêmeros do sistema operacional (SO) para localizar o acesso ao disco e evitar saltos de rede. Adicione um balanceador de carga para melhorar a autopreservação distribuindo o tráfego de rede entre várias VMs, o que melhora a disponibilidade e a confiabilidade.
Calcule seus SLOs (objetivos de nível de serviço) compostos com base nos SLAs (contratos de nível de serviço) do Azure. Certifique-se de que seu SLO não seja maior do que os SLAs do Azure para evitar expectativas irreais e possíveis problemas.
Esteja ciente das complexidades que as dependências introduzem. Por exemplo, algumas dependências, como redes virtuais e placas de interface de rede (NICs), não têm seus próprios SLAs. Outras dependências, como um disco de dados associado, têm SLAs que se integram com SLAs de VM. Você deve considerar essas variações porque elas podem afetar o desempenho e a confiabilidade da VM.
Considere as dependências críticas das VMs em componentes como discos e componentes de rede. Se você entender essas relações, poderá determinar os fluxos críticos que afetam a confiabilidade.
Crie isolamento de estado. Os dados da carga de trabalho devem estar em um disco de dados separado para evitar interferência com o disco do sistema operacional. Se uma VM falhar, você poderá criar um novo disco do sistema operacional com o mesmo disco de dados, o que garante resiliência e isolamento de falhas. Para obter mais informações, consulte Discos efêmeros do sistema operacional.
Torne as VMs e suas dependências redundantes através de zonas. Se uma VM falhar, a carga de trabalho deve continuar a funcionar devido à redundância. Inclua dependências em suas opções de redundância. Por exemplo, use as opções de redundância internas disponíveis com discos. Utilize endereços IP com redundância de zona para garantir a disponibilidade dos dados e alta disponibilidade.
Esteja pronto para aumentar e expandir para evitar a degradação do nível de serviço e evitar falhas. Os Conjuntos de Dimensionamento de Máquina Virtual têm recursos de dimensionamento automático que criam novas instâncias conforme necessário e distribuem a carga entre várias VMs e zonas de disponibilidade.
Explore as opções de recuperação automática. O Azure dá suporte ao monitoramento de degradação da integridade e aos recursos de autorrecuperação para VMs. Por exemplo, os conjuntos de dimensionamento fornecem reparos automáticos de instância. Em cenários mais avançados, a autorrecuperação envolve o uso do Azure Site Recovery, ter um modo de espera passivo para failover ou reimplantar a partir da infraestrutura como código (IaC). O método escolhido deve estar alinhado com os requisitos de negócios e suas operações organizacionais. Para obter mais informações, consulte Interrupções do serviço VM.
Dimensione corretamente as VMs e suas dependências. Entenda o trabalho esperado da sua VM para garantir que ela não seja subdimensionada e possa lidar com a carga máxima. Ter capacidade extra para mitigar falhas.
Crie um plano abrangente de recuperação de desastres. A preparação para desastres envolve a criação de um plano abrangente e a decisão sobre uma tecnologia para recuperação.
Dependências e componentes com monitoração de estado, como armazenamento anexado, podem complicar a recuperação. Se os discos ficarem inativos, essa falha afetará o funcionamento da VM. Inclua um processo claro para essas dependências em seus planos de recuperação.
Execute operações com rigor. As opções de projeto de confiabilidade devem ser apoiadas por operações eficazes baseadas nos princípios de monitoramento, testes de resiliência na produção, patches e upgrades automatizados de VM de aplicativos e consistência das implantações. Para obter orientação operacional, consulte Operational Excellence.
Recomendações
| Recomendação | Benefício |
|---|---|
| (Conjunto de escalas) Use Conjuntos de Dimensionamento de Máquina Virtual no modo de orquestração flexível para implantar VMs. | Prepare seu aplicativo para dimensionamento para o futuro e aproveite as garantias de alta disponibilidade que espalham VMs entre domínios de falha em uma região ou zona de disponibilidade. |
| (VMs) Implemente endpoints de estado de saúde que emitam estados de integridade das instâncias nas VMs. (Conjunto de escalas) Habilite reparos automáticos na escala definida especificando a ação de reparo preferida. Considere definir um período de tempo durante o qual os reparos automáticos são pausados se o estado da VM mudar. |
Mantenha a disponibilidade mesmo se uma instância for considerada comprometida. Os reparos automáticos iniciam a recuperação substituindo a instância defeituosa. Definir uma janela de tempo pode evitar operações de reparo inadvertidas ou prematuras. |
| (Conjunto de escalas) Habilite o provisionamento excessivo em conjuntos de escala. | O provisionamento excessivo reduz os tempos de implantação e tem um custo benefício porque as VMs extras não são cobradas. |
| (Conjunto de escalas) Pré-aloca instâncias com grupos de reserva. | As instâncias de pool em espera permanecem inativas, mas estão prontas para assumir cargas de trabalho se ocorrer uma falha. Esta capacidade aumenta a fiabilidade do sistema. |
| (Conjunto de escalas) Permita que a orquestração flexível espalhe as instâncias de VM pelo maior número possível de domínios de falha. | Esta opção isola domínios de falha. Durante os períodos de manutenção, quando um domínio de falha é atualizado, as instâncias de VM estão disponíveis nos outros domínios de falha. |
| (Conjuntos de escalas) Distribuir por zonas de disponibilidade em conjuntos de escalas. Configure pelo menos duas instâncias em cada zona. O balanceamento de zona distribui igualmente as instâncias entre zonas. |
As instâncias de VM são provisionadas em locais fisicamente separados dentro de cada região do Azure que são tolerantes a falhas locais. Lembre-se de que, dependendo da disponibilidade de recursos, pode existir um número desigual de instâncias entre as zonas. O balanceamento de zona oferece suporte à disponibilidade, certificando-se de que, se uma zona estiver inativa, as outras zonas tenham instâncias suficientes. Duas instâncias em cada zona fornecem um buffer durante as atualizações. |
| (Conjunto de escalas) Para melhorar o tempo de atividade do serviço e, ao mesmo tempo, manter o controle sobre as implicações de custo das atualizações, habilite o MaxSurge. | Novas instâncias são criadas em lotes usando o modelo de escala mais recente. Depois que as novas instâncias estiverem saudáveis, as instâncias antigas são eliminadas em lotes. Esse processo continua até que todas as instâncias sejam atualizadas, o que garante que não haja tempo de inatividade durante as atualizações. |
| (VMs) Aproveite o recurso de reservas de capacidade. | A capacidade é reservada para seu uso e está disponível dentro do escopo dos SLAs aplicáveis. Você pode excluir reservas de capacidade quando não precisar mais delas, e a cobrança é baseada no consumo. |
Segurança
O objetivo do pilar Segurança é fornecer confidencialidade, integridade e disponibilidade garantias para a carga de trabalho.
Os princípios de design de segurança fornecem uma estratégia de design de alto nível para atingir esses objetivos, aplicando abordagens ao design técnico de máquinas virtuais.
Lista de verificação de design
Inicie a sua estratégia de conceção com base no checklist de revisão de conceção para segurança e identifique vulnerabilidades e controlos para melhorar a postura de segurança. Alargar a estratégia de modo a incluir mais abordagens, conforme necessário.
Analise as linhas de base de segurança para VMs Linux e Windows e Conjuntos de Dimensionamento de Máquina Virtual.
Como parte de suas opções de tecnologia de linha de base, considere os recursos de segurança das SKUs de VM que suportam sua carga de trabalho.
Garanta correções e atualizações de segurança oportunas e automatizadas. Certifique-se de que as atualizações são automaticamente implementadas e validadas usando um processo bem definido. Use uma solução como a Automação do Azure para gerenciar atualizações do sistema operacional e manter a conformidade de segurança fazendo atualizações críticas.
Identifique as máquinas virtuais que mantêm o estado. Certifique-se de que os dados são classificados de acordo com os rótulos de sensibilidade que sua organização fornece. Proteja os dados usando controles de segurança, como níveis apropriados de criptografia em repouso e em trânsito. Se você tiver requisitos de alta sensibilidade, considere usar controles de alta segurança, como criptografia dupla e computação confidencial do Azure para proteger os dados em uso.
Forneça segmentação para as VMs e conjuntos de escalas ao definir limites de rede e controles de acesso. Coloque VMs em grupos de recursos que compartilham o mesmo ciclo de vida.
Aplique controles de acesso às identidades que tentam alcançar as VMs e também às VMs que alcançam outros recursos. Use o Microsoft Entra ID para necessidades de autenticação e autorização. Coloque senhas fortes, autenticação multifator e controle de acesso baseado em função (RBAC) para suas VMs e suas dependências, como segredos, para permitir que as identidades permitidas executem apenas as operações esperadas de suas funções.
Restrinja o acesso aos recursos com base nas condições usando o Acesso Condicional do Microsoft Entra. Defina as políticas condicionais com base na duração e no conjunto mínimo de permissões necessárias.
Use controles de rede para restringir o tráfego de entrada e saída. Isolar VMs e dimensionar conjuntos na Rede Virtual do Azure e definir grupos de segurança de rede para filtrar o tráfego. Proteja-se contra ataques distribuídos de negação de serviço (DDoS). Use balanceadores de carga e regras de firewall para proteger contra tráfego mal-intencionado e ataques de exfiltração de dados.
Use o Azure Bastion para fornecer conectividade mais segura às VMs para acesso operacional.
A comunicação entre as VMs e as soluções de plataforma como serviço (PaaS) deve ser feita através de pontos finais privados.
Reduza a superfície de ataque protegendo as imagens do sistema operacional e removendo componentes não utilizados. Use imagens menores e remova binários que não são necessários para executar a carga de trabalho. Aperte as configurações de VM removendo recursos, como contas e portas padrão, que você não precisa.
Proteja segredos , como os certificados de que você precisa para proteger os dados em trânsito. Considere usar a extensão Azure Key Vault para Windows ou Linux que atualiza automaticamente os certificados armazenados em um cofre de chaves. Quando deteta uma alteração nos certificados, a extensão recupera e instala os certificados correspondentes.
Deteção de ameaças. Monitore VMs em busca de ameaças e configurações incorretas. Use o Defender for Servers para capturar alterações de VM e SO e manter uma trilha de auditoria de acesso, novas contas e alterações nas permissões.
Prevenção de ameaças. Proteja-se contra ataques de malware e agentes mal-intencionados implementando controles de segurança como firewalls, software antivírus e sistemas de deteção de intrusão. Determine se um Ambiente de Execução Confiável (TEE) é necessário.
Recomendações
| Recomendação | Benefício |
|---|---|
| (Conjunto de escalas) Atribua uma identidade gerenciada a conjuntos de dimensionamento. Todas as VMs no conjunto de escala obtêm a mesma identidade por meio do perfil de VM especificado. (VMs) Você também pode atribuir uma identidade gerenciada a VMs individuais ao criá-las e, em seguida, adicioná-la a um conjunto de escalas, se necessário. |
Quando as VMs se comunicam com outros recursos, elas cruzam um limite de confiança. Conjuntos de escala e VMs devem autenticar sua identidade antes que a comunicação seja permitida. O Microsoft Entra ID lida com essa autenticação usando identidades gerenciadas. |
| (Conjunto de escalas) Escolha SKUs de VM que tenham recursos de segurança. Por exemplo, algumas SKUs oferecem suporte à criptografia BitLocker e a computação confidencial fornece criptografia de dados em uso. Analise os recursos para entender as limitações. |
Os recursos fornecidos pelo Azure são baseados em sinais capturados em muitos locatários e podem proteger os recursos melhor do que os controles personalizados. Você também pode usar políticas para impor esses controles. |
| (VMs, conjunto de escalas) Aplique tags recomendadas pela organização nos recursos provisionados. | A marcação é uma maneira comum de segmentar e organizar recursos e pode ser crucial durante o gerenciamento de incidentes. Para obter mais informações, consulte Finalidade da atribuição de nomes e etiquetagem. |
| (VMs, conjunto de escalas) Defina um perfil de segurança com os recursos de segurança que você deseja habilitar na configuração da VM. Por exemplo, quando você especifica a criptografia no host no perfil, os dados armazenados no host da VM são criptografados em repouso e os fluxos são criptografados para o serviço de armazenamento. |
Os recursos no perfil de segurança são ativados automaticamente quando a VM é criada. Para obter mais informações, consulte Linha de base de segurança do Azure para Conjuntos de Dimensionamento de Máquina Virtual. |
| (VMs) Escolha opções de rede seguras para o perfil de rede da sua VM. Não associe diretamente endereços IP públicos às suas VMs e não habilite o encaminhamento de IP. Certifique-se de que todas as interfaces de rede virtual têm um grupo de segurança de rede associado. |
Você pode definir controles de segmentação no perfil de rede. Os atacantes verificam endereços IP públicos. Essa atividade torna as VMs vulneráveis a ameaças. |
| (VMs) Escolha opções de armazenamento seguro para o perfil de armazenamento da sua VM. Habilite a criptografia de disco e a criptografia de dados em repouso por padrão. Desative o acesso de rede pública aos discos da VM. |
A desativação do acesso à rede pública ajuda a impedir o acesso não autorizado aos seus dados e recursos. |
| (VMs, conjunto de escalas) Inclua extensões em suas VMs que protejam contra ameaças. Por exemplo, - Extensão Key Vault para Windows e Linux - Autenticação do Microsoft Entra ID - Microsoft Antimalware para Serviços de Nuvem do Azure e Máquinas Virtuais - Extensão Azure Disk Encryption para Windows e Linux. |
As extensões são usadas para inicializar as VMs com o software certo que protege o acesso de e para as VMs. As extensões fornecidas pela Microsoft são atualizadas com frequência para acompanhar a evolução dos padrões de segurança. |
Otimização de Custos
A Otimização de Custos concentra-se em detetar padrões de gastos, priorizar investimentos em áreas críticas e otimizar em outras para atender ao orçamento da organização enquanto atende aos requisitos de negócios.
Os princípios de design de Otimização de Custos fornecem uma estratégia de design de alto nível para alcançar esses objetivos e fazer compensações conforme necessário no projeto técnico relacionado a Máquinas Virtuais e seu ambiente.
Lista de verificação de design
Comece a sua estratégia de design com a checklist de revisão de design para otimização de custos em investimentos. Ajuste o design para que a carga de trabalho esteja alinhada com o orçamento alocado para a carga de trabalho. Seu design deve usar os recursos certos do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.
Estimar custos realistas. Use a calculadora de preços para estimar os custos de suas VMs. Identifique a melhor VM para sua carga de trabalho usando o seletor de VM. Para obter mais informações, consulte Preços do Linux e do Windows .
Implementar limites de custo. Use políticas de governança para restringir tipos de recursos, configurações e locais. Use o RBAC para bloquear ações que podem levar a gastos excessivos.
Escolha os recursos certos. Sua seleção de tamanhos de planos de VM e SKUs afeta diretamente o custo geral. Escolha VMs com base nas características da carga de trabalho. A carga de trabalho da CPU é intensiva ou executa processos interruptíveis? Cada SKU tem opções de disco associadas que afetam o custo geral.
Escolha as capacidades certas para recursos dependentes. Reduza os custos de armazenamento de backup para a camada padrão do cofre utilizando o armazenamento do Backup do Azure com capacidade reservada. Ele oferece um desconto quando você se compromete com uma reserva por um ano ou três anos.
A camada de arquivamento no Armazenamento do Azure é uma camada offline otimizada para armazenar dados de blob raramente acessados. A camada de arquivamento oferece os menores custos de armazenamento, mas maiores custos de recuperação de dados e latência comparados com as camadas online quente e frio.
Considere o uso da recuperação de desastres de zona a zona para que as VMs se recuperem de uma falha no local e, ao mesmo tempo, reduzam a complexidade da disponibilidade usando serviços redundantes de zona. Pode haver benefícios em termos de custos com a redução da complexidade operacional.
Escolha o modelo de faturação certo. Avalie se os modelos baseados em compromisso para computação otimizam os custos com base nos requisitos de negócios da carga de trabalho. Considere estas opções do Azure:
-
Reservas do Azure: pré-pague por cargas de trabalho previsíveis para reduzir custos em comparação com preços baseados no consumo.
Importante
Adquira instâncias reservadas para reduzir os custos do Azure para cargas de trabalho com uso estável. Gerencie o uso para garantir que você não esteja pagando por mais recursos do que está usando. Mantenha as instâncias reservadas simples e mantenha as despesas gerais de gerenciamento baixas para reduzir custos.
- Plano de economia: Se você se comprometer a gastar um valor fixo por hora em serviços de computação por um ou três anos, esse plano pode reduzir custos.
- Benefício Híbrido do Azure: salve ao migrar suas VMs locais para o Azure.
-
Reservas do Azure: pré-pague por cargas de trabalho previsíveis para reduzir custos em comparação com preços baseados no consumo.
Monitore o uso. Monitore continuamente os padrões de uso e detete VMs não utilizadas ou subutilizadas. Para essas instâncias, desligue as instâncias de VM quando elas não estiverem em uso. A monitorização é uma abordagem chave da Excelência Operacional. Para obter mais informações, consulte as recomendações em Excelência Operacional.
Procure maneiras de otimizar. Algumas estratégias incluem escolher a abordagem mais econômica entre aumentar os recursos em um sistema existente ou aumentar a escala e adicionar mais instâncias desse sistema ou expandir. Você pode descarregar a demanda distribuindo-a para outros recursos ou pode reduzir a demanda implementando filas de prioridade, descarregamento de gateway, buffering e limitação de taxa. Para obter mais informações, consulte as recomendações em Eficiência de desempenho.
Recomendações
| Recomendação | Benefício |
|---|---|
| (VMs, conjunto de escalas) Escolha o tamanho certo do plano de VM e SKU. Identifique os melhores tamanhos de VM para sua carga de trabalho. Use o seletor de VM para identificar a melhor VM para sua carga de trabalho. Consulte Preços para Windows e Linux . Para cargas de trabalho como trabalhos de processamento em lote altamente paralelos que podem tolerar algumas interrupções, considere usar as Máquinas Virtuais do Azure Spot. As máquinas virtuais spot são boas para experimentar, desenvolver e testar soluções em grande escala. |
Os preços dos SKUs são calculados de acordo com os recursos que oferecem. Se você não precisa de recursos avançados, não gaste demais em SKUs. As máquinas virtuais spot tiram partido da capacidade excedentária no Azure a um custo mais baixo. |
| (Conjunto de escalas) Misture VMs regulares com máquinas virtuais spot. A orquestração flexível permite distribuir máquinas virtuais pontuais com base em uma porcentagem especificada. |
Reduza os custos de infraestrutura de computação aplicando os grandes descontos das máquinas virtuais preemptivas. |
| (Conjunto de escalas) Reduza o número de instâncias de VM quando a demanda diminuir. Defina uma política de escalonamento com base em critérios. |
O dimensionamento de recursos quando eles não estão em uso reduz o número de VMs executadas no conjunto de escala, o que economiza custos. |
| (VMs) Pare as VMs fora do horário de expediente. Você pode usar o recurso Start/Stop da Automação do Azure e configurá-lo de acordo com suas necessidades de negócios. | O recurso Start/Stop é uma opção de automação de baixo custo que pode afetar significativamente os custos de instâncias ociosas. |
| (VMs) Libere recursos da CPU usando o Azure Boost. | O descarregamento de processos de virtualização back-end libera recursos da CPU para as máquinas virtuais convidadas. Esta otimização resulta num melhor desempenho. O Azure Boost só está disponível em VMs específicas, portanto, certifique-se de que você também escolha tamanhos de VM que tenham o Azure Boost habilitado. |
| (VMs, conjunto de escalas) Aproveite a mobilidade de licenças usando o Benefício Híbrido do Azure. As VMs têm uma opção de licenciamento que permite que você traga suas próprias licenças locais do sistema operacional Windows Server para o Azure. O Benefício Híbrido do Azure também permite que você traga determinadas assinaturas do Linux para o Azure. |
Você pode maximizar suas licenças locais enquanto obtém os benefícios da nuvem. |
Excelência Operacional
A Excelência Operacional concentra-se principalmente em procedimentos para práticas de desenvolvimento de , observabilidade e gestão de lançamento.
Os princípios de design de Excelência Operacional fornecem uma estratégia de design de alto nível para alcançar essas metas relativamente aos requisitos operacionais da carga de trabalho.
Lista de verificação de design
Inicie sua estratégia de design com base na lista de verificação de revisão de projeto para Excelência Operacional para definir processos de observabilidade, teste e implantação relacionados a Máquinas Virtuais e conjuntos de escala.
Monitore as instâncias de VM. Colete logs e métricas de instâncias de VM para monitorar o uso de recursos e medir a integridade das instâncias. Algumas métricas comuns incluem o uso da CPU, o número de solicitações e a latência de entrada/saída (E/S). Configure alertas do Azure Monitor para ser notificado sobre problemas e para detetar alterações de configuração no seu ambiente.
Monitore a integridade das VMs e suas dependências.
- Implante componentes de monitoramento para coletar logs e métricas que fornecem uma visão abrangente de suas VMs, SO convidado e dados de diagnóstico de inicialização. Conjuntos de escala de máquina virtual acumulam telemetria, o que permite visualizar métricas de integridade ao nível de uma VM individual ou de forma agregada. Use o Azure Monitor para exibir esses dados para cada VM ou agregados em várias VMs. Para obter mais informações, consulte Recomendações sobre agentes de monitoramento.
- Aproveite os componentes de rede que verificam o status de integridade das VMs. Por exemplo, o Balanceador de Carga do Azure executa pings em VMs para detetar VMs não íntegras e redirecionar o tráfego de acordo.
- Configure as regras de alerta do Azure Monitor. Determine condições importantes em seus dados de monitoramento para identificar e resolver problemas antes que eles afetem o sistema.
Crie um plano de manutenção que inclua patches regulares do sistema como parte das operações de rotina. Inclua processos de emergência que permitam a aplicação imediata de patches. Você pode ter processos personalizados para gerenciar patches ou delegar parcialmente a tarefa ao Azure. O Azure fornece recursos para manutenção de VM individual. Você pode configurar janelas de manutenção para minimizar interrupções durante as atualizações. Durante as atualizações da plataforma, as considerações de domínio de falha são fundamentais para a resiliência. Recomendamos que você implante pelo menos duas instâncias em uma zona. Duas VMs por zona garantem um mínimo de uma VM em cada zona porque apenas um domínio de falha em uma zona é atualizado de cada vez. Portanto, para três zonas, providencie pelo menos seis instâncias.
Automatize processos para inicialização, execução de scripts e configuração de VMs. Você pode automatizar processos usando extensões ou scripts personalizados. Recomendamos as seguintes opções:
A extensão de VM do Key Vault atualiza automaticamente os certificados armazenados num Key Vault.
A Extensão de Script Personalizado do Azure para Windows e Linux baixa e executa scripts em Máquinas Virtuais. Use esta extensão para configuração pós-implantação, instalação de software ou qualquer outra tarefa de configuração ou gerenciamento.
Use cloud-init para configurar o ambiente de inicialização para VMs baseadas em Linux.
Ter processos para instalar atualizações automáticas. Considere o uso de atualização automática de convidados de VM para uma implementação oportuna de patches críticos e de segurança. Use o Azure Update Manager para gerenciar atualizações do sistema operacional para suas VMs Windows e Linux no Azure.
Crie um ambiente de teste que corresponda ao seu ambiente de produção para testar atualizações e alterações antes de implantá-las na produção. Tenha processos implementados para testar as atualizações de segurança, linhas de base de desempenho e falhas de confiabilidade. Aproveite as bibliotecas de falhas do Azure Chaos Studio para injetar e simular condições de erro. Para obter mais informações, consulte Biblioteca de ações e falhas do Azure Chaos Studio.
Faça a gestão da sua quota. Planeje o nível de cota que sua carga de trabalho requer e revise esse nível regularmente à medida que a carga de trabalho evolui. Se precisar de aumentar ou diminuir a sua quota, solicite essas alterações com antecedência.
Recomendações
| Recomendação | Benefício |
|---|---|
| (Conjunto de escalas) Os conjuntos de dimensionamento de máquina virtual no modo de orquestração flexível podem ajudar a simplificar a implantação e o gerenciamento de sua carga de trabalho. Por exemplo, você pode gerenciar facilmente a autorrecuperação usando reparos automáticos. | A orquestração flexível pode gerenciar instâncias de VM em escala. A entrega de VMs individuais adiciona sobrecarga operacional. Por exemplo, ao excluir instâncias de VM, você tem a opção de excluir ou reter discos e NICs associados à VM. As instâncias de VM podem ser espalhadas por vários domínios de falha para que as operações de atualização não interrompam o serviço. Você pode usar todas as APIs de VM padrão ao gerenciar instâncias de orquestração flexível. As VMs Linux e Windows podem residir no mesmo conjunto de escala flexível, simplificando o gerenciamento de cargas de trabalho heterogêneas. |
| (Conjunto de escalas) Anexar ou desanexar uma VM de instância única de ou para Conjuntos de Dimensionamento de Máquina Virtual no modo de orquestração flexível oferece a flexibilidade de responder às necessidades operacionais sem reimplantar a infraestrutura. | Anexar VMs permite que você coloque VMs existentes sob o gerenciamento de um VMSS Flex, permitindo controle centralizado sobre atualizações, dimensionamento e monitoramento. Desanexar VMs do VMSS Flex permite isolar uma VM para solução de problemas ou configuração especial sem interromper o restante do conjunto de escala. |
| (Conjunto de escalas) Mantenha suas VMs atualizadas definindo uma política de atualização. Recomendamos atualizações contínuas. No entanto, se você precisar de controle granular, opte por atualizar manualmente. Para orquestração flexível, você pode usar o Azure Update Manager. |
A segurança é a principal razão para as atualizações. As garantias de segurança para as instâncias não devem decair com o tempo. As atualizações contínuas são feitas em lotes. Essa abordagem garante que todas as instâncias não fiquem inativas ao mesmo tempo. |
| (VMs, conjunto de escalas) Implante automaticamente aplicações de VM da Galeria de Computação do Azure definindo as aplicações no perfil. | As VMs no conjunto de escala são criadas e os aplicativos especificados são pré-instalados, o que facilita o gerenciamento. |
|
Instale componentes de software pré-construídos como extensões como parte da inicialização. O Azure dá suporte a muitas extensões que podem ser usadas para configurar, monitorar, proteger e fornecer aplicativos utilitários para suas VMs. Habilite atualizações automáticas em extensões. |
As extensões podem ajudar a simplificar a instalação do software em escala sem que você precise instalá-lo, configurá-lo ou atualizá-lo manualmente em cada VM. |
| (VMs, conjunto de escalas) Monitore e meça a integridade das instâncias de VM. Implante a extensão do agente Monitor em suas VMs para coletar dados de monitoramento do SO convidado com regras de coleta de dados específicas do sistema operacional. Ative as informações da VM para monitorar o estado e o desempenho e exibir tendências a partir dos dados recolhidos. Use o diagnóstico de inicialização para obter informações à medida que as VMs são inicializadas. O diagnóstico de inicialização também diagnostica falhas de inicialização. |
Os dados de monitoramento estão no centro da resolução de incidentes. Uma pilha de monitoramento abrangente fornece informações sobre o desempenho das VMs e seu estado. Ao monitorar continuamente as instâncias, você pode estar pronto ou evitar falhas, como sobrecarga de desempenho e problemas de confiabilidade. |
Eficiência de desempenho
A Eficiência de Desempenho tem a ver manter a experiência do usuário, mesmo quando há um aumento na de carga por meio do gerenciamento de capacidade. A estratégia inclui dimensionar recursos, identificar e otimizar potenciais gargalos e otimizar para obter o máximo desempenho.
Os princípios de design de Eficiência de Desempenho fornecem uma estratégia de design de alto nível para atingir essas metas de capacidade de acordo com o uso esperado.
Lista de verificação de design
Comece a sua estratégia de design com base na lista de verificação de revisão de projeto para Eficiência de desempenho. Defina uma linha de base baseada em indicadores-chave de desempenho para máquinas virtuais e conjuntos de escala.
Definir metas de desempenho. Identifique métricas de VM para acompanhar e medir em relação a indicadores de desempenho como tempo de resposta, utilização da CPU e utilização da memória, bem como métricas de carga de trabalho, como transações por segundo, usuários simultâneos e disponibilidade e integridade.
Leve em consideração o perfil de desempenho de VMs, conjuntos de dimensionamento e configuração de disco em seu planejamento de capacidade. Cada SKU tem um perfil diferente de memória e CPU e se comporta de forma diferente dependendo do tipo de carga de trabalho. Realizar pilotos e provas de conceito para entender o comportamento de desempenho sob a carga de trabalho específica.
Ajuste de desempenho de VM. Aproveite a otimização do desempenho e os recursos de aprimoramento conforme exigido pela carga de trabalho. Por exemplo, use o Non-Volatile Memory Express (NVMe) conectado localmente para casos de uso de alto desempenho e rede acelerada e use o SSD Premium v2 para melhor desempenho e escalabilidade.
Tenha em conta os serviços dependentes. As dependências de carga de trabalho, como cache, tráfego de rede e redes de entrega de conteúdo, que interagem com as VMs podem afetar o desempenho. Além disso, considere a distribuição geográfica, como zonas e regiões, que podem adicionar latência.
Recolher dados de desempenho. Siga as práticas recomendadas de Excelência Operacional para monitorar e implantar as extensões apropriadas para exibir métricas que acompanham os indicadores de desempenho.
Grupos de colocação de proximidade. Use grupos de posicionamento de proximidade em cargas de trabalho em que a baixa latência é necessária para garantir que as VMs estejam fisicamente localizadas próximas umas das outras.
Recomendações
| Recomendação | Benefício |
|---|---|
| (VMs, conjunto de escalas) Escolha SKUs para VMs que se alinham com seu planejamento de capacidade. Tenha uma boa compreensão dos seus requisitos de carga de trabalho, incluindo o número de núcleos, memória, armazenamento e largura de banda de rede para que você possa filtrar SKUs inadequados. |
O dimensionamento adequado das suas VMs é uma decisão fundamental que afeta significativamente o desempenho da sua carga de trabalho. Sem o conjunto certo de VMs, você pode enfrentar problemas de desempenho e acumular custos desnecessários. |
| (VMs, conjunto de escalas) Implante VMs de carga de trabalho sensíveis à latência em grupos de posicionamento de proximidade. | Os grupos de posicionamento de proximidade reduzem a distância física entre os recursos de computação do Azure, o que pode melhorar o desempenho e reduzir a latência da rede entre VMs autônomas, VMs em vários conjuntos de disponibilidade ou VMs em vários conjuntos de escala. |
| (VMs) Considere habilitar a rede acelerada. | Ele permite a virtualização de E/S de raiz única (SR-IOV) para uma VM, o que melhora muito seu desempenho de rede. |
| (VMs, conjunto de escalas) Defina regras de dimensionamento automático para aumentar ou diminuir o número de instâncias de VM em seu conjunto de escala com base na demanda. | Se a demanda da aplicação aumentar, a carga sobre as instâncias de máquinas virtuais no conjunto de dimensionamento também aumenta. As regras de dimensionamento automático garantem que você tenha recursos suficientes para atender à demanda. |
Políticas do Azure
O Azure fornece um extenso conjunto de políticas internas relacionadas a Máquinas Virtuais e suas dependências. Algumas das recomendações anteriores podem ser auditadas por meio da Política do Azure. Por exemplo, pode verificar se:
A criptografia está habilitada no nível do host. Certifique-se de que a criptografia esteja habilitada no nível do host para fornecer segurança extra para seus dados de VM.
As extensões antimalware são implantadas. Verifique se as extensões antimalware estão implantadas em VMs que executam o Windows Server e definidas para atualizações automáticas para garantir proteção contínua.
A aplicação automática de patches de imagem de sistema operativo está ativada. Verifique se a aplicação automática de patches de imagem do SO está ativada em conjuntos de escala para garantir que as suas VMs se mantêm atualizadas com os patches de segurança.
Apenas extensões de VM aprovadas são instaladas. Verifique se apenas as extensões aprovadas estão instaladas em suas VMs. Essa abordagem ajuda a minimizar o risco de vulnerabilidades de segurança.
Os agentes de monitoramento e dependência estão habilitados. Certifique-se de que o agente Monitor e os agentes de dependência estejam habilitados em todas as novas VMs para facilitar o monitoramento e o gerenciamento de dependências.
Apenas são implantadas as SKUs de VM permitidas. Confirme se apenas SKUs de VM aprovadas foram implantadas. Esta política garante a aderência às suas restrições de custos e requisitos de recursos.
Os pontos de acesso privados são usados para acesso ao disco. Certifique-se de que os pontos de extremidade privados sejam usados para obter acesso seguro aos recursos de disco. Esta abordagem ajuda a evitar a exposição a redes públicas.
A deteção de vulnerabilidades está ativada. Habilite a deteção de vulnerabilidades para suas VMs. Para máquinas Windows, configure regras como verificações diárias com o Microsoft Defender Antivírus para detetar ameaças potenciais.
Para obter uma governança abrangente, revise as definições internas da Política do Azure para Máquinas Virtuais e outras políticas que podem afetar a segurança da camada de computação.
Recomendações do Azure Advisor
O Azure Advisor é um consultor de nuvem personalizado que ajuda você a seguir as práticas recomendadas para otimizar suas implantações do Azure.
Para obter mais informações, veja Azure Advisor (Assistente do Azure).
Conteúdo relacionado
Considere os seguintes artigos como recursos que demonstram as recomendações destacadas neste artigo.
- Use as seguintes arquiteturas de referência como exemplos de como aplicar as diretrizes deste artigo a uma carga de trabalho:
- Arquiteturas de VM única: VM Linux e VM Windows
- Arquitetura básica que se concentra em recomendações de infraestrutura: arquitetura de linha de base de máquinas virtuais
- Crie experiência em implementação usando a seguinte documentação do produto: