Planejar o dimensionamento e a rede
A VM do Azure é um tipo de recurso de computação de infraestrutura como serviço (IaaS) popular no Azure. Em comparação com os serviços de computação de plataforma como serviço (PaaS), as VMs do Azure fornecem mais flexibilidade e controle sobre o sistema operacional (SO) da VM e sua configuração. O maior controlo e flexibilidade exigem mais planeamento para apoiar os melhores resultados.
Esta unidade descreve os fatores gerais e as considerações para planejar implantações de VM Linux do Azure. O processo de planejamento deve considerar os aspetos de computação, rede e armazenamento da configuração da VM. Algumas dessas características são específicas do sistema operacional, com detalhes de implementação variando entre diferentes distribuições Linux.
A Microsoft faz parcerias com fornecedores Linux proeminentes para integrar seus produtos com a plataforma Azure. Para se beneficiar totalmente dessa integração, você pode criar VMs do Azure a partir de imagens pré-criadas para várias distribuições Linux populares, como SUSE, Red Hat e Ubuntu. Opcionalmente, você pode criar uma imagem personalizada de uma distribuição Linux para ser executada no ambiente de nuvem. Nesse caso, pode haver mais etapas em seu processo de provisionamento de VM do Azure.
Em ambos os casos, este módulo de aprendizagem pode ajudar a otimizar ainda mais a implantação resultante. A otimização requer que você tenha uma forte compreensão do recurso de VM do Azure e suas dependências.
Compreender as dependências de recursos
Ao criar uma VM do Azure, você também precisa criar vários recursos associados dos quais a VM do Azure depende para fornecer funcionalidade completa ao sistema operacional virtualizado. Esses recursos incluem:
Discos virtuais para armazenar o SO, aplicações e dados.
Uma rede virtual com uma ou mais sub-redes para conectar a VM do Azure a outros serviços do Azure ou aos seus datacenters locais.
Uma interface de rede para conectar a VM do Azure a uma sub-rede da rede virtual.
Nota
Cada interface de rede deve ter pelo menos um endereço IP privado atribuído dinamicamente ou estaticamente. Os endereços IP privados não são recursos separados do Azure, mas fazem parte da configuração da sub-rede.
Um grupo de recursos para hospedar a VM do Azure.
Opcionalmente, um endereço IP público associado à interface de rede da VM, para fornecer acesso de entrada direto à VM a partir da Internet.
Agora que você entende as dependências de recursos da VM do Azure, pode começar a planejar o dimensionamento da VM.
Planejar o dimensionamento
Para determinar o tamanho certo para sua VM do Azure, você precisa considerar a carga de trabalho pretendida. O tamanho escolhido determina as seguintes características da VM:
- Poder de processamento
- Memória
- Capacidade de armazenamento
- Desempenho
- Suporte para recursos avançados de rede
Importante
As VMs do Azure têm limites de cota de CPU virtual (vCPU), que você deve levar em conta no planejamento. Para aumentar os limites de cota após a implantação, você deve enviar uma solicitação online ao Suporte do Azure.
O Azure oferece uma ampla gama de tamanhos com diferentes especificações e faixas de preço para atender a uma ampla variedade de necessidades. Os tamanhos de VM são agrupados em várias categorias que representam os tipos de cargas de trabalho para as quais são otimizadas. Cada categoria inclui uma ou mais séries, ou famílias, que compartilham características de hardware subjacentes comuns, mas oferecem uma gama de tamanhos diferentes.
A lista a seguir mostra os tipos de carga de trabalho e casos de uso comuns para cada tipo de carga de trabalho. Cada tipo de carga de trabalho tem famílias correspondentes que incluem vários tamanhos.
- Objetivo geral: Teste e desenvolvimento, bancos de dados de pequeno a médio porte e servidores web de tráfego de baixo a médio.
- Computação intensiva: servidores Web de tráfego médio, dispositivos de rede, processos em lote e servidores de aplicativos.
- Uso intensivo de memória: servidores de banco de dados relacional, caches médios a grandes e análises na memória.
- Armazenamento intensivo: bancos de dados Big Data, SQL e NoSQL que exigem alta taxa de transferência de disco e entrada/saída (E/S).
- Compatível com GPU (Unidade de Processamento Gráfico): renderização de gráficos pesados ou edição de vídeo e treinamento e inferência de modelos com aprendizado profundo.
- Computação de alto desempenho (HPC): VMs de CPU mais rápidas e poderosas, com interfaces de rede opcionais de alto rendimento que suportam RDMA (Acesso Remoto Direto à Memória).
Ao planejar tamanhos de VM do Azure, considere também os seguintes fatores:
- Alterar a série ou o tamanho da VM do Azure, embora simples e comum, requer uma reinicialização do sistema operacional. Para evitar reinicializações, dimensione a VM adequadamente desde o início, se possível.
- A disponibilidade do tamanho da VM varia de acordo com a região, portanto, considere a disponibilidade regional ao planejar sua implantação.
- O número máximo de discos que você pode anexar a uma VM do Azure depende de seu tamanho.
Outras considerações de tamanho
Considere usar o Seletor de VM do Microsoft Azure para determinar o tamanho de VM mais adequado com base no tipo de carga de trabalho, sistema operacional, software instalado e região de implantação.
Se você planeja usar VMs do Azure de tamanho igual ou semelhante na mesma região durante um período prolongado, considere usar as Reservas do Azure para reduzir o custo de computação em até 72%.
Para reduzir o custo das VMs do Azure para cargas de trabalho que podem lidar com interrupções, como trabalhos de processamento em lote, use as VMs spot do Azure.
Planejar a rede
As VMs se comunicam com recursos externos usando uma rede virtual. Uma rede virtual representa uma rede privada dentro de uma região do Azure. Você pode conectar redes virtuais a outras redes, incluindo redes em seus datacenters locais, e aplicar regras de tráfego para controlar a conectividade de entrada e saída.
Cada rede virtual designa um espaço de endereço IP que normalmente consiste em um ou mais intervalos de endereços privados, conforme definido pela RFC 1918. Assim como nas redes locais, você pode dividir o espaço de endereço da rede virtual em várias sub-redes para isolar as cargas de trabalho da VM do Azure. Cada sub-rede dentro de uma rede virtual representa um intervalo de endereços privados. Para impor o isolamento da carga de trabalho, associe um NSG (Grupo de Segurança de Rede) a cada sub-rede.
Cada VM do Azure inclui uma ou mais interfaces de rede e cada interface se conecta a uma sub-rede dentro da mesma rede virtual. O Azure atribui automaticamente a cada VM na sub-rede um endereço IP do intervalo da sub-rede. O Azure reserva os quatro primeiros e o último endereço IP em cada sub-rede para seu próprio uso e não os atribui.
Embora seja possível criar uma rede virtual e sub-redes como parte de um processo de provisionamento de VM, a abordagem recomendada é iniciar o planejamento da implantação da VM do Azure com o ambiente de rede. Depois de contabilizar todos os requisitos de rede e criar as redes virtuais correspondentes, você pode continuar com a implantação das VMs do Azure.
Ao planejar redes virtuais e sub-redes do Azure, lembre-se dos seguintes princípios de design:
- Certifique-se de que os espaços de endereço não se sobrepõem. Se você quiser conectar suas redes virtuais e redes locais, os espaços de endereço IP não podem se sobrepor.
- Use um número menor de redes virtuais maiores em vez de um número maior de redes virtuais menores. Essa prática ajuda a minimizar a sobrecarga de gerenciamento e facilita a escalabilidade.
Largura de banda de rede
Embora uma VM do Azure possa ter várias interfaces de rede, sua largura de banda disponível depende completamente de seu tamanho. Em geral, tamanhos de VM maiores recebem mais largura de banda do que tamanhos menores.
Para medir a quantidade de largura de banda de rede real em relação ao limite alocado, o Azure destina-se apenas ao tráfego de saída. Todo o tráfego de rede que sai da VM conta para esse limite, independentemente do destino do tráfego.
O Azure não limita diretamente a largura de banda de entrada. No entanto, fatores como armazenamento e utilização de recursos de computação afetam o volume de dados de entrada que uma VM do Azure pode processar.
Planejar a conectividade remota
Como parte do planejamento da implantação, considere a abordagem mais adequada para fornecer conectividade remota. Para VMs Linux, a conectividade remota normalmente envolve o uso de Secure Shell (SSH) para implementar criptografia em trânsito de uma sessão de shell de terminal.
Para autenticar através de uma conexão SSH, você pode usar um nome de usuário e senha ou um par de chaves SSH. O uso de senhas para conexões SSH deixa a VM vulnerável a ataques de força bruta. Usar chaves SSH é um método mais seguro e preferido de se conectar a uma VM Linux com SSH.
Mesmo com chaves SSH, por padrão, você deve abrir a conectividade com um endereço IP público associado ao adaptador de rede da VM do Azure de destino. Este IP público é vulnerável a ameaças externas e representa um potencial vetor de ataque. Para reduzir esse risco, considere implementar o Azure Bastion ou o acesso à VM just-in-time (JIT).
Nota
Em cenários híbridos, para eliminar a necessidade de endereços IP públicos ao se conectar de seu ambiente local a VMs do Azure, você pode usar uma VPN (rede virtual privada) site a site ou a Rota Expressa do Azure.
Azure Bastion
Você implanta o serviço Azure Bastion em uma sub-rede dedicada de uma rede virtual que tem conectividade com a VM de destino. O Azure Bastion serve como um agente para conexões SSH externas por HTTPS que estão disponíveis apenas no portal do Azure. O Azure Bastion elimina a necessidade de atribuir endereços IP públicos à interface de rede da VM de destino e também garante que apenas usuários autenticados e devidamente autorizados possam iniciar conexões SSH.
Acesso a VM JIT
O acesso à VM JIT é um recurso do Microsoft Defender for Cloud que limita o acesso a um endereço IP público associado à interface de rede de uma VM do Azure. Esses limites ajustam dinamicamente o NSG para permitir conexões de entrada somente de um intervalo de endereços IP designado durante uma janela de tempo designada. Tal como acontece com o Azure Bastion, os utilizadores têm de se autenticar antes de iniciarem uma ligação a partir do portal do Azure.