Хранение и совместное использование ресурсов в Коллекции вычислений Azure

Применимо к: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️ Универсальные масштабируемые наборы

С помощью Коллекции вычислений Azure вы сможете создавать структуру и организацию ресурсов Azure, таких как образы и приложения. Коллекция вычислений Azure обеспечивает следующее:

• Глобальная репликация.¹
• Управление версиями и группировка ресурсов для более эффективного администрирования.
• Высокодоступные ресурсы с учетными записями ZRS (хранилищ, избыточных между зонами) в регионах, где поддерживаются Зоны доступности. Служба ZRS повышает надежность на случай сбоев в зонах.
• Поддержка хранилищ ценовой категории "Премиум" (Premium_LRS).
• Совместное использование сообщества в разных подписках и даже разных клиентах Active Directory (AD).
• Масштабирование развертываний с репликацией ресурсов в каждом регионе.

С помощью коллекции вы можете предоставлять общий доступ к своим ресурсам всем пользователям или же только для других пользователей, субъектов-служб или групп AD в вашей организации. Ресурсы можно реплицировать в несколько регионов для более быстрого масштабирования развертываний.

¹ Служба коллекции вычислений Azure не является глобальным ресурсом. Для сценариев аварийного восстановления рекомендуется иметь по крайней мере две коллекции в разных регионах.

Изображения

Дополнительные сведения о хранении образов в Коллекции вычислений Azure см. в статье Хранение и совместное использование образов в Коллекции вычислений Azure.

Приложения виртуальной машины

Хотя вы можете создать образ виртуальной машины с предварительно установленными приложениями, вам потребуется обновлять образ каждый раз при изменении приложения. Отделение установки приложения от образов виртуальных машин означает отсутствие необходимости публиковать новый образ для каждого изменения строки кода.

Дополнительные сведения о хранении приложений в Коллекции вычислений Azure см. в статье Приложения виртуальной машины.

Поддержка в регионах

Все общедоступные регионы могут быть целевыми, но в некоторых регионах для получения доступа клиенты должны выполнить процесс запроса. Чтобы запросить добавление подписки в список разрешений для таких регионов, как Центральная Австралия или Центральная Австралия 2, отправьте запрос на доступ.

Ограничения

В отношении развертывания ресурсов с использованием Коллекций вычислений Azure установлены следующие ограничения в расчете на подписку:

• 100 коллекций на одну подписку на один регион
• 1000 определений образов на одну подписку на один регион.
• 10000 версий образов на одну подписку на один регион.
• 100 реплик на версию образа, однако для большинства вариантов использования должно быть достаточно 50 реплик.
• Размер любого диска, подключенного к образу, должен быть меньше или равен 1 ТБ.
• Перемещение ресурсов не поддерживается для ресурсов коллекции вычислений Azure

Дополнительные сведения и примеры проверки текущего уровня потребления см. в статье Проверка использования ресурсов в соответствии с ограничениями.

Масштабирование

Коллекция вычислений Azure позволяет указать число реплик, которое требуется сохранить. В сценариях развертывания с несколькими виртуальными машинами развертывания виртуальных машин можно распространять на различные реплики, что снижает вероятность регулирования при создании экземпляра из-за перегрузки одной реплики.

С помощью коллекции вычислений Azure можно развернуть до 1000 экземпляров виртуальных машин в масштабируемом наборе.  Для каждого целевого региона можно установить собственное число реплик в зависимости от потребностей данного региона в плане масштабирования. Поскольку каждая реплика представляет собой копию ресурса, каждая дополнительная реплика помогает линейно масштабировать развертывание. Хотя очевидно, что у каждого ресурса и региона есть свои особенности, вот несколько общих рекомендаций относительно использования реплик в регионе.

• На каждые 20 одновременно создаваемых виртуальных машин рекомендуется иметь одну реплику. Например, если вы одновременно создаете 120 виртуальных машин на основе одного образа в определенном регионе, рекомендуется иметь хотя бы 6 реплик данного образа.
• Для каждого одновременного создаваемого виртуального набора рекомендуется хранить одну реплику.

Мы также рекомендуем всегда создавать избыточное число реплик с учетом таких факторов, как размер ресурса, его содержимое и тип операционной системы.

Высокий уровень доступности

Хранилище, избыточное в пределах зоны (ZRS), повышает надежность на случай сбоев Зон доступности в пределах региона. С учетом общей доступности Коллекции вычислений Azure вы можете выбирать для хранения своих образов учетные записи ZRS в регионах с Зонами доступности.

Кроме того, для каждого целевого региона можно выбрать тип учетной записи. По умолчанию используется тип учетной записи хранения Standard_LRS, однако для регионов с Зонами доступности можно выбирать тип Standard_ZRS. Дополнительные сведения о региональной доступности ZRS см. в статье об избыточности данных.

Репликация

Коллекция вычислений Azure также позволяет автоматически реплицировать ресурсы в других регионах Azure. Каждую версию образа можно реплицировать в разных регионах в зависимости от того, что лучше всего подходит для вашей организации. Примером может служить репликация последних образов в нескольких регионах, хотя все старые версии образов доступны только в одном регионе. Это позволяет экономить на стоимости хранения.

Регионы, в которые реплицируется ресурс, можно обновить после создания. Время, необходимое для репликации в разных регионах, зависит от объема копируемых данных и количества регионов, в которые реплицируется версия. В некоторых случаях это может занять несколько часов. В процессе репликации можно просмотреть ее состояние для каждого региона. Когда репликация образа в регионе будет завершена, можно развернуть виртуальную машину или масштабируемый набор, используя данный ресурс в этом регионе.

Совместное использование

Существует три основных способа предоставления общего доступа к образами в Коллекции вычислений Azure (в зависимости от того, кому предоставляется доступ):

Предоставление общего доступа с помощью:	Пользователи	Группы	Субъект-служба	Все пользователи в определенной подписке (или) клиенте	Общедоступная для всех пользователей в Azure
Общий доступ к RBAC	Да	Да	Да	Нет	Нет
Общая коллекция RBAC + Direct	Да	Да	Да	Да	Нет
Коллекция RBAC + Community	Да	Да	Да	Нет	Да

RBAC

Поскольку Коллекция вычислений Azure, определение образа и версия образа являются ресурсами, для них можно предоставить общий доступ с помощью встроенных средств управления доступом на основе ролей Azure. Роли Azure RBAC позволяют предоставлять общий доступ к этим ресурсам другим пользователям, субъектам-службам и группам. Доступ к ним можно предоставлять даже пользователям за пределами клиента, в котором данные ресурсы были созданы. Пользователь, получивший доступ к версии ресурса, сможет использовать его для развертывания виртуальной машины или масштабируемого набора виртуальных машин. Ниже приведена матрица общего доступа, которая помогает понять, к чему пользователь получает доступ:

Доступ предоставлен пользователю	Коллекция вычислений Azure	Определение образа	Версия образа
Коллекция вычислений Azure	Да	Да	Да
Определение образа	Нет	Да	Да

Общий доступ рекомендуется предоставлять на уровне Коллекции. Предоставлять доступ к отдельным версиям образов не рекомендуется. Дополнительные сведения об Azure RBAC см. в статье Назначение ролей Azure.

Дополнительные сведения см. в статье Предоставление общего доступа с помощью RBAC (управление доступом на основе ролей).

Общий доступ непосредственно к арендатору или подписке

Предоставьте определенным подпискам или арендаторам прямой доступ к общей коллекции вычислений Azure. Совместное использование коллекции с арендаторами и подписками предоставляет им доступ к коллекции только для чтения. Дополнительные сведения см. в статье Общий доступ к коллекции с подписками или арендаторами.

Важно!

Коллекция вычислений Azure — это общая коллекция, которая в настоящее время работает в режиме предварительной версии и распространяется на условиях предварительной версии коллекции вычислений Azure.

Чтобы опубликовать образы в коллекции, к которой предоставлен прямой доступ, на этапе предварительной версии, необходимо зарегистрироваться на странице https://aka.ms/directsharedgallery-preview. Создавать виртуальные машины из коллекции, к которой предоставлен прямой доступ, могут все пользователи Azure.

На этапе предварительной версии необходимо создать коллекцию со свойством sharingProfile.permissions со значением Groups. При использовании CLI для создания коллекции воспользуйтесь параметром --permissions groups. Существующую коллекцию использовать нельзя; в настоящее время свойство обновить нельзя.

В настоящее время невозможно создать гибкий масштабируемый набор виртуальных машин из образа, предоставленного вам другим арендатором.

Ограничения

На этапе предварительной версии:

• Вы можете предоставлять общий доступ только к подпискам, которые также находятся на этапе предварительной версии.
• Вы можете предоставить общий доступ только 30 подпискам и 5 арендаторам.
• Коллекция, к которой предоставлен прямой доступ, не может содержать зашифрованные версии образа. Зашифрованные образы не могут быть созданы в коллекции, к которой предоставлен прямой доступ.
• Только владелец подписки, пользователь или субъект-служба, которым назначена роль Compute Gallery Sharing Admin на уровне подписки или коллекции, смогут включить общий доступ для групп.
• Необходимо создать коллекцию со свойством sharingProfile.permissions со значением Groups. При использовании CLI для создания коллекции воспользуйтесь параметром --permissions groups. Существующую коллекцию использовать нельзя; в настоящее время свойство обновить нельзя.

Коллекция сообщества

Чтобы предоставить общий доступ всем пользователям Azure, можно создать коллекцию сообщества (предварительная версия). Коллекции сообщества могут использовать любые пользователи с подпиской Azure. Пользователь, создающий виртуальную машину, может просматривать образы, к которым предоставлен доступ сообществу, с помощью портала, REST или Azure CLI.

Предоставление доступа к образам для сообщества — это новая возможность в Коллекции вычислений Azure. В предварительной версии вы можете сделать коллекции образов общедоступными и поделиться ими со всеми клиентами Azure. Когда коллекция помечена как коллекция сообщества, все образы в этой коллекции становятся доступными для всех клиентов Azure в качестве нового типа ресурсов в разделе Microsoft.Compute/communityGalleries. Эти коллекции будут видны для всех клиентов Azure, которые смогут их использовать для создания виртуальных машин. Исходные ресурсы типа Microsoft.Compute/galleries по-прежнему находятся в вашей подписке и не являются общедоступными.

Дополнительные сведения см. в статье Общий доступ к образам с помощью коллекции сообщества.

Важно!

Коллекция вычислений Azure — это коллекции сообщества, которые в настоящее время находятся в предварительной версии и распространяются на условиях предварительной версии коллекции вычислений Azure для коллекции сообщества.

Чтобы опубликовать коллекцию сообщества, необходимо зарегистрироваться для получения предварительной версии по адресу https://aka.ms/communitygallery-preview. Создавать виртуальные машины из коллекции сообщества могут все пользователи Azure.

На этапе предварительной версии коллекция должна быть создана как коллекция сообщества (для CLI это означает использование параметра --permissions community). В настоящее время невозможно перенести обычную коллекцию в коллекцию сообщества.

В настоящее время невозможно создать гибкий масштабируемый набор виртуальных машин из образа, доступного другому клиенту.

Зачем делиться с сообществом?

Как издатель содержимого вы можете предоставить общий доступ к коллекции сообществу:

• Если у вас есть некоммерческое содержимое, не защищаемое законодательством об интеллектуальной собственности, которое вы хотите сделать общедоступным в Azure.

• Вам требуется больший контроль над количеством версий, регионов и продолжительностью доступности образа.

• Вы хотите быстро поделиться ежедневными или ночными сборками с клиентами.

• Вы не хотите решать проблемы с мультитенантной проверкой подлинности при предоставлении доступа для нескольких клиентов в Azure.

Принцип предоставления общего доступа для сообщества

Вы создаете ресурс коллекции в разделе Microsoft.Compute/Galleries и выбираете community в качестве параметра общего доступа.

Когда вы будете готовы, вы пометите свою коллекцию как готовую к общедоступному доступу. Включить общий доступ к коллекции для сообщества может только владелец подписки или пользователь или субъект-служба с ролью Compute Gallery Sharing Admin на уровне подписки или коллекции. На этом этапе инфраструктура Azure создает региональные прокси-ресурсы, доступные только для чтения, в Microsoft.Compute/CommunityGalleries, которые являются общедоступными.

Конечные пользователи могут взаимодействовать только с прокси-ресурсами, они никогда не взаимодействуют с частными ресурсами. Как издатель частного ресурса вы можете считать частный ресурс дескриптором общедоступных прокси-ресурсов. prefix, указанный при создании коллекции, будет использоваться вместе с уникальным идентификатором GUID для создания общедоступного имени для коллекции.

Пользователи Azure могут просматривать последние версии образов, предоставленные сообществу на портале, или запрашивать их с помощью интерфейса командной строки. В коллекции сообщества отображается только последняя версия образа.

При создании коллекции сообщества необходимо указать контактные данные для образов. Эти сведения будут общедоступными, поэтому соблюдайте осторожность при предоставлении таких сведений:

• Префикс коллекции сообщества
• Адрес электронной почты службы поддержки издателя
• URL-адрес издателя
• URL-адрес юридического соглашения

Сведения из определений образов также будут общедоступными, например данные, указанные в полях Издатель, Предложение и Номер SKU.

Предупреждение

Если вы хотите прекратить общий доступ к коллекции, вы можете обновить коллекцию, чтобы прекратить общий доступ, но как только коллекция станет частной, существующие пользователи масштабируемого набора виртуальных машин не смогут масштабировать свои ресурсы.

Если вы отмените общий доступ к коллекции на этапе предварительной версии, вы не сможете повторно предоставить общий доступ к ней.

Ограничения для образов, предоставляемых для сообщества

Существует ряд ограничений, связанных с предоставлением общего доступа к коллекции для сообщества:

• Зашифрованные образы не поддерживаются.
• Для предварительной версии ресурсы образов должны быть созданы в том же регионе, что и коллекция. Например, если вы создаете коллекцию в западной части США, определения образов и версии образов должны быть созданы также в западной части США, если вы хотите сделать их доступными во время действия общедоступной предварительной версии.
• Для предварительной версии вы не можете предоставить сообществу общий доступ к приложениям виртуальных машин.
• Коллекция должна быть создана как коллекция сообщества. В предварительной версии невозможно перенести существующую коллекцию в коллекцию сообщества.
• Чтобы найти образы, предоставленные сообществу на портале Azure, необходимо просмотреть страницы создания виртуальной машины или масштабируемого набора. Поиск образов на портале или Azure Marketplace невозможен.

Важно!

Корпорация Майкрософт не предоставляет поддержку образов, которые вы делаете общедоступными для сообщества.

Часто задаваемые вопросы об общедоступных для сообщества образах

Вопрос. Какая взимается плата за использование коллекции, к которой предоставлен общий доступ для сообщества?

Ответ. За использование самой услуги плата не взимается. Тем не менее, с издателей содержимого будет взиматься:

• плата за версии приложений и реплики в каждом регионе (исходном и целевом). Эти расходы зависят от выбранного типа учетной записи хранения.
• Плата за исходящий сетевой трафик для репликации между регионами.

Вопрос. Безопасно ли использовать образы, которые являются общедоступными для сообщества?

Ответ. Пользователям следует проявлять осторожность при использовании образов из непроверенных источников, так как эти образы не подлежат сертификации Azure.

Вопрос: К кому обращаться за поддержкой, если образ, который является общедоступным для сообщества, не работает?

Ответ. Azure не несет ответственности за проблемы, которые могут возникнуть у пользователей при работе с общими образами сообщества. Поддержка предоставляется издателем образа. Найдите контактную информацию издателя для образа и обратитесь к нему за помощью.

Вопрос. Является ли функция общего доступа к коллекции сообщества частью Azure Marketplace?

О. Нет, общий доступ к коллекции сообщества не является частью Azure Marketplace, это функция коллекции вычислений Azure. Любой пользователь с подпиской Azure может использовать коллекцию сообщества и сделать свои образы общедоступными.

Вопрос. У меня есть опасения по поводу образа, к кому мне обращаться?

Ответ. В случае проблем с образами, предоставленными сообществу:

• Чтобы сообщить о вредоносных образах, воспользуйтесь ссылкой Сообщение о нарушениях.
• Чтобы сообщить об образах, которые могут нарушать права интеллектуальной собственности, воспользуйтесь ссылкой Сообщение о нарушении прав.

Вопрос. Как можно отправить запрос на репликацию в конкретный регион для образа, доступного сообществу?

Ответ. Регионы, в которых доступны образы, определяют только издатели содержимого. Если вы не можете найти образ в определенном регионе, обратитесь к издателю напрямую.

Журнал действий

В журнале действий отображаются последние действия с коллекцией, образом или версией, в том числе все изменения конфигурации, а также события ее создания и удаления. Просмотрите журнал действий на портале Azure или создайте параметр диагностики для отправки в рабочую область Log Analytics, где вы сможете просматривать сведения о событиях в динамике или анализировать их вместе с другими собранными данными.

В следующей таблице приведено несколько примеров операций, которые связаны с коллекцией и регистрируются в журнале действий. Полный список возможных записей в журнале см. в разделе Варианты поставщика ресурсов Microsoft.Compute.

Операция	Описание
Microsoft.Compute/galleries/write	Создает новую коллекцию или обновляет существующую.
Microsoft.Compute/galleries/delete	Удаляет коллекцию.
Microsoft.Compute/galleries/share/action	Предоставляет общий доступ к коллекции для разных областей.
Microsoft.Compute/galleries/images/read	Получает свойства образа коллекции.
Microsoft.Compute/galleries/images/write	Создает новый образ коллекции или обновляет существующий.
Microsoft.Compute/galleries/images/versions/read	Получает свойства версии образа коллекции.

Выставление счетов

За использование службы "Коллекция вычислений Azure" дополнительная оплата не взимается. Плата будет взиматься за следующие ресурсы:

• Затраты на хранение каждой реплики. Плата за хранение образов начисляется как за моментальный снимок и зависит от того, сколько места занимает версия образа, от количества реплик версии образа и количества регионов, в которые реплицируется версия.
• Плата за исходящий трафик для репликации первой версии ресурса из исходного региона в реплицируемые. Обработка последующих реплик ведется в пределах одного региона, поэтому дополнительные расходы при этом не возникают.

Например, предположим, что у вас есть образ диска с ОС размером 127 ГБ, который занимает 10 ГБ хранилища, и один пустой диск данных объемом 32 ГБ. Занимаемый объем образа будет составлять всего 10 ГБ. Образ реплицируется в 3 региона, а в каждом регионе по две реплики. Всего будет шесть моментальных снимков, каждый из которых использует 10 ГБ. Плата за хранение каждого моментального снимка будет взиматься в зависимости от занимаемого размера в 10 ГБ. вы платите плату за исходящий сетевой трафик для первой реплики, которую необходимо скопировать в два дополнительных региона. Дополнительные сведения о ценах на моментальные снимки в каждом регионе см. на странице Цены на управляемые диски. Дополнительные сведения об исходящем трафике сети см. на странице Сведения о стоимости пропускной способности.

Рекомендации

• Чтобы предотвратить случайное удаление образов, используйте блокировки ресурсов на уровне коллекции. Дополнительные сведения см. в статье Защита ресурсов Azure с помощью блокировки.

• Используйте ZRS везде, где это возможно, для обеспечения высокой доступности. Вы можете настроить ZRS на вкладке репликации при создании версии образа или приложения виртуальной машины. Дополнительные сведения о том, какие регионы поддерживают ZRS, см. в статье Регионы Azure с зонами доступности.

• Для рабочих образов необходимо иметь не менее 3 реплик. На каждые 20 одновременно создаваемых виртуальных машин рекомендуется иметь одну реплику. Например, при одновременном создании 1000 виртуальных машин необходимо сохранить 50 реплик (в каждом регионе может быть не более 50 реплик). Для обновления количества реплик перейдите в коллекцию -> Определение образа -> Версия образа -> Обновление репликации.

• Храните отдельные коллекции для рабочих и тестовых образов, не помещая их в одну коллекцию.

• При создании определения образа следите за тем, чтобы Publisher/Offer/SKU соответствовали образам Marketplace для удобной идентификации версии ОС. Например, если вы настраиваете образ Windows Server 2019 из Marketplace и храните его как образ коллекции вычислений, используйте тот же издатель, предложение или номер SKU, который используется в образе Marketplace в образе коллекции вычислений.

• Используйте excludeFromLatest при публикации образов, если требуется исключить определенную версию образа во время создания виртуальной машины или масштабируемого набора. Версии образа коллекции — создание или обновление.

  Если вы хотите исключить версию в определенном регионе, используйте regionalExcludeFromLatest вместо глобального флага excludeFromLatest. Можно задать глобальный и региональный флаг excludeFromLatest, но при указании обоих флагов приоритет будет у регионального.

  "publishingProfile": {
    "targetRegions": [
      {
        "name": "brazilsouth",
        "regionalReplicaCount": 1,
        "regionalExcludeFromLatest": false,
        "storageAccountType": "Standard_LRS"
      },
      {
        "name": "canadacentral",
        "regionalReplicaCount": 1,
        "regionalExcludeFromLatest": true,
        "storageAccountType": "Standard_LRS"
      }
    ],
    "replicaCount": 1,
    "excludeFromLatest": true,
    "storageAccountType": "Standard_LRS"
  }
  

• Для сценариев аварийного восстановления рекомендуется иметь по крайней мере две коллекции в разных регионах. Вы по-прежнему можете использовать версии образов в других регионах, но если в регионе, в котором находится коллекция, произойдет сбой, вам не удастся создать новые ресурсы коллекции или обновить существующие.

• Установите значение safetyProfile.allowDeletionOfReplicatedLocations false в версиях образов, чтобы предотвратить случайное удаление реплицированных регионов и предотвратить сбой. Это можно также задать с помощью интерфейса командной строки allow-replicated-location-deletion.

{ 
  "properties": { 
    "publishingProfile": { 
      "targetRegions": [ 
        { 
          "name": "West US", 
          "regionalReplicaCount": 1, 
          "storageAccountType": "Standard_LRS", 
          // encryption info         
        }
      ], 
      "replicaCount": 1, 
      "publishedDate": "2018-01-01T00:00:00Z", 
      "storageAccountType": "Standard_LRS" 
    }, 
    "storageProfile": { 
      "source": { 
        "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Compute/images/{imageName}" 
      }, 
    }, 
   “safetyProfile”: { 
      “allowDeletionOfReplicatedLocations” : false 
    }, 
  }, 
  "location": "West US", 
  "name": "1.0.0" 
} 

Поддержка пакетов SDK

Следующие пакеты SDK поддерживают создание Коллекций вычислений Azure:

• .NET
• Java
• Node.js
• Python
• GO

Шаблоны

Вы можете создать ресурс Коллекции вычислений Azure с помощью шаблонов. Существует несколько шаблонов быстрого запуска:

• Создание коллекции
• Создание определения образа в коллекции
• Создание версии образа в коллекции

Дальнейшие действия

Сведения о том, как развертывать образы и приложения виртуальных машин с помощью Коллекции вычислений Azure.