Hantera efterlevnad för virtuella datorer

Den här artikeln beskriver hur du hanterar efterlevnad av virtuella datorer utan att försämra DevOps-metoder. Använd Azure VM Image Builder och Azure Compute Gallery för att minimera risken för systemavbildningar.

Arkitektur

Lösningen består av två processer:

• Publiceringsprocessen för gyllene bilder
• Processen för att spåra efterlevnad av virtuella datorer (VM)

Ladda ned en Visio-fil med den här arkitekturen.

Dataflöde

Publiceringsprocessen för gyllene avbildningar körs varje månad och innehåller följande steg:

1. Processen samlar in en basavbildning från Azure Marketplace.
2. VM Image Builder anpassar avbildningen.
3. Processen för bildtatuering spårar information om bildversioner som källan och publiceringsdatumet.
4. Automatiserade tester validerar avbildningen.
5. Om avbildningen misslyckas med några tester återgår den till anpassningssteget för reparationer.
6. Processen publicerar den färdiga avbildningen.
7. Beräkningsgalleriet gör avbildningen tillgänglig för DevOps-team.

Ladda ned en Visio-fil med den här arkitekturen.

Processen för att spåra efterlevnad av virtuella datorer innehåller följande steg:

1. Azure Policy tilldelar principdefinitioner till virtuella datorer och utvärderar de virtuella datorerna för efterlevnad.
2. Azure Policy publicerar efterlevnadsdata för de virtuella datorerna och andra Azure-resurser till Azure Policy instrumentpanelen.

Komponenter

• VM Image Builder är en hanterad tjänst för att anpassa systemavbildningar. Den här tjänsten skapar och distribuerar de avbildningar som DevOps-team använder.

• Beräkningsgalleriet hjälper dig att strukturera och organisera anpassade avbildningar. Genom att lagra avbildningar i lagringsplatser ger den här tjänsten kontrollerad åtkomst till bilderna. Användare kan vara inom och utanför din organisation.

• Azure Policy erbjuder principdefinitioner. Du kan använda dessa definitioner för att framtvinga organisationens standarder och utvärdera efterlevnad i stor skala. Instrumentpanelen Azure Policy visar resultat från Azure Policy utvärderingar. Dessa data håller dig informerad om dina resursers efterlevnadsstatus.

• Azure Automanage Machine Configuration-funktionen i Azure Policy är ett sätt att dynamiskt granska eller tilldela konfigurationer till datorer via kod. Konfigurationerna omfattar vanligtvis miljö- eller operativsysteminställningar.

Alternativ

• Du kan använda ett verktyg från tredje part för att hantera efterlevnad. Men med den här typen av verktyg måste du vanligtvis installera en agent på den virtuella måldatorn. Du kan också behöva betala en licensavgift.

• Du kan använda anpassade skripttillägg för att installera programvara på virtuella datorer eller konfigurera virtuella datorer efter distributionen. Men varje virtuell dator eller VM-skalningsuppsättning kan bara ha ett anpassat skripttillägg. Och om du använder anpassade skripttillägg förhindrar du att DevOps-team anpassar sina program.

Scenarioinformation

Varje företag har sina egna efterlevnadsregler och standarder. När det gäller säkerhet har varje företag sin egen riskaptit. Säkerhetsstandarder kan skilja sig från en organisation till en annan och från en region till en annan.

Att följa olika standarder kan vara mer utmanande när det gäller dynamisk skalning av molnmiljöer än i lokala system. När team använder DevOps-metoder finns det vanligtvis färre begränsningar för vem som kan skapa Azure-resurser som virtuella datorer. Det här faktumet komplicerar efterlevnadsutmaningarna.

Med hjälp av Azure Policy och rollbaserade åtkomstkontrolltilldelningar kan företag tillämpa standarder på Azure-resurser. Men med virtuella datorer påverkar dessa mekanismer bara kontrollplanet eller vägen till den virtuella datorn. Systemavbildningarna som körs på en virtuell dator utgör fortfarande ett säkerhetshot. Vissa företag hindrar utvecklare från att komma åt virtuella datorer. Den här metoden försämrar flexibiliteten, vilket gör det svårt att följa DevOps-metoder.

Den här artikeln innehåller en lösning för att hantera efterlevnaden för virtuella datorer som körs i Azure. Förutom att spåra efterlevnad minimerar lösningen även risken för systembilder som körs på virtuella datorer. Samtidigt är lösningen kompatibel med DevOps-metoder. Kärnkomponenterna är Azure VM Image Builder, Azure Compute Gallery och Azure Policy.

Potentiella användningsfall

Den här lösningen gäller för organisationer med Azure-landningszoner som utför följande uppgifter:

• Leverera gyllene bilder till DevOps-team. En gyllene bild är den publicerade versionen av en marketplace-avbildning.
• Testa och verifiera avbildningar innan de blir tillgängliga för DevOps-team.
• Spåra vilken avbildning varje DevOps-team använder.
• Framtvinga företagsstandarder utan att försämra produktiviteten.
• Se till att DevOps-teamen använder de senaste avbildningsversionerna.
• Hantera efterlevnaden av husdjursservrar, som är underhållsintensiva, och boskapsservrar, som enkelt kan ersättas.

Metod

Följande avsnitt innehåller en detaljerad beskrivning av lösningens metod.

Identifiera husdjur och boskap

DevOps-team använder en analogi som kallas husdjur och boskap för att definiera tjänstmodeller. Om du vill spåra en virtuell dators efterlevnad ska du först avgöra om det är en husdjurs- eller boskapsserver:

• Husdjur kräver betydande uppmärksamhet. De är inte lätta att dela ut. Återställning av en husdjursserver kräver att du investerar mycket tid och ekonomiska resurser. En server som kör SAP kan till exempel vara ett husdjur. Förutom den programvara som körs på servern kan andra överväganden även avgöra tjänstmodellen. Om du har låg feltolerans kan produktionsservrar i realtid och nära realtidssystem också vara husdjur.

• Boskapsservrar ingår i en identisk grupp. Du kan enkelt ersätta dem. Till exempel är virtuella datorer som körs i en VM-skalningsuppsättning boskap. Om det finns tillräckligt med virtuella datorer i uppsättningen fortsätter systemet att köras och du behöver inte känna till varje virtuell dators namn. Testmiljöservrar som uppfyller följande villkor ger ett annat exempel på boskap:

  • Du använder en automatiserad procedur för att skapa servrarna från grunden.
  • När du har kört testerna inaktiverar du servrarna.

En miljö kan bara innehålla husdjursservrar, eller så kan den bara innehålla boskapsservrar. En uppsättning virtuella datorer i en miljö kan däremot vara husdjur. En annan uppsättning virtuella datorer i samma miljö kan vara nötkreatur.

Så här hanterar du efterlevnad:

• Husdjursefterlevnad kan vara mer utmanande att spåra än boskapsefterlevnad. Vanligtvis är det bara DevOps-team som kan spåra och upprätthålla efterlevnaden av husdjursmiljöer och -servrar. Men den här artikelns lösning ökar synligheten för varje husdjurs status, vilket gör det enklare för alla i organisationen att spåra efterlevnad.
• För boskapsmiljöer uppdaterar du de virtuella datorerna och återskapar dem från grunden regelbundet. Dessa steg bör vara lämpliga för efterlevnad. Du kan justera den här uppdateringscykeln med DevOps-teamets regelbundna lanseringstakt.

Begränsa bilder

Tillåt inte att DevOps-team använder Azure Marketplace VM-avbildningar. Tillåt endast VM-avbildningar som Compute Gallery publicerar. Den här begränsningen är viktig för att säkerställa efterlevnad av virtuella datorer. Du kan använda en anpassad princip i Azure Policy för att framtvinga den här begränsningen. Ett exempel finns i Tillåt bildutgivare.

Som en del av den här lösningen bör VM Image Builder använda en Azure Marketplace avbildning. Det är viktigt att använda den senaste avbildningen som är tillgänglig i Azure Marketplace. Tillämpa eventuella anpassningar ovanpå bilden. Azure Marketplace avbildningar uppdateras ofta och varje bild har vissa förinställda konfigurationer, vilket säkerställer att bilderna är säkra som standard.

Anpassa bilder

En gyllene avbildning är versionen av en marketplace-avbildning som publiceras i Compute Gallery. Gyllene bilder är tillgängliga för förbrukning av DevOps-team. Innan avbildningen publiceras sker anpassningen. Anpassningsaktiviteter är unika för varje företag. Vanliga aktiviteter är:

• Härdning av operativsystem.
• Distribuera anpassade agenter för programvara från tredje part.
• Installera rotcertifikat för företagscertifikatutfärdare (CA).

Du kan använda VM Image Builder för att anpassa avbildningar genom att justera operativsystemets inställningar och genom att köra anpassade skript och kommandon. VM Image Builder stöder Windows- och Linux-avbildningar. Mer information om hur du anpassar avbildningar finns i Azure Policy Regelefterlevnadskontroller för Azure Virtual Machines.

Spåra bildtatueringar

Bildtatuering är en process för att hålla reda på all information om versionshantering av avbildningar som en virtuell dator använder. Den här informationen är ovärderlig under felsökningen och kan omfatta:

• Den ursprungliga källan till avbildningen, till exempel namnet och versionen av utgivaren.
• Versionssträngen för operativsystemet, som du behöver om det finns en uppgradering på plats.
• Versionen av din anpassade avbildning.
• Publiceringsdatum.

Mängden och typen av information som du spårar beror på organisationens efterlevnadsnivå.

Konfigurera ett anpassat register för bildtatuering på virtuella Windows-datorer. Lägg till all nödvändig information i den här registersökvägen som nyckel/värde-par. På virtuella Linux-datorer anger du bildtatueringsdata i miljövariabler eller en fil. Placera filen i mappen där den inte står i /etc/ konflikt med utvecklararbete eller program. Om du vill använda Azure Policy för att spåra tatueringsdata eller rapportera om dem lagrar du varje datadel som ett unikt nyckel/värde-par. Information om hur du fastställer versionen av en Marketplace-avbildning finns i Så här hittar du en Marketplace-avbildningsversion.

Verifiera gyllene bilder med automatiserade tester

I allmänhet bör du uppdatera gyllene bilder varje månad för att hålla dig uppdaterad med de senaste uppdateringarna och ändringarna i Azure Marketplace bilder. Använd en återkommande testprocedur för detta ändamål. Som en del av processen för att skapa avbildningar använder du en Azure-pipeline eller ett annat automatiserat arbetsflöde för testning. Konfigurera pipelinen för att distribuera en ny virtuell dator för att köra tester före början av varje månad. Testerna bör bekräfta parerade bilder innan de publiceras för förbrukning. Automatisera tester med hjälp av en testautomatiseringslösning eller genom att köra kommandon eller batchar på den virtuella datorn.

Vanliga testscenarier är:

• Verifierar starttiden för den virtuella datorn.
• Bekräftar alla anpassningar av avbildningen, till exempel konfigurationsinställningar för operativsystem eller agentdistributioner.

Ett misslyckat test bör avbryta processen. Upprepa testet när du har åtgärdat rotorsaken till problemet. Om testerna körs utan problem minskar automatiseringen av testprocessen arbetet med att upprätthålla ett vintergrönt tillstånd.

Publicera gyllene bilder

Publicera slutliga avbildningar i Beräkningsgalleriet som en hanterad avbildning eller som en virtuell hårddisk (VHD) som DevOps-team kan använda. Markera tidigare bilder som föråldrade. Om du inte har angett ett slutdatum för en avbildningsversion i Compute Gallery kanske du föredrar att avbryta den äldsta avbildningen. Det här beslutet beror på företagets principer.

Information om begränsningar som gäller när du använder Compute Gallery finns i Lagra och dela avbildningar i ett Azure Compute-galleri.

En annan bra idé är att publicera de senaste bilderna i olika regioner. Med Compute Gallery kan du hantera livscykeln och replikeringen av dina avbildningar i olika Azure-regioner.

Mer information om beräkningsgalleriet finns i Lagra och dela avbildningar i ett Azure Compute-galleri.

Uppdatera gyllene bilder

När en avbildning används för ett program kan det vara svårt att uppdatera den underliggande operativsystemavbildningen med de senaste kompatibilitetsändringarna. Strikta affärskrav kan komplicera processen med att uppdatera den underliggande virtuella datorn. Det är också komplicerat att uppdatera när den virtuella datorn är viktig för verksamheten.

Eftersom boskapsservrar kan delas ut kan du samordna med DevOps-team för att uppdatera servrarna i ett planerat underhållsperiod som en business-as-usual-aktivitet.

Det är svårare att uppdatera husdjursservrar. Om du avbryter en avbildning kan program utsättas för risker. I utskalningsscenarier kan Azure inte hitta respektive avbildningar, vilket resulterar i fel.

Tänk på dessa riktlinjer när du uppdaterar husdjursservrar:

• Metodtips finns i Översikt över grundpelare för tillförlitlighet i Azure Well-Architected Framework.

• Information om hur du effektiviserar processen finns i de principer som beskrivs i dessa dokument:

  • Mönster för distributionsstämplar
  • Geode-mönster
  • Mönstret Bulkhead

• Tagga varje husdjursserver som husdjur. Konfigurera en princip i Azure Policy för att ta hänsyn till den här taggen under uppdateringarna.

Förbättra synligheten

I allmänhet bör du använda Azure Policy för att hantera alla kontrollplansefterlevnadsaktiviteter. Du kan också använda Azure Policy för:

• Spåra efterlevnad av virtuella datorer.
• Installera Azure-agenter.
• Samla in diagnostikloggar.
• Förbättra synligheten för vm-efterlevnad.

Använd funktionen Azure Automanage Machine Configuration i Azure Policy för att granska de konfigurationsändringar som du gör under avbildningsanpassningen. När drift inträffar listar Azure Policy instrumentpanelen den berörda virtuella datorn som inkompatibel. Azure Policy kan använda information om bildtatuering för att spåra när du använder inaktuella bilder eller operativsystem.

Granska husdjursservrar för varje program. Genom att använda Azure-principer med en granskningseffekt kan du förbättra synligheten för dessa servrar. Justera granskningsprocessen enligt företagets riskaptit och interna riskhanteringsprocesser.

Varje DevOps-team kan spåra programefterlevnadsnivåer på Azure Policy instrumentpanel och vidta lämpliga åtgärder. När du tilldelar dessa principer till en hanteringsgrupp eller en prenumeration ger du tilldelningsbeskrivningen en URL som leder till en företagsomfattande wiki. Du kan också använda en kort URL som aka.ms/policy-21. I wikin listar du de steg som DevOps-team bör vidta för att göra sina virtuella datorer kompatibla.

IT-riskhanterare och säkerhetsansvariga kan också använda instrumentpanelen Azure Policy för att hantera företagsrisker enligt företagets riskaptit.

Genom att använda konfigurationsfunktionen för Azure Automanage Machine i Azure Policy med reparationsalternativ kan du tillämpa korrigerande åtgärder automatiskt. Men att förhöra en virtuell dator ofta eller göra ändringar på en virtuell dator som du använder för ett affärskritiskt program kan försämra prestandan. Planera åtgärder noggrant för produktionsarbetsbelastningar. Ge ett DevOps-team ägarskap för programefterlevnad i alla miljöer. Den här metoden är viktig för husdjursservrar och miljöer, som vanligtvis är långsiktiga Azure-komponenter.

Överväganden

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Skalbarhet

Du kan konfigurera antalet repliker som lagras i Beräkningsgalleriet för varje bild. Ett högre antal repliker minimerar risken för begränsning när du etablerar flera virtuella datorer samtidigt. Allmän vägledning om hur du skalar och konfigurerar ett lämpligt antal repliker finns i Skalning för Azure Compute Gallery.

Återhämtning

Den här lösningen använder hanterade komponenter som är automatiskt motståndskraftiga på regional nivå. Allmän vägledning om hur du utformar motståndskraftiga lösningar finns i Designa elastiska program för Azure.

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra driftseffektiviteten. Mer information finns i Översikt över grundpelare för kostnadsoptimering.

Såvida du inte använder en tjänst från tredje part, till exempel Ansible eller Terraform, är den här metoden nästan kostnadsfri. Lagrings- och utgående kostnader kan tillkomma. Andra potentiella avgifter omfattar följande komponenter:

• Azure Policy och Azure Automanage Machine-konfiguration är kostnadsfria för Azure-resurser. Om ditt företag använder en hybridmetod tillkommer extra avgifter för Azure Arc-resurser.

• Under den offentliga förhandsversionen använder VM Image Builder en enda beräkningsinstanstyp med 1 vCPU och 3,5 GB RAM-minne. Avgifter kan tillkomma för datalagring och överföring.

• Beräkningsgalleriet har inga avgifter förutom:

  • Kostnaden för att lagra repliker.
  • Avgifter för utgående nätverk för replikering av bilder.

Deltagare

Den här artikeln underhålls av Microsoft. Den skrevs ursprungligen av följande deltagare.

Huvudförfattare:

• Yunus Emre Alpozen | Programarkitekt

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

• Azure-landningszon
• Styra och granska resurser med hjälp av Azure Policy
• Azure VM Image Builder
• Azure Compute Gallery
• Azure Policy och principinstrumentpanelen
• Azure Automanage Machine Configuration

Relaterade resurser

• DevTest och DevOps för IaaS-lösningar
• DevSecOps på AKS
• En datorstödd teknisk tjänst