Kör en Windows-VM på Azure

Azure Backup
Azure Blob Storage
Azure Resource Manager
Azure Storage
Azure Virtual Machines

Etablering av en virtuell dator (VM) i Azure kräver några ytterligare komponenter förutom själva den virtuella datorn, inklusive nätverks- och lagringsresurser. Den här artikeln visar metodtips för att köra en virtuell Windows-dator i Azure.

Arkitektur

Diagram som visar en virtuell Windows-dator i Azure.

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

Resursgrupp

En resursgrupp är en logisk container som innehåller relaterade Azure-resurser. I allmänhet grupperar du resurser baserat på deras livslängd och vem som ska hantera dem.

Placera nära associerade resurser som delar samma livscykel i samma resursgrupp. Med hjälp av resursgrupper kan du distribuera och övervaka resurser som en grupp och spåra faktureringskostnaderna per resursgrupp. Du kan också ta bort resurser som en uppsättning, vilket är mycket användbart vid testdistributioner. Tilldela beskrivande resursnamn för att förenkla identifieringen av en specifik resurs och förstå dess roll. Mer information finns i Rekommenderade namnkonventioner för Azure-resurser.

Virtuell maskin

Du kan etablera en virtuell dator från en lista över publicerade avbildningar, eller från en anpassad hanterad avbildning eller en virtuell hårddiskfil (VHD) som du överfört till Azure blobblagring.

Azure erbjuder virtuella datorer i många olika storlekar. Mer information finns i Storlekar för virtuella datorer i Azure. Om du flyttar en befintlig arbetsbelastning till Azure börjar du med den virtuella datorstorlek som närmast motsvarar dina lokala servrar. Mät sedan prestandan för den faktiska arbetsbelastningen när det gäller cpu-, minnes- och diskinmatnings-/utdataåtgärder per sekund (IOPS) och justera storleken efter behov.

I allmänhet väljer du en Azure-region som är närmast dina interna användare eller kunder. Alla VM-storlekar är inte tillgängliga i alla regioner. Mer information finns i Tjänster efter region. Kör följande kommando från Azure CLI för en lista över de VM-storlekar som är tillgängliga i en viss region:

az vm list-sizes --location <location>

Läs mer om hur du väljer en publicerad virtuell datoravbildning i informationen om hur du hittar virtuella Windows-datoravbildningar.

Diskar

För bästa i/o-diskprestanda rekommenderar vi Premium Storage, som lagrar data på SSD-enheter. Kostnaden baseras på kapaciteten hos den etablerade disken. IOPS och dataflöde beror också på diskstorlek, så när du etablerar en disk bör du överväga alla tre faktorerna (kapacitet, IOPS och dataflöde).

Vi rekommenderar också att du använder Managed Disks. Hanterade diskar förenklar diskhanteringen genom att hantera lagringen åt dig. Hanterade diskar kräver inte ett lagringskonto. Du anger bara storleken och typen av disk och den distribueras som en resurs med hög tillgänglighet

OS-disken är en virtuell hårddisk som lagras i Azure Storage, så att den finns kvar även när värddatorn ligger nere. Vi rekommenderar också att du skapar en eller flera datadiskar, som är beständiga virtuella hårddiskar som används för programdata. När det är möjligt, installera program på en datadisk, inte en OS-disk. Vissa äldre program kan behöva installera komponenterna på C:-enheten. I så fall kan du ändra storleken på OS-disken med hjälp av PowerShell.

Den virtuella datorn skapas också med en tillfällig disk ( D: enheten i Windows). Den här disken lagras på en fysisk enhet på värddatorn. Den sparas inte i Azure Storage och kan raderas under omstarter och andra livscykelhändelser för virtuella datorer. Använd enbart den här disken för tillfälliga data, till exempel växlingsfiler.

Nätverk

Nätverkskomponenterna innehåller följande resurser:

  • Virtuellt nätverk. Varje virtuell dator distribueras till ett virtuellt nätverk som kan segmenteras i flera undernät.

  • Nätverksgränssnitt (NIC). Nätverkskortet som gör det möjligt för den virtuella datorn att kommunicera med det virtuella nätverket. Om du behöver flera nätverkskort för den virtuella datorn bör du vara medveten om att ett maximalt antal nätverkskort har definierats för varje VM-storlek.

  • Offentlig IP-adress. En offentlig IP-adress krävs för att kommunicera med den virtuella datorn, till exempel via fjärrskrivbord (RDP). Den offentliga IP-adressen kan vara dynamisk eller statisk. Standardvärdet är dynamiskt.

  • Reservera en statisk IP-adress om du behöver en fast IP-adress som inte ändras, till exempel om du behöver skapa en DNS A-post eller lägga till IP-adressen i en säker lista.

  • Du kan också skapa ett fullständigt domännamn (FQDN) för IP-adressen. Du kan sedan registrera en CNAME-post i DNS som pekar på det fullständiga domännamnet. Mer information finns i Skapa ett fullständigt kvalificerat domännamn i Azure Portal.

  • Nätverkssäkerhetsgrupp (NSG). Nätverkssäkerhetsgrupper används för att tillåta eller neka nätverkstrafik till virtuella datorer. NSG:er kan associeras antingen med undernät eller med enskilda VM-instanser.

Alla nätverkssäkerhetsgrupper innehåller en uppsättning standardregler, inklusive en regel som blockerar all inkommande Internettrafik. Standardreglerna kan inte tas bort, men andra regler kan åsidosätta dem. Om du vill aktivera Internettrafik skapar du regler som tillåter inkommande trafik till specifika portar, till exempel port 80 för HTTP. Om du vill aktivera RDP lägger du till en NSG-regel som tillåter inkommande trafik till TCP-port 3389.

Operations

Diagnostik. Aktivera övervakning och diagnostik, inklusive grundläggande hälsomätvärden, diagnostikinfrastrukturloggar och startdiagnostik. Startdiagnostik kan hjälpa dig att diagnostisera startfel om den virtuella datorn övergår till ett icke startbart tillstånd. Skapa ett Azure Storage-konto för att lagra loggarna. Ett standardkonto för lokalt redundant lagring (LRS) är tillräckligt för diagnostikloggar. Mer information finns i Aktivera övervakning och diagnostik.

Tillgänglighet. Den virtuella datorn kan påverkas av planerat underhåll eller oplanerad stilleståndstid. Du kan använda omstartsloggarna för virtuella datorer för att bedöma om en omstart av en virtuell dator orsakades av planerat underhåll. För högre tillgänglighet kan du distribuera flera virtuella datorer i en tillgänglighetsuppsättning. Den här konfigurationen ger ett serviceavtal (SLA) på högre nivå.

Säkerhetskopior För att skydda mot oavsiktlig dataförlust använder du Azure Backup-tjänsten för att säkerhetskopiera dina virtuella datorer till geo-redundant lagring. Azure Backup innehåller programkonsekventa säkerhetskopior.

Stoppa en virtuell dator. Azure gör skillnad mellan tillståndet ”stoppad” och tillståndet ”frigjord”. Du debiteras när den virtuella datorns status stoppas, men inte när den virtuella datorn frigörs. I Azure-portalen tar knappen Stoppa bort den virtuella datorn. Om du stänger av via operativsystemet när du är inloggad stoppas den virtuella datorn, men frigörs inte, så du kommer fortfarande att debiteras.

Ta bort en virtuell dator. Om du tar bort en virtuell dator, tas inte de virtuella hårddiskarna bort. Det innebär att du kan ta bort den virtuella datorn på ett säkert sätt utan att förlora data. Men kommer du fortfarande att debiteras för lagring. Ta bort den virtuella hårddisken genom att ta bort filen från Blob Storage. Om du vill förhindra oavsiktlig borttagning använder du ett resurslås och låser hela resursgruppen eller enskilda resurser, till exempel den virtuella datorn.

Överväganden

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra driftseffektiviteten. Mer information finns i Översikt över grundpelare för kostnadsoptimering.

Det finns olika alternativ för VM-storlekar beroende på användning och arbetsbelastning. Intervallet innehåller det mest ekonomiska alternativet i Bs-serien till de senaste virtuella GPU-datorerna som är optimerade för maskininlärning. Information om tillgängliga alternativ finns i Prissättning för virtuella Azure Windows-datorer.

För förutsägbara arbetsbelastningar använder du Azure-reservationer och Azure-sparplan för beräkning med ett ett- eller treårskontrakt och får betydande besparingar jämfört med betala per användning-priser. För arbetsbelastningar utan förutsägbar tid för slutförande eller resursförbrukning bör du överväga alternativet Betala per användning .

Använd virtuella Azure-datorer för oanvänd kapacitet för att köra arbetsbelastningar som kan avbrytas och som inte kräver slutförande inom en fördefinierad tidsram eller ett serviceavtal. Azure distribuerar virtuella datorer för oanvänd kapacitet om det finns tillgänglig kapacitet och avlägsnar när den behöver tillbaka kapaciteten. Kostnaderna för virtuella datorer med oanvänd kapacitet är betydligt lägre. Överväg virtuella datorer för oanvänd kapacitet för dessa arbetsbelastningar:

  • Scenarier med databehandling med höga prestanda, batchbearbetningsjobb eller program för visuell återgivning.
  • Testmiljöer, inklusive arbetsbelastningar för kontinuerlig integrering och kontinuerlig leverans.
  • Storskaliga tillståndslösa program.

Använd Priskalkylatorn för Azure för att beräkna kostnaderna.

Mer information finns i kostnadsavsnittet i Microsoft Azures välstrukturerade ramverk.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.

Använd Microsoft Defender för molnet för att få en central vy över säkerhetstillståndet för dina Azure-resurser. Defender för molnet övervakar potentiella säkerhetsproblem och ger en heltäckande bild av säkerhetshälsan för distributionen. Defender för molnet konfigureras per Azure-prenumeration. Aktivera insamling av säkerhetsdata enligt beskrivningen i Publicera din Azure-prenumeration till Defender for Cloud Standard. När datainsamling är aktiverat genomsöker Defender för molnet automatiskt alla virtuella datorer som skapats under den prenumerationen.

Korrigeringshantering. Om det här alternativet är aktiverat kontrollerar Defender för molnet om några säkerhetsuppdateringar och kritiska uppdateringar saknas. Använd Grupprincipinställningar på den virtuella datorn för att aktivera automatiska systemuppdateringar.

Program mot skadlig kod. Om det här alternativet är aktiverat kontrollerar Defender för molnet om programvara mot skadlig kod är installerad. Du kan också använda Defender för molnet för att installera program mot skadlig kod från Azure Portal.

Åtkomstkontroll. Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att styra åtkomsten till Azure-resurser. Med Azure RBAC kan du tilldela auktoriseringsroller till medlemmar i ditt DevOps-team. Till exempel kan den som har rollen Läsare visa Azure-resurser, men inte skapa, hantera eller ta bort dem. Vissa behörigheter är specifika för en Azure-resurstyp. Exempelvis kan rollen Virtuell datordeltagare starta om eller frigöra en virtuell dator, återställa administratörslösenordet, skapa en ny virtuell dator och så vidare. Andra inbyggda roller som kan vara användbara för den här arkitekturen är DevTest Labs-användare och nätverksdeltagare.

Anteckning

Azure RBAC begränsar inte de åtgärder som en användare som är inloggad på en virtuell dator kan utföra. Dessa behörigheter avgörs av kontotypen i gästoperativsystemet.

Granskningsloggar. Använd granskningsloggar om du vill visa etableringsåtgärder och andra virtuella datorhändelser.

Datakryptering. Använd Azure Disk Encryption om du behöver kryptera operativsystemet och datadiskarna.

Utmärkt driftseffektivitet

Driftseffektivitet omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i Översikt över grundpelare för driftseffektivitet.

Använd infrastruktur som kod (IaC) antingen med hjälp av en enda Azure Resource Manager-mall för att etablera Azure-resurser (deklarativ metod) eller genom att använda ett enda PowerShell-skript (imperativ metod). Eftersom alla resurser finns i samma virtuella nätverk är de isolerade i samma grundläggande arbetsbelastning. Det gör det enklare att associera arbetsbelastningens specifika resurser med ett DevOps-team, så att teamet oberoende kan hantera alla aspekter av dessa resurser. Den här isoleringen gör det möjligt för DevOps-teamet och -tjänsterna att utföra kontinuerlig integrering och kontinuerlig leverans (CI/CD).

Du kan också använda olika Azure Resource Manager-mallar och integrera dem med Azure DevOps Services för att etablera olika miljöer på några minuter, till exempel för att replikera produktion som scenarier eller belastningstestningsmiljöer endast när det behövs, vilket sparar kostnader.

Arkitektur för högre tillgänglighet finns i Windows N-nivåprogram på Azure med SQL Server, referensarkitekturen innehåller mer än en virtuell dator och varje virtuell dator ingår i en tillgänglighetsuppsättning.

Överväg att använda Azure Monitor för att analysera och optimera prestanda för din infrastruktur samt övervaka och diagnostisera nätverksproblem utan att logga in på dina virtuella datorer.

Nästa steg