Düzenle

Aracılığıyla paylaş

Azure Sanal Makineler temel mimarisi

Azure Bastion
Azure Key Vault
Azure Virtual Machines
Azure Virtual Network
Azure Virtual Machine Scale Sets

Bu makale, Azure Sanal Makineler'de dağıtılan bir iş yükü için temel başvuru mimarisi sağlar.

Bu mimari tarafından varsayılan örnek iş yükü, ayrı sanal makine kümelerine (VM) dağıtılan, İnternet'e yönelik çok katmanlı bir web uygulamasıdır. VM'ler Azure Sanal Makine Ölçek Kümeleri dağıtımlarının bir parçası olarak sağlanır. Bu mimari şu senaryolar için kullanılabilir:

  • Özel uygulamalar. Bu uygulamalar dahili iş kolu uygulamalarını veya ticari kullanıma açık çözümleri içerir.
  • Genel uygulamalar. Bu uygulamalar İnternet'e yönelik uygulamalardır. Bu mimari yüksek performanslı bilgi işlem, görev açısından kritik iş yükleri, gecikme süresi nedeniyle yüksek oranda etkilenen uygulamalar veya diğer özel kullanım örnekleri için değildir.

Bu mimarinin birincil odağı uygulama değildir. Bunun yerine, bu makalede uygulamanın etkileşimde bulunduğu altyapı bileşenlerini yapılandırmaya ve dağıtmaya yönelik yönergeler sağlanır. Bu bileşenler arasında işlem, depolama, ağ ve izleme bileşenleri bulunur.

Bu mimari, hizmet olarak altyapı (IaaS) tarafından barındırılan iş yükü için başlangıç noktası görevi görür. Veri katmanı, işlem altyapısına odaklanmayı sağlamak için bilerek bu kılavuzun dışında tutulur.

Makale düzeni

Mimari Tasarım kararı İyi Tasarlanmış Çerçeve yaklaşımı
Mimari diyagramı
İş yükü kaynakları
Destekleyici kaynaklar
Kullanıcı akışları
VM tasarım seçenekleri
Disk

Izleme
Güncelleştirme yönetimi
Güvenilirlik
Güvenlik
Maliyet İyileştirme

İpucu

GitHub logosu Bu başvuru uygulaması , bu makalede açıklanan en iyi yöntemleri gösterir. Uygulama, altyapı kurulumunu uçtan uca uygulamak için küçük bir test koşumu olan bir uygulama içerir.

Mimari

Sanal makine temeli mimari diyagramı.

Bu mimarinin bir Visio dosyasını indirin.

Bu kaynaklar hakkında bilgi için İlgili kaynaklar bölümünde listelenen Azure ürün belgelerine bakın.

Bileşenler

Bu mimari hem iş yükü kaynakları hem de iş yükü destekleyen kaynaklar için çeşitli Azure hizmetlerinden oluşur. Her birinin ve rollerinin hizmetleri aşağıdaki bölümlerde açıklanmıştır.

İş yükü kaynakları

  • Azure Sanal Makineler, uygulama için işlem kaynağı görevi görür ve kullanılabilirlik alanları arasında dağıtılır. Açıklayıcı amaçlarla hem Windows hem de Linux VM'lerinin bir bileşimi kullanılır.

    Esnek düzenleme modundaki Azure Sanal Makine Ölçek Kümeleri, VM'leri sağlamak ve yönetmek için kullanılır.

    Örnek uygulama, her biri kendi işlem gerektiren iki katmanda temsil edilebilir.

    • Ön uç web sunucusunu çalıştırır ve kullanıcı isteklerini alır.
    • Arka uç, iş mantığının yürütüldüğü tek bir uç noktayı kullanıma sunan bir web API'si olarak davranan başka bir web sunucusu çalıştırır.

    Ön uç VM'lerinde durum bilgisi olmayan bir uygulama dağıtmak için kullanılabilecek veri diskleri (Premium_LRS) eklenmiştir. Arka uç VM'leri, işleminin bir parçası olarak yerel diskleri Premium_ZRS verileri kalıcı hale getirmektedir. Bu düzen, ön uç ve arka uç işlemlerinden durum depolamak için bir veritabanı katmanı içerecek şekilde genişletilebilir. Bu katman bu mimarinin kapsamı dışındadır.

  • Azure Sanal Ağ tüm iş yükü kaynakları için özel bir ağ sağlar. Ağ, yalıtım sınırları olarak görev yapan alt ağlara ayrılır.

  • Azure Uygulaması lication Gateway, istekleri ön uç sunucularına yönlendiren tek giriş noktasıdır. Seçilen SKU, ek güvenlik için tümleşik Azure Web Uygulaması Güvenlik Duvarı (WAF) içerir.

  • İç Azure Load Balancer , trafiği ön uç katmanından arka uç sunucularına yönlendirir.

  • Azure Load Balancer Standart SKU'su, üç genel IP adresi kullanarak VM'lere giden İnternet erişimi sağlar.

  • Azure Key Vault , uçtan uca aktarım katmanı güvenliği (TLS) iletişimi için kullanılan sertifikaları depolar. Uygulama gizli dizileri için de kullanılabilir.

İş yükü destekleyici kaynaklar

  • Azure Bastion , güvenli protokoller üzerinden VM'lere operasyonel erişim sağlar.

  • Application Insights , uygulamadan günlükleri ve ölçümleri toplar. Uygulama bu mimarinin odağı olmadığından, günlük koleksiyonu uygulamada gösterilmiyor.

  • Log Analytics , Azure kaynaklarından ve Application Insights'tan günlükleri ve ölçümleri toplayan izleme veri havuzudur. Çalışma alanının bir parçası olarak bir depolama hesabı sağlanır.

Kullanıcı akışları

İş yükü kaynaklarıyla etkileşim kuran iki tür kullanıcı vardır: iş yükü kullanıcısı ve operatörü. Bu kullanıcılara yönelik akışlar önceki mimari diyagramında gösterilir.

İş yükü kullanıcısı

  1. Kullanıcı, Application Gateway'in kullanıma sunulan genel IP adresini kullanarak web sitesine erişir.

  2. Application Gateway HTTPS trafiğini alır, WAF incelemesi için bir dış sertifika kullanarak verilerin şifresini çözer ve ön uca aktarım için iç joker sertifikayı kullanarak verileri yeniden şifreler.

  3. Application Gateway, ön uç VM'ler arasında trafiği dengeler ve isteği ön uç VM'sine iletir.

  4. Seçilen ön uç VM,herhangi bir vm'nin IP'sini değil yük dengeleyicinin özel IP adresini kullanarak arka uç VM'sine iletişim kurar. Bu iletişim ayrıca iç joker sertifika kullanılarak şifrelenir.

  5. Arka uç VM, iç sertifikayı kullanarak isteğin şifresini çözer. Arka uç isteği işledikten sonra, sonucu uygulama ağ geçidine döndüren ön uca döndürür ve son olarak da sonucu kullanıcıya döndürür.

Operatör

Bu mimarideki VM'ler işleçler tarafından doğrudan erişim gerektirebilir, ancak uzaktan erişimin otomasyon aracılığıyla en aza indirilmesi ve erişimin izlenmesi önerilir. Erişim, hata düzeltme durumları, sorun giderme veya otomatik dağıtım işleminin bir parçası olabilir. Bu mimarinin denetim düzlemi erişimi için genel IP'leri yoktur. Azure Bastion sunucusuz bir ağ geçidi işlevi görerek işlemlerin SSH veya RDP aracılığıyla VM'lere erişmesini sağlar. Bu kurulum, güvenli ve verimli erişim yönetimi sağlar.

  1. Operatör Azure portalında veya Azure CLI'da oturum açar.
  2. Operatör Azure Bastion hizmetine erişir ve istenen VM'ye uzaktan bağlanır.

VM tasarım seçenekleri

SKU'ları seçerken temel performans beklentisine sahip olmak önemlidir. Aşağıdakiler dahil olmak üzere çeşitli özellikler karar alma sürecini etkiler:

  • Saniye başına CPU, bellek ve disk giriş/çıkış işlemleri (IOPS).
  • İşlemci mimarisi.
  • İşletim sistemi (işletim sistemi) görüntü boyutu.

Örneğin, bir iş yükünü Intel işlemci makineleri gerektiren bir şirket içi ortamdan geçiriyorsanız Intel işlemcileri destekleyen VM SKU'larını seçin.

Desteklenen VM SKU'ları hakkında bilgi için bkz . Azure'da sanal makineler için boyutlar.

Önyükleme

VM'lerin genellikle önyüklenmesi gerekir. Bu, vm'lerin uygulamayı çalıştırmak için hazırlandığı ve ayarlandığı bir işlemdir. Yaygın önyükleme görevleri şunlardır: sertifika yükleme, uzaktan erişimi yapılandırma, paketleri yükleme, işletim sistemi yapılandırmasını ayarlama ve sağlamlaştırma ve veri disklerini biçimlendirme ve bağlama. Uygulamanın VM'de gecikmeden veya el ile müdahale olmadan başlayabilmesi için önyükleme işlemini mümkün olduğunca otomatikleştirmek önemlidir. Otomasyon için öneriler şunlardır:

  • Sanal makine uzantıları. Bu uzantılar, Kod Olarak Altyapı (IaC) dağıtımınız aracılığıyla yönetilen Azure Resource Manager nesneleridir. Bu şekilde, tüm hatalar üzerinde işlem yapabileceğiniz başarısız bir dağıtım olarak bildirilir. Önyükleme gereksinimleriniz için bir uzantı yoksa özel betikler oluşturun. Betikleri Azure Özel Betik Uzantısı aracılığıyla çalıştırmanız önerilir.

    Vm'lere işlevselliği otomatik olarak yüklemek veya yapılandırmak için kullanılabilecek bazı diğer uzantılar aşağıdadır.

    • Azure İzleyici Aracısı (AMA), konuk işletim sisteminden izleme verilerini toplar ve Azure İzleyici'ye teslim eder.
    • Azure Özel Betik Uzantısı (Windows, Linux) Sürüm 2, Azure sanal makinelerinde (VM) betikleri indirir ve çalıştırır. Bu uzantı dağıtım sonrası yapılandırmayı, yazılım yüklemesini veya diğer yapılandırma veya yönetim görevlerini otomatikleştirmek için kullanışlıdır.
    • Azure Key Vault sanal makine uzantısı (Windows, Linux), değişiklikleri algılayarak ve karşılık gelen sertifikaları yükleyerek Bir Key Vault'ta depolanan sertifikaların otomatik olarak yenilenmesini sağlar.
    • Azure Sanal Makine Ölçek Kümeleri otomatik sıralı yükseltmeler yaparken Sanal Makine Ölçek Kümeleri ile Uygulama Durumu uzantısı önemlidir. Azure, güncelleştirmeleri yapmak için tek tek örneklerin sistem durumunu izlemeye dayanır. Uzantıyı, ölçek kümenizdeki her örneğin uygulama durumunu izlemek ve Otomatik Örnek Onarımları'nı kullanarak örnek onarımları gerçekleştirmek için de kullanabilirsiniz.
    • Microsoft Entra ID ve OpenSSH (Windows, Linux), Microsoft Entra kimlik doğrulaması ile tümleşir. Artık Microsoft Entra Id ve OpenSSH sertifika tabanlı kimlik doğrulamasını kullanarak Linux VM'de SSH için çekirdek kimlik doğrulama platformu ve sertifika yetkilisi olarak Microsoft Entra Id kullanabilirsiniz. Bu işlevsellik, Azure rol tabanlı erişim denetimi (RBAC) ve Koşullu Erişim ilkeleriyle VM'lere erişimi yönetmenizi sağlar.

  • Aracı tabanlı yapılandırma. Linux VM'leri, Azure tarafından sağlanan çeşitli VM görüntülerinde cloud-init aracılığıyla kullanılabilen basit bir yerel istenen durum yapılandırması kullanabilir. Yapılandırma, IaC yapıtlarınızla belirtilir ve sürümü oluşturulur. Kendi yapılandırma yönetimi çözümünüzü getirmek başka bir yoldur. Çoğu çözüm, önyükleme için bildirim temelli ilk yaklaşımı izler, ancak esneklik için özel betikleri destekler. Popüler seçenekler arasında Windows için İstenen Durum Yapılandırması, Linux için İstenen Durum Yapılandırması, Ansible, Chef, Puppet ve diğerleri bulunur. Her ikisinin de en iyi deneyimi için bu yapılandırma çözümlerinin tümü VM uzantılarıyla eşleştirilebilir.

Başvuru uygulamasında tüm önyükleme, veri diski biçimlendirmesini otomatikleştirmeye ve bağlamaya yönelik özel bir betik de dahil olmak üzere VM uzantıları ve özel betikler aracılığıyla gerçekleştirilir.

İyi Tasarlanmış Çerçeve: RE:02 - Otomasyon tasarımı için öneriler bölümüne bakın.

VM bağlantısı

Vm ile belirli bir sanal ağdaki diğer cihazlar arasında özel iletişimi etkinleştirmek için VM'nin ağ arabirim kartı (NIC), sanal ağın alt ağlarından birine bağlanır. VM'niz için birden çok NIC'ye ihtiyacınız varsa, her VM boyutu için en fazla sayıda NIC'nin tanımlandığını bilin.

İş yükünün sanal ağdaki VM'ler arasında düşük gecikme süreli iletişime ihtiyacı varsa, Azure VM NIC'leri tarafından desteklenen hızlandırılmış ağ iletişimi kullanmayı göz önünde bulundurun. Daha fazla bilgi için bkz . Hızlandırılmış ağın avantajları.

Esnek düzenleme ile Sanal Makine Ölçek Kümeleri

VM'ler Esnek düzenleme ile Sanal Makine Ölçek Kümeleri bir parçası olarak sağlanır. Sanal Makine Ölçek Kümeleri, iş gereksinimlerini karşılamak için kullanılan VM'lerin mantıksal gruplandırmasıdır. Gruplandırmadaki VM türleri aynı veya farklı olabilir. Standart Azure VM API'lerini ve komutlarını kullanarak makinelerin, ağ arabirimlerinin ve disklerin yaşam döngüsünü yönetmenize olanak tanır.

Esnek düzenleme modu, büyük ölçekte işlemleri kolaylaştırır ve ayrıntılı ölçeklendirme kararlarına yardımcı olur.

Fiziksel donanım hatalarının, ağ kesintilerinin veya güç kesintilerinin etkisini sınırlamak için hata etki alanı yapılandırması gereklidir. Ölçek kümeleriyle Azure, tek bir donanım veya altyapı sorununa karşı dayanıklılık için örnekleri hata etki alanlarına eşit olarak dağıtır.

Maksimum örnek yayma, dayanıklılığı ve kullanılabilirliği geliştirme amacıyla hata etki alanı ayırmayı Azure'a boşaltmanızı öneririz.

Diskler

İşletim sistemi ve uygulama bileşenlerini çalıştırmak için depolama diskleri VM'ye eklenir. İşletim sistemi için kısa ömürlü diskler ve veri depolama için yönetilen diskler kullanmayı göz önünde bulundurun.

Azure performans, çok yönlülük ve maliyet açısından çeşitli seçenekler sunar. Çoğu üretim iş yükü için Premium SSD ile başlayın. Seçiminiz VM SKU'sunun seçimine bağlıdır. Premium SSD'yi destekleyen SKU'lar kaynak adında bir s içerir, örneğin Dsv4 ama Dv4 içermez.

Kapasite, IOPS ve aktarım hızı gibi ölçümlere sahip disk seçenekleri hakkında daha fazla bilgi için bkz . Disk türü karşılaştırması.

Disk seçerken disk özelliklerini ve performans beklentilerini göz önünde bulundurun.

  • VM SKU sınırlamaları. Diskler, IOPS ve aktarım hızı sınırları olan bağlı oldukları VM içinde çalışır. Diskin VM'nin sınırlarını (veya tam tersini) aşmadığından emin olun. Uygulama bileşenini en iyi şekilde çalıştıran disk boyutunu, performansını ve VM özelliklerini (çekirdek, CPU, bellek) seçin. Maliyeti etkilediğinden fazla sağlama yapmaktan kaçının.

  • Yapılandırma değişiklikleri. Vm çalışırken bazı disk performansını ve kapasite yapılandırmalarını değiştirebilirsiniz. Ancak, birçok değişiklik için disk içeriğinin yeniden sağlanması ve yeniden oluşturulması gerekebilir ve bu da iş yükü kullanılabilirliğini etkiler. Bu nedenle, kullanılabilirlik etkisini en aza indirmek ve yeniden çalışmak için disk ve VM SKU seçimini dikkatle planlayın.

  • Kısa ömürlü işletim sistemi diskleri. İşletim sistemi disklerini kısa ömürlü diskler olarak sağlayın. Yönetilen diskleri yalnızca işletim sistemi dosyalarının kalıcı olması gerekiyorsa kullanın. Uygulama bileşenlerini ve durumunu depolamak için kısa ömürlü diskler kullanmaktan kaçının.

    Kısa ömürlü işletim sistemi disklerinin kapasitesi seçilen VM SKU'sunun kapasitesine bağlıdır. İşletim sistemi görüntü diskinizin boyutunun SKU'nun kullanılabilir önbelleğinden veya geçici diskinden küçük olduğundan emin olun. Kalan alanı geçici depolama için kullanabilirsiniz.

  • Disk performansı. Yoğun yüke dayalı disk alanının önceden sağlanması yaygın bir durumdur, ancak çoğu iş yükü en yüksek yükü sürdürmediğinden az kullanılan kaynaklara yol açabilir.

    ani artışları veya sürekli yüksek okuma işlemlerini not ederek iş yükünüzün kullanım desenlerini izleyin ve bu desenleri VM'nize ve yönetilen disk SKU seçiminize dahil edin.

    Performans katmanlarını değiştirerek veya bazı yönetilen disk SKU'larında sunulan ani artış özelliklerini kullanarak performansı isteğe bağlı olarak ayarlayabilirsiniz.

    Fazla sağlama, ani artış gereksinimini azaltırken, ödeme yaptığınız kullanılmayan kapasiteye yol açabilir. İdeal olarak, en iyi sonuçlar için her iki özelliği de birleştirin.

  • İş yükü için önbelleğe almayı ayarlayın. Uygulama bileşeni kullanımına göre tüm diskler için önbellek ayarlarını yapılandırın.

    Çoğunlukla okuma işlemleri gerçekleştiren bileşenler yüksek disk işlem tutarlılığı gerektirmez. Bu bileşenler salt okunur önbelleğe alma avantajından yararlanabilir. Yüksek disk işlem tutarlılığı gerektiren yoğun yazma bileşenleri genellikle önbelleğe alma devre dışı bırakılır.

    Vm kilitlenirse ve çoğu veri diski senaryosu için önerilmezse, okuma-yazma önbelleğe alma özelliğinin kullanılması veri kaybına neden olabilir.

Bu mimaride:

  • Tüm VM'lerin işletim sistemi diskleri kısa ömürlü olup önbellek diskinde bulunur.

    Ön uç (Linux) ve arka uçtaki (Windows Server) iş yükü uygulaması tek tek VM hatalarına dayanıklıdır ve her ikisi de küçük görüntüler (yaklaşık 30 GB) kullanır. Bu tür öznitelikler, uzak Azure depolama kaynaklarına kaydedilen Kalıcı işletim sistemi diski yerine VM yerel depolamasının (önbellek bölümü) bir parçası olarak oluşturulan Kısa Ömürlü işletim sistemi disklerini kullanmaya uygun olmalarını sağlar. Bu durum işletim sistemi diskleri için depolama maliyetine neden olmaz ve ayrıca daha düşük gecikme süreleri sağlayarak ve VM dağıtım süresini azaltarak performansı artırır.

  • Her VM'nin kendi Premium SSD P1 yönetilen diski vardır ve iş yükü için uygun bir temel sağlanan aktarım hızı sağlar.

Ağ düzeni

Bu mimari, iş yükünü tek bir sanal ağda dağıtır. Ağ denetimleri bu mimarinin önemli bir parçasıdır ve Güvenlik bölümünde açıklanmıştır.

Ağ düzenini gösteren sanal makine temeli.

Bu düzen kurumsal topolojiyle tümleştirilebilir. Bu örnek, Bir Azure giriş bölgesindeki Sanal makine temel mimarisinde gösterilir.

Sanal ağ

İlk ağ düzeni kararlarınızdan biri ağ adres aralığıyla ilgilidir. Kapasite planlama aşamasında beklenen ağ büyümesini göz önünde bulundurun. Ağ, büyümeyi sürdürecek kadar büyük olmalıdır ve bu da ek ağ yapıları gerektirebilir. Örneğin, sanal ağın ölçeklendirme işleminden kaynaklanan diğer VM'leri barındıracak kapasiteye sahip olması gerekir.

Buna karşılık, adres alanınızı doğru boyutlandırın. Aşırı büyük bir sanal ağ az kullanıma yol açabilir. Sanal ağ oluşturulduktan sonra adres aralığının değiştirilebileceğini unutmayın.

Bu mimaride, adres alanı öngörülen büyümeyi temel alan bir karar olan /21 olarak ayarlanır.

Alt ağ konusunda dikkat edilmesi gerekenler

Sanal ağ içinde alt ağlar, burada açıklandığı gibi işlevsellik ve güvenlik gereksinimlerine göre bölünür:

  • Ters ara sunucu olarak hizmet veren uygulama ağ geçidini barındırmak için bir alt ağ. Application Gateway için ayrılmış bir alt ağ gerekir.
  • Trafiği arka uç VM'lerine dağıtmak için iç yük dengeleyiciyi barındıran bir alt ağ.
  • Biri ön uç, diğeri arka uç için olmak üzere iş yükü VM'lerini barındırmak için alt ağlar. Bu alt ağlar uygulamanın katmanlarına göre oluşturulur.
  • İş yükü VM'lerine operasyonel erişimi kolaylaştırmak için Azure Bastion konağına yönelik bir alt ağ. Tasarım gereği, Azure Bastion konağı ayrılmış bir alt ağa ihtiyaç duyar.
  • Azure Özel Bağlantı üzerinden diğer Azure kaynaklarına erişmek için oluşturulan özel uç noktaları barındırmak için bir alt ağ. Bu uç noktalar için ayrılmış alt ağlar zorunlu olmasa da, bunları öneririz.

Sanal ağlara benzer şekilde alt ağlar da doğru boyutlandırılmalıdır. Örneğin, uygulamanın ölçeklendirme gereksinimlerini karşılamak için Esnek düzenleme tarafından desteklenen en yüksek VM sınırını uygulamak isteyebilirsiniz. İş yükü alt ağları bu sınırı karşılayabilmelidir.

Dikkate alınması gereken bir diğer kullanım örneği de, geçici IP adresleri gerektirebilecek VM işletim sistemi yükseltmeleridir. Doğru boyutlandırma, ağ güvenlik grupları (NSG) aracılığıyla anlamlı güvenlik kurallarının alt ağ sınırlarına uygulanabilmesi için benzer kaynakların gruplandırıldığından emin olarak istediğiniz segmentasyon düzeyini sağlar. Daha fazla bilgi için bkz . Güvenlik: Segmentlere ayırma.

Giriş trafiği

Giriş akışları için iki genel IP adresi kullanılır. Bir adres, ters ara sunucu olarak hizmet veren Application Gateway'e yöneliktir. Kullanıcılar bu genel IP adresini kullanarak bağlanır. Ters ara sunucu, giriş trafiğini VM'lerin özel IP'lerine dengeler. Diğer adres, Azure Bastion üzerinden operasyonel erişim içindir.

Giriş akışını gösteren bir sanal makine temeli diyagramı.

Bu mimarinin bir Visio dosyasını indirin.

Çıkış trafiği

Bu mimari, VM örneklerinden tanımlanan giden kurallarıyla standart SKU Load Balancer kullanır. Alanlar arası yedekli olduğundan Load Balancer seçildi.

Giriş akışını gösteren bir sanal makine temeli diyagramı.

Bu mimarinin bir Visio dosyasını indirin.

Bu yapılandırma, vm'ler için giden İnternet bağlantısı sağlamak üzere yük dengeleyicinizin genel IP'lerini kullanmanıza olanak tanır. Giden kuralları, kaynak ağ adresi çevirisi (SNAT) bağlantı noktalarını açıkça tanımlamanızı sağlar. Kurallar, el ile bağlantı noktası ayırma yoluyla bu özelliği ölçeklendirmenize ve ayarlamanıza olanak sağlar. SNAT bağlantı noktasını arka uç havuzu boyutuna ve sayısına frontendIPConfigurations göre el ile ayırma, SNAT tükenmesini önlemeye yardımcı olabilir.

En fazla arka uç örneği sayısına göre bağlantı noktaları ayırmanızı öneririz. Kalan SNAT bağlantı noktalarından daha fazla örnek eklenirse Sanal Makine Ölçek Kümeleri ölçeklendirme işlemleri engellenebilir veya yeni VM'ler yeterli SNAT bağlantı noktası almaz.

Örnek başına bağlantı noktalarını şu şekilde hesaplayın: Number of front-end IPs * 64K / Maximum number of back-end instances.

Alt ağa bağlı bir Azure NAT Gateway kaynağı dağıtma gibi kullanabileceğiniz başka seçenekler de vardır. Bir diğer seçenek de Azure Güvenlik Duvarı veya güvenlik duvarında bir sonraki atlama olarak özel kullanıcı tanımlı bir yol (UDR) ile başka bir Ağ Sanal Gereci kullanmaktır. Bu seçenek, Azure giriş bölgesindeki Sanal makine temel mimarisinde gösterilir.

DNS çözümleme

Azure DNS, iş yükü VM'leriyle ilişkili tam etki alanı adlarını (FQDN) çözümleme gibi tüm çözüm kullanım örnekleri için temel hizmet olarak kullanılır. Bu mimaride VM'ler, Azure DNS olan sanal ağ yapılandırmasında ayarlanan DNS değerlerini kullanır.

Azure özel DNS bölgeleri, adlandırılmış Özel Bağlantı kaynaklarına erişmek için kullanılan özel uç noktalara yönelik istekleri çözümlemek için kullanılır.

İzleme

Bu mimari, iş yükünün yardımcı programıyla ayrılmış bir izleme yığınına sahiptir. Odak öncelikli olarak veri kaynakları ve koleksiyon yönleridir.

Not

Gözlemlenebilirlik hakkında kapsamlı bir görünüm için bkz . OE:07 İzleme sistemi tasarlama ve oluşturma önerileri.

Ölçümler ve günlükler çeşitli veri kaynaklarında oluşturulur ve çeşitli yüksekliklerde gözlemlenebilirlik içgörüleri sağlar:

  • Vm'ler , sanal ağlar ve depolama hizmetleri gibi temel altyapı ve bileşenler dikkate alınır. Azure platform günlükleri, Azure platformundaki işlemler ve etkinlikler hakkında bilgi sağlar.

  • Uygulama düzeyi , sisteminizde çalışan uygulamaların performansı ve davranışı hakkında içgörüler sağlar.

Log Analytics çalışma alanı, Azure kaynaklarından ve Application Insights'tan günlükleri ve ölçümleri toplamak için kullanılan önerilen izleme veri havuzudur.

Bu görüntüde altyapıdan ve uygulamadan veri toplamaya yönelik bileşenler, veri havuzları ve analiz ve görselleştirme için çeşitli tüketim araçlarıyla temel için izleme yığını gösterilmektedir. Uygulama Application Insights, VM önyükleme tanılaması ve Log Analytics gibi bazı bileşenleri dağıtır. Panolar ve uyarılar gibi genişletilebilirlik seçeneklerini göstermek için diğer bileşenler gösterilir.

Temel izleme veri akışı diyagramı.

Bu mimarinin bir Visio dosyasını indirin.

Altyapı düzeyinde izleme

Bu tablo, Azure İzleyici tarafından toplanan günlüklere ve ölçümlere bağlanır. Kullanılabilir uyarılar, sorunları kullanıcıları etkilemeden önce proaktif olarak çözmenize yardımcı olur.

Azure kaynağı Ölçümler ve günlükler Uyarılar
Application Gateway Application Gateway ölçümleri ve günlükleri açıklaması Application Gateway uyarıları
Application Insights Application Insights ölçümleri ve günlük API'si Application Insights uyarıları
Azure Bastion Azure Bastion ölçümleri
Key Vault Key Vault ölçümleri ve günlük açıklamaları Key Vault uyarıları
Standart Load Balancer Yük dengeleyici günlükleri ve ölçümleri Load Balancer uyarıları
Genel IP adresi Genel IP adresi ölçümleri ve günlükleri açıklaması Genel IP adresi ölçümleri uyarıları
Sanal Ağ Sanal ağ ölçümleri ve günlükleri başvurusu Sanal ağ uyarıları
Sanal Makineler ve Sanal Makine Ölçek Kümeleri VM ölçümleri ve günlükleri başvurusu VM uyarıları ve öğreticileri
Web Uygulaması Güvenlik Duvarı Web Uygulaması Güvenlik Duvarı ölçümleri ve günlükleri açıklaması uyarıları Web Uygulaması Güvenlik Duvarı

Ölçümleri ve günlükleri toplama maliyeti hakkında daha fazla bilgi için bkz . Log Analytics maliyet hesaplamaları ve seçenekleri ile Log Analytics çalışma alanı fiyatlandırması. İş yükünün yapısı, toplanan ölçüm ve günlüklerin sıklığı ve sayısı, ölçüm ve günlük toplama maliyetlerini büyük ölçüde etkiler.

Sanal makineler

Azure önyükleme tanılaması , seri günlük bilgileri ve ekran görüntüleri toplanarak önyükleme sırasında VM'lerin durumunu gözlemlemek için etkinleştirilir. Bu mimaride bu verilere Azure portalı ve Azure CLI vm boot-diagnostics get-boot-log komutu aracılığıyla erişilebilir. Veriler Azure tarafından yönetilir ve temel alınan depolama kaynağına erişiminiz veya denetiminiz yoktur. Ancak, iş gereksinimleriniz daha fazla denetime ihtiyaç varsa, önyükleme tanılamalarını depolamak için kendi depolama hesabınızı sağlayabilirsiniz.

VM içgörüleri , VM'leri ve ölçek kümelerini izlemek için verimli bir yol sunar. Log Analytics çalışma alanlarından veri toplar ve performans verileri eğilimleri için önceden tanımlanmış çalışma kitapları sağlar. Bu veriler VM başına görüntülenebilir veya birden çok VM arasında toplanabilir.

Application Gateway ve iç yük dengeleyici, trafik göndermeden önce VM'lerin uç nokta durumunu algılamak için sistem durumu yoklamalarını kullanır.

Bu mimaride günlük verileri, akışa katılan birkaç ağ bileşeninden toplanır. Bu bileşenler arasında Application Gateway, yük dengeleyiciler ve Azure Bastion bulunur. Sanal ağlar, NSG'ler, genel IP adresleri ve Özel Bağlantı gibi ağ güvenlik bileşenlerini de içerir.

Yönetilen diskler

Disk ölçümleri iş yükünüze bağlıdır ve anahtar ölçümlerin bir karışımını gerektirmektedir. İzleme, işletim sistemi veya uygulama aktarım hızı sorunlarını yalıtmak için bu perspektifleri birleştirmelidir.

  • Azure platformu perspektifi, bağlı iş yükünden bağımsız olarak Azure hizmetini gösteren ölçümleri temsil eder. Disk performansı ölçümleri (IOPS ve aktarım hızı), VM'ye bağlı tüm diskler için ayrı ayrı veya toplu olarak görüntülenebilir. Olası disk eşlemesinde sorun giderme veya uyarı için depolama GÇ kullanımı ölçümlerini kullanın. Maliyet iyileştirme için ani artış kullanıyorsanız, daha fazla iyileştirmeye yönelik fırsatları belirlemek için kredi yüzdesi ölçümlerini izleyin.

  • Konuk işletim sistemi perspektifi, temel alınan disk teknolojisinden bağımsız olarak iş yükü operatörünün görüntüleyebilecekleri ölçümleri temsil eder. Vm içgörüleri, kullanılan mantıksal disk alanı ve işletim sistemi çekirdeğinin disk IOPS ve aktarım hızı perspektifi gibi ekli disklerdeki önemli ölçümler için önerilir.

Uygulama düzeyinde izleme

Başvuru uygulaması bunu kullanmasa da, Application Insights genişletilebilirlik amacıyla bir Uygulama Performansı Yönetimi (APM) olarak sağlanır. Application Insights bir uygulamadan veri toplar ve bu verileri Log Analytics çalışma alanına gönderir. Ayrıca bu verileri iş yükü uygulamalarından görselleştirebilir.

Uygulama durumu uzantısı , ölçek kümesindeki her vm örneğinin ikili sistem durumunu izlemek ve gerekirse ölçek kümesi otomatik örnek onarımı kullanılarak örnek onarımları gerçekleştirmek için VM'lere dağıtılır. Uygulamanın duyarlı olup olmadığını denetlemek için Application Gateway ve iç Azure yük dengeleyici sistem durumu yoklaması ile aynı dosyayı test eder.

Güncelleme yönetimi

VM'lerin iş yükünün güvenlik duruşunu zayıflatmaması için düzenli olarak güncelleştirilmesi ve düzeltme eki yapılması gerekir. Düzeltme eklerinin erken bulunması ve uygulanması için otomatik ve düzenli VM değerlendirmeleri öneririz.

Altyapı güncelleştirmeleri

Azure, sanal makineler için konak altyapısının güvenilirliğini, performansını ve güvenliğini artırmak için platformunu düzenli aralıklarla güncelleştirir. Bu güncelleştirmeler barındırma ortamında yazılım bileşenlerine düzeltme eki uygulama, ağ bileşenlerini yükseltme veya donanımın yetkisini alma ve daha fazlasını içerir. Güncelleştirme işlemi hakkında bilgi için bkz . Azure'da sanal makineler için bakım.

Bir güncelleştirme yeniden başlatma gerektirmiyorsa, konak güncelleştirilirken VM duraklatılır veya VM zaten güncelleştirilmiş bir konağa canlı geçirilir. Bakım yeniden başlatma gerektiriyorsa, planlı bakımdan haberdar olursunuz. Azure, bakımı sizin için uygun bir şekilde başlatabileceğiniz bir zaman penceresi de sağlar. Kendi kendine bakım penceresi ve kullanılabilir seçenekleri yapılandırma hakkında bilgi için bkz . Planlı bakım bildirimlerini işleme.

Bazı iş yükleri, bakım için vm donması veya bağlantısının kesilmesi için birkaç saniye bile dayanamayabilir. Sıfır etkili ve yeniden başlatmasız güncelleştirmeler de dahil olmak üzere tüm bakım etkinlikleri üzerinde daha fazla denetim için bkz . Bakım Yapılandırmaları. Bakım Yapılandırması oluşturmak, tüm platform güncelleştirmelerini atlama ve güncelleştirmeleri size uygun şekilde uygulama seçeneği sunar. Bu özel yapılandırma ayarlandığında Azure, yeniden başlatmasız güncelleştirmeler de dahil olmak üzere sıfırdan etkilenmeyen tüm güncelleştirmeleri atlar. Daha fazla bilgi için bkz . Bakım Yapılandırmaları ile platform güncelleştirmelerini yönetme

İşletim sistemi (OS) görüntü yükseltmeleri

İşletim sistemi yükseltmeleri yaparken test edilmiş altın renkli bir görüntüye sahip olun. Özel görüntülerinizi yayımlamak için Azure Paylaşılan Görüntü Galerisi ve Azure İşlem Galerisi'ne göz önünde bulundurun. Yayımcı tarafından her yeni görüntü yayımlandığında toplu örnekleri sıralı bir şekilde yükselten bir işleminiz olmalıdır.

Yüzey alanını azaltmak için VM görüntülerini kullanım ömrü sonuna ulaşmadan devre dışı bırakın.

Otomasyon süreciniz fazladan kapasite ile fazla sağlamayı hesaba eklemelidir.

Azure Update Management'ı kullanarak Azure'da Windows ve Linux sanal makinelerinizin işletim sistemi güncelleştirmelerini yönetebilirsiniz.Azure Update Manager, Azure, şirket içi ve çoklu bulut ortamlarında Windows ve Linux makinelerine yönelik yazılım güncelleştirmelerini yönetmek ve yönetmek için bir SaaS çözümü sağlar.

Konuk işletim sistemi düzeltme eki uygulama

Azure VM'leri otomatik VM konuk düzeltme eki uygulama seçeneğini sağlar. Bu hizmet etkinleştirildiğinde VM'ler düzenli aralıklarla değerlendirilir ve kullanılabilir düzeltme ekleri sınıflandırılır. Bekleyen düzeltme ekleri için günlük değerlendirmeye izin vermek için Değerlendirme Modu'nun etkinleştirilmesi önerilir. Ancak, düzeltme eklerinin uygulanmasını tetiklemeyen isteğe bağlı değerlendirme yapılabilir. Değerlendirme Modu etkin değilse, bekleyen güncelleştirmeleri el ile algılama yöntemlerine sahip olun.

Yalnızca kritik veya güvenlik olarak sınıflandırılan düzeltme ekleri tüm Azure bölgelerine otomatik olarak uygulanır. Diğer düzeltme eklerini uygulayan özel güncelleştirme yönetimi işlemlerini tanımlayın.

İdare için Sanal Makine Ölçek Kümeleri Azure İlkesi otomatik işletim sistemi görüntüsü düzeltme eki uygulama gerektir konusunu göz önünde bulundurun.

Otomatik düzeltme eki uygulama, sisteme yük oluşturabilir ve VM'ler kaynakları kullandığından ve güncelleştirmeler sırasında yeniden başlatılabildiği için kesintiye neden olabilir. Yük yönetimi için aşırı sağlama önerilir. Eşzamanlı güncelleştirmeleri önlemek ve yüksek kullanılabilirlik için bölge başına en az iki örneği korumak için vm'leri farklı Kullanılabilirlik Alanları dağıtın. Aynı bölgedeki VM'ler farklı düzeltme ekleri alabilir ve bu düzeltme ekleri zaman içinde uzlaştırılmalıdır.

Fazla sağlama ile ilişkili maliyet dengelemesinin farkında olun.

Sistem durumu denetimleri, otomatik VM konuk düzeltme eki uygulama kapsamında yer alır. Bu denetimler başarılı düzeltme eki uygulamasını doğrular ve sorunları algılar.

Düzeltme ekleri uygulamak için özel işlemler varsa, düzeltme eki kaynakları için özel depolar kullanın. Bunun yapılması, güncelleştirmenin performansı veya güvenliği olumsuz etkilemediğinden emin olmak için düzeltme eklerini test etmede daha iyi denetim sağlar.

Daha fazla bilgi için bkz . Azure VM'leri için otomatik VM konuk düzeltme eki uygulama.

Güvenilirlik

Bu mimari, güvenilirlik sorunlarını gidermek için temel öğe olarak kullanılabilirlik alanlarını kullanır.

Bu kurulumda, tek tek VM'ler tek bir bölgeye bağlanır. Bir hata oluşursa, bu VM'ler Sanal Makine Ölçek Kümeleri kullanılarak diğer VM örnekleriyle kolayca değiştirilebilir.

Bu mimarideki diğer tüm bileşenler şunlardan biridir:

  • Alanlar arası yedekli, yani Application Gateway veya genel IP'ler gibi yüksek kullanılabilirlik için birden çok bölgede çoğaltılır.
  • Bölge dayanıklılığı, Key Vault gibi bölge hatalarına dayanabileceklerini gösterir.
  • Bölgeler arasında veya Microsoft Entra Id gibi genel olarak kullanılabilen bölgesel veya genel kaynaklar.

İş yükü tasarımı, uygulama kodu, altyapı ve operasyonlarda güvenilirlik güvencelerini içermelidir. Aşağıdaki bölümlerde, iş yükünün hatalara dayanıklı olduğundan ve altyapı düzeyinde kesintiler olduğunda kurtarabildiğinden emin olmak için bazı stratejiler gösterilmektedir.

Mimaride kullanılan stratejiler, Azure İyi Tasarlanmış Çerçeve'de verilen Güvenilirlik tasarımı gözden geçirme denetim listesini temel alır. Bölümlere bu denetim listesindeki önerilerle açıklama eklenir.

Hiçbir uygulama dağıtılmadığından, uygulama kodundaki dayanıklılık bu mimarinin kapsamının dışındadır. Denetim listesindeki tüm önerileri gözden geçirmenizi ve varsa bunları iş yükünüzde benimsemenizi öneririz.

Kullanıcı akışı başına güvenilirlik güvencelerinin önceliğini belirleme

Çoğu tasarımda, her biri kendi iş gereksinimleri kümesine sahip birden çok kullanıcı akışı vardır. Bu akışların tümü en yüksek düzeyde güvence gerektirmez, bu nedenle güvenilirlik stratejisi olarak segmentlere ayırma önerilir. Her segment bağımsız olarak yönetilebilir ve bir segmentin diğer segmentleri etkilemediğinden emin olur ve her katmanda doğru dayanıklılık düzeyini sağlar. Bu yaklaşım ayrıca sistemi esnek hale getirir.

Bu mimaride uygulama katmanları segmentasyonu uygular. Ön uç ve arka uç katmanları için ayrı ölçek kümeleri sağlanır. Bu ayrım, her katmanın bağımsız olarak ölçeklendirilebilmesini sağlayarak tasarım desenlerinin kendi gereksinimlerine ve diğer avantajlarına göre uygulanmasına olanak tanır.

İyi Tasarlanmış Çerçeve: RE:02 - Akışları tanımlama ve derecelendirmeye yönelik öneriler bölümüne bakın.

Olası hata noktalarını belirleme

Her mimari hatalara açıktır. Hata modu analizi alıştırması, hataları tahmin etmenizi ve azaltmalarla hazırlıklı olmanıza olanak tanır. Bu mimarideki bazı olası hata noktaları şunlardır:

Bileşen Risk Olasılığını Efekt/Azaltma/Not Kesinti
Microsoft Entra Kimlik Yanlış yapılandırma Orta İşlem kullanıcıları oturum açamıyor. Aşağı akış etkisi yok. Yardım masası yapılandırma sorununu kimlik ekibine bildirir. Hiçbiri
Application Gateway Yanlış yapılandırma Orta Yanlış yapılandırmalar dağıtım sırasında yakalanmalıdır. Bu hatalar bir yapılandırma güncelleştirmesi sırasında oluşursa DevOps ekibinin değişiklikleri geri alması gerekir. v2 SKU kullanan çoğu dağıtımın sağlanması yaklaşık 6 dakika sürer. Ancak, dağıtım türüne bağlı olarak daha uzun sürebilir. Örneğin, birçok örneği olan birden çok kullanılabilirlik alanında yapılan dağıtımlar 6 dakikadan fazla sürebilir. Tam
Application Gateway DDoS saldırısı Orta Kesinti olasılığı. Microsoft, DDoS (L3 ve L4) korumasını yönetir. L7 saldırılarından olası etki riski. Tam
Sanal Makine Ölçek Kümeleri Hizmet kesintisi Düşük Otomatik onarımı tetikleyen iyi durumda olmayan VM örnekleri varsa olası iş yükü kesintisi. Düzeltme için Microsoft'a bağımlıdır. Olası kesinti
Sanal Makine Ölçek Kümeleri Kullanılabilirlik alanı kesintisi Düşük Etki yok. Ölçek kümeleri alanlar arası yedekli olarak dağıtılır. Hiçbiri

İyi Tasarlanmış Çerçeve: RE:03 - Hata modu analizi gerçekleştirmeye yönelik öneriler bölümüne bakın.

Güvenilirlik hedefleri

Tasarım kararları almak için iş yükünün bileşik hizmet düzeyi hedefleri (SLO'lar) gibi güvenilirlik hedeflerini hesaplamak önemlidir. Bunu yapmak için mimaride kullanılan Azure hizmetleri tarafından sağlanan hizmet düzeyi sözleşmelerinin (SLA) anlaşılması gerekir. İş yükü SLO'ları Azure tarafından garanti edilen SLA'lardan yüksek olmamalıdır. VM'lerden ve bağımlılıklarından, ağ ve depolama seçeneklerinden her bileşeni dikkatle inceleyin.

Burada ana hedefin yaklaşık bileşik SLO sağlamak olduğu örnek bir hesaplama verilmiştir. Bu kaba bir yönerge olsa da, benzer bir şeye ulaşmanız gerekir. Mimaride değişiklik yapmazsanız aynı akışlar için en yüksek bileşik SLO'ya sahip olmamanız gerekir.

İşlem akışı

Bileşen SLO
Microsoft Entra Kimlik %99,99
Azure Bastion %99,95

Bileşik SLO: %99,94 | Yıllık kapalı kalma süresi: 0d 5h 15m 20s

Uygulama kullanıcı akışı

Bileşen SLO
Application Gateway %99,95
Azure Load Balancer (iç) %99,99
Premium depolama (bileşik SLO) kullanan ön uç VM'ler 99.70%
Premium depolama (bileşik SLO) kullanan arka uç VM'leri 99.70%

Bileşik SLO: %99,34 | Yıllık kapalı kalma süresi: 2d 9h 42m 18s

Yukarıdaki örnekte, VM'lerle ilişkilendirilmiş diskler gibi VM'lerin ve bağımlılıkların güvenilirliği dahil edilir. Disk depolama ile ilişkili SLA'lar genel güvenilirliği etkiler.

Bileşik SLO'nun hesaplanmasında bazı zorluklar vardır. Farklı hizmet katmanlarının farklı SLA'larla birlikte gelebileceğini ve bunların genellikle güvenilirlik hedeflerini ayarlayan finansal olarak desteklenen garantiler içerdiğini unutmayın. Son olarak, mimarinin SLA'ları tanımlanmamış bileşenleri olabilir. Örneğin ağ açısından NIC'lerin ve sanal ağların kendi SLA'ları yoktur.

İş gereksinimleri ve hedefleri açıkça tanımlanmalı ve hesaplamaya dahil edilmelidir. Kuruluş tarafından uygulanan hizmet sınırlarına ve diğer kısıtlamalara dikkat edin. Aboneliğinizi diğer iş yükleriyle paylaşmak VM'leriniz için kullanılabilir kaynakları etkileyebilir. İş yükünün VM'ler için sınırlı sayıda çekirdek kullanmasına izin verilebileceği. Aboneliğinizin kaynak kullanımını anlamak, VM'lerinizi daha etkili bir şekilde tasarlamanıza yardımcı olabilir.

İyi Tasarlanmış Çerçeve: RE:04 - Güvenilirlik hedeflerini tanımlamaya yönelik öneriler bölümüne bakın.

Yedeklilik

Bu mimaride çeşitli bileşenler için alanlar arası yedeklilik kullanılır. Her bölge bağımsız güç, soğutma ve ağ ile bir veya daha fazla veri merkezinden oluşur. Örneklerin ayrı bölgelerde çalıştırılması, uygulamayı veri merkezi hatalarına karşı korur.

  • Sanal Makine Ölçek Kümeleri belirtilen sayıda örnek ayırır ve bunları kullanılabilirlik alanları ve hata etki alanları arasında eşit olarak dağıtır. Bu dağıtım, önerilen maksimum yayma özelliğiyle elde edilir. VM örneklerinin hata etki alanlarına yayılması, tüm VM'lerin aynı anda güncelleştirilmesini sağlar.

    Üç kullanılabilirlik alanı olan bir senaryo düşünün. Üç örneğiniz varsa, her örnek farklı bir kullanılabilirlik alanına ayrılır ve farklı bir hata etki alanına yerleştirilir. Azure, her kullanılabilirlik alanında aynı anda yalnızca bir hata etki alanının güncelleştirildiğini garanti eder. Ancak, üç kullanılabilirlik alanında vm'lerinizi barındıran üç hata etki alanının da aynı anda güncelleştirildiği bir durum olabilir. Tüm bölgeler ve etki alanları etkilenir. Her bölgede en az iki örneğin olması, yükseltmeler sırasında bir arabellek sağlar.

  • Yönetilen diskler yalnızca aynı bölgedeki bir VM'ye eklenebilir. Bunların kullanılabilirliği genellikle VM'nin kullanılabilirliğini etkiler. Tek bölgeli dağıtımlarda diskler, bölgesel hatalara dayanacak şekilde yedeklilik için yapılandırılabilir. Bu mimaride, veri diskleri arka uç VM'lerinde alanlar arası yedekli depolama (ZRS) yapılandırılır. Kullanılabilirlik alanlarından yararlanmak için bir kurtarma stratejisi gerekir. Kurtarma stratejisi, çözümü yeniden dağıtmaktır. İdeal olarak, bölgesel bir hatadan kurtarmaya hazır alternatif kullanılabilirlik alanlarında işlem ön sağlama.

  • Alanlar arası yedekli Application Gateway veya standart yük dengeleyici, trafiği tek bir IP adresi kullanarak bölgeler arasındaki VM'lere yönlendirebilir ve bölge hataları olsa bile süreklilik sağlar. Bu hizmetler VM kullanılabilirliğini denetlemek için sistem durumu yoklamalarını kullanır. Bölgedeki bir bölge çalışır durumda kaldığı sürece, diğer bölgelerdeki olası hatalara rağmen yönlendirme devam eder. Ancak bölgeler arası yönlendirme, bölge içi yönlendirmeye kıyasla daha yüksek gecikme süresine sahip olabilir.

    Bu mimaride kullanılan tüm genel IP'ler alanlar arası yedeklidir.

  • Azure, Key Vault gibi daha iyi güvenilirlik için alanlar arası dayanıklı hizmetler sunar.

  • Azure genel kaynakları her zaman kullanılabilir ve gerekirse temel kimlik sağlayıcısı, Microsoft Entra Kimliği gibi başka bir bölgeye geçebilir.

İyi Tasarlanmış Çerçeve: RE:05 - Yedeklilik tasarlama önerileri'ne bakın.

Ölçeklendirme stratejisi

Hizmet düzeyinde düşüşü ve hataları önlemek için güvenilir ölçeklendirme işlemlerinden emin olun. İş yükünü yatay olarak ölçeklendirin (ölçeği genişletin), dikey olarak ölçeklendirin (ölçeği büyütün) veya her iki yaklaşımın bir bileşimini kullanın. Azure İzleyici Otomatik Ölçeklendirme'yi kullanarak, gerekenden daha fazla kapasite ayırmadan ve gereksiz maliyetler doğurmadan uygulamanızdaki talebi destekleyecek kadar kaynak sağlayın.

Otomatik ölçeklendirme, zaman, zamanlama veya ölçümler gibi farklı olay türlerine göre farklı profiller tanımlamanızı sağlar. Ölçüm tabanlı profiller, bunları toplamak için Azure İzleyici Aracısı'nın yüklenmesini gerektiren yerleşik ölçümleri (konak tabanlı) veya daha ayrıntılı ölçümleri (konuk VM ölçümleri) kullanabilir. Her profil ölçeği genişletme (artırma) ve ölçeği daraltma (azaltma) kuralları içerir. Tasarlanmış profillere göre tüm farklı ölçeklendirme senaryolarını incelemeyi ve bunları bir dizi karşıt ölçek olayına neden olabilecek olası döngü koşulları için değerlendirmeyi göz önünde bulundurun. Azure İzleyici, yeniden ölçeklendirilmeden önce bekleme süresini bekleyerek bu durumu azaltmaya çalışır.

Esnek modda Azure Sanal Makine Ölçek Kümeleri heterojen ortamları desteklese de, birden çok profilin otomatik ölçeklendirmesi desteklenmez. Birden fazla VM türüyle otomatik ölçeklendirme kullanmayı planlıyorsanız bunları ayrı ayrı yönetmek için farklı ölçek kümeleri oluşturmayı göz önünde bulundurun.

VM örnekleri oluştururken veya silerken önyükleme, düzgün kapatmalar, iş yükünü ve tüm bağımlılıklarını yükleme ve disk yönetimi gibi diğer yönleri göz önünde bulundurun.

Durum bilgisi olan iş yükleri, bir iş yükü örneğinin ötesinde yaşaması gereken yönetilen diskler için ek yönetim gerektirebilir. İş yükü verilerinin tutarlılığı, eşitlemesi, çoğaltması ve bütünlüğü için ölçeklendirme olayları altında iş yükünüzü veri yönetimi için tasarlayın. Bu senaryolar için, ölçek kümelerine önceden doldurulmuş diskler eklemeyi göz önünde bulundurun. Verilere erişirken performans sorunlarını önlemek için ölçeklendirmenin kullanıldığı kullanım örnekleri için bölümleme ve parçalama planlayın. Daha fazla bilgi için bkz . Otomatik ölçeklendirme en iyi yöntemleri.

İyi Tasarlanmış Çerçeve: RE:06 - Güvenilir bir ölçeklendirme stratejisi tasarlamaya yönelik öneriler bölümüne bakın.

Kendi kendini iyileştirme ve kurtarılabilirlik

VM hatalarından kurtarmayı otomatikleştirmek için Sanal Makine Ölçek Kümeleri otomatik örnek onarımları etkinleştirilir. Uygulama durumu uzantısı , yanıt vermeyen VM'leri ve uygulamaları algılamayı desteklemek için VM'lere dağıtılır. Bu örnekler için onarım eylemleri otomatik olarak tetiklenir.

İyi Tasarlanmış Çerçeve: Kendini iyileştirme ve kendini koruma önerileri bölümüne bakın.

Güvenlik

Bu mimari, Azure İyi Tasarlanmış Çerçeve'de verilen Güvenlik tasarımı gözden geçirme denetim listesinde verilen güvenlik güvencelerinden bazılarını gösterir. Bölümlere bu denetim listesindeki önerilerle açıklama eklenir.

Güvenlik yalnızca teknik denetimlere başvurmaz. Güvenlik sütununun operasyonel yönlerini anlamak için denetim listesinin tamamını izlemenizi öneririz.

Segmentlere ayırma

  • Ağ segmentasyonu. İş yükü kaynakları, İnternet'ten yalıtım sağlayan bir sanal ağa yerleştirilir. Sanal ağ içinde alt ağlar güven sınırları olarak kullanılabilir. Bir alt ağdaki bir işlemi işlemek için gereken ilgili kaynakları birlikte kullanın. Bu mimaride sanal ağ, uygulamanın mantıksal gruplandırma ve iş yükünün bir parçası olarak kullanılan çeşitli Azure hizmetlerinin amacı temelinde alt ağlara ayrılmıştır.

    Alt ağ segmentasyonunun avantajı, güvenlik denetimlerini alt ağdan gelen ve giden trafiği denetleten çevresine yerleştirebilmeniz ve böylece iş yükü kaynaklarına erişimi kısıtlamanızdır.

  • Kimlik segmentasyonu. Görevlerini gerçekleştirmek için yeterli izinlere sahip farklı kimliklere ayrı roller atayın. Bu mimari, kaynaklara erişimi segmentlere ayırmak için Microsoft Entra Id tarafından yönetilen kimlikleri kullanır.

  • Kaynak segmentasyonu. Uygulama, katmanlara göre ayrı ölçek kümelerine bölünerek uygulama bileşenlerinin birlikte konumlandırılmamış olmasını sağlar.

İyi Tasarlanmış Çerçeve: SE:04 - Segmentasyon stratejisi oluşturmaya yönelik öneriler bölümüne bakın.

Kimlik ve erişim yönetimi

Hem kullanıcıların hem de hizmetlerin kimlik doğrulaması ve yetkilendirmesi için Microsoft Entra Id'yi öneririz.

VM'lere erişim, Microsoft Entra Id kimlik doğrulaması tarafından denetlenen ve güvenlik grupları tarafından yedeklenen bir kullanıcı hesabı gerektirir. Bu mimari, tüm VM'lere Microsoft Entra ID kimlik doğrulama uzantısı dağıtılarak destek sağlar. İnsan kullanıcıların kurumsal kimliklerini kuruluşlarının Microsoft Entra ID kiracısında kullanmalarını öneririz. Ayrıca, hizmet sorumlusu tabanlı erişimin işlevler arasında paylaşılmadığından emin olun.

VM'ler gibi iş yükü kaynakları, diğer kaynaklara atanan yönetilen kimliklerini kullanarak kimliklerini doğrular. Microsoft Entra ID hizmet sorumlularını temel alan bu kimlikler otomatik olarak yönetilir.

Örneğin, Key Vault uzantıları VM'lere yüklenir ve bu da vm'leri yerinde sertifikalarla önyükler. Bu mimaride kullanıcı tarafından atanan yönetilen kimlikler Application Gateway, ön uç VM'ler ve arka uç VM'leri tarafından Key Vault'a erişmek için kullanılır. Bu yönetilen kimlikler dağıtım sırasında yapılandırılır ve Key Vault'ta kimlik doğrulaması için kullanılır. Key Vault'ta erişim ilkeleri yalnızca önceki yönetilen kimliklerden gelen istekleri kabul etmek üzere yapılandırılır.

Temel mimari, sistem tarafından atanan ve kullanıcı tarafından atanan yönetilen kimliklerin bir karışımını kullanır. Bu kimlikler, diğer Azure kaynaklarına erişirken yetkilendirme amacıyla Microsoft Entra Id kullanmak için gereklidir.

İyi Tasarlanmış Çerçeve: SE:05 - Kimlik ve erişim yönetimi önerileri'ne bakın.

Ağ denetimleri

  • Giriş trafiği. İş yükü VM'leri doğrudan genel İnternet'e açık değildir. Her VM'nin bir özel IP adresi vardır. İş yükü kullanıcıları Application Gateway'in genel IP adresini kullanarak bağlanır.

    Application Gateway ile tümleştirilmiş Web Uygulaması Güvenlik Duvarı aracılığıyla daha fazla güvenlik sağlanır. Gelen trafiği inceleyen ve uygun eylemleri gerçekleştirebilen kuralları vardır. WAF, bilinen saldırıları engelleyen Open Web Application Security Project (OWASP) güvenlik açıklarını izler.

  • Çıkış trafiği. VM alt ağlarında giden NSG kuralları dışında giden trafik üzerinde denetim yoktur. Tüm giden İnternet trafiğinin tek bir güvenlik duvarı üzerinden akmasını öneririz. Bu güvenlik duvarı genellikle bir kuruluş tarafından sağlanan merkezi bir hizmettir. Bu kullanım örneği, Azure giriş bölgesindeki Sanal makine temel mimarisinde gösterilir.

  • Doğu-batı trafiği. Alt ağlar arasındaki trafik akışı ayrıntılı güvenlik kuralları uygulanarak kısıtlanır.

    Ağ güvenlik grupları (NSG), IP adresi aralığı, bağlantı noktaları ve protokoller gibi parametrelere göre alt ağlar arasındaki trafiği kısıtlamak için yerleştirilir. Uygulama güvenlik grupları (ASG), ön uç ve arka uç VM'lerine yerleştirilir. Vm'lere gelen ve sanal makinelerden gelen trafiği filtrelemek için NSG'lerle birlikte kullanılırlar.

  • İşletimsel trafik. Bir iş yüküne güvenli işletimsel erişimin Azure Bastion aracılığıyla sağlanmasını öneririz ve bu da genel IP gereksinimini ortadan kaldırır. Bu mimaride, bu iletişim SSH üzerinden yapılır ve hem Windows hem de Linux VM'leri tarafından desteklenir. Microsoft Entra Id, ilgili VM uzantısı kullanılarak her iki VM türü için de SSH ile tümleşiktir. Bu tümleştirme, bir operatörün kimliğinin Microsoft Entra Kimliği aracılığıyla doğrulanıp yetkilendirilmesini sağlar.

    Alternatif olarak, tercih ettiğiniz yönetici ve sorun giderme araçlarını yükleyebileceğiniz kendi alt aklarına dağıtılan atlama kutusu olarak ayrı bir VM kullanın. operatör, Azure Bastion konağı üzerinden atlama kutusuna erişir. Ardından, atlama kutusundan yük dengeleyicinin arkasındaki VM'lerde oturum açarlar.

    Bu mimaride işletimsel trafik, trafiği kısıtlamak için NSG kuralları kullanılarak korunur ve VM'lerde tam zamanında (JIT) VM erişimi etkinleştirilir. bu Bulut için Microsoft Defender özelliği, seçili bağlantı noktalarına geçici olarak gelen erişime izin verir.

    Gelişmiş güvenlik için Microsoft Entra Privileged Identity Management (PIM) kullanın. PIM, Microsoft Entra Id'de kuruluşunuzdaki önemli kaynakları yönetmenize, denetlemenize ve izlemenize olanak tanıyan bir hizmettir. PIM, önemsediğiniz kaynaklardaki aşırı, gereksiz veya yanlış erişim izinlerinin risklerini azaltmak için zamana dayalı ve onay tabanlı rol etkinleştirmesi sağlar.

  • Hizmet olarak platform (PaaS) hizmetlerine özel bağlantı. VM'ler ve Key Vault arasındaki iletişim Özel Bağlantı bitti. Bu hizmet, ayrı bir alt ağa yerleştirilmiş özel uç noktalar gerektirir.

  • DDoS koruması. Tehditleri algılamak için Application Gateway ve Azure Bastion Konağı tarafından kullanıma sunulan genel IP'lerde Azure DDoS Koruması'nı etkinleştirmeyi göz önünde bulundurun. DDoS Koruması ayrıca İzleyici aracılığıyla uyarı, telemetri ve analiz sağlar. Daha fazla bilgi için bkz . Azure DDoS Koruması: En iyi yöntemler ve başvuru mimarileri.

İyi Tasarlanmış Çerçeve: SE:06 - Ağ ve bağlantı önerileri'ne bakın.

Şifreleme

  • Aktarımdaki veriler. Kullanıcılar ve Application Gateway genel IP'leri arasındaki kullanıcı trafiği dış sertifika kullanılarak şifrelenir. Uygulama ağ geçidi ile ön uç VM'leri arasındaki ve ön uç ile arka uç VM'leri arasındaki trafik bir iç sertifika kullanılarak şifrelenir. Her iki sertifika da Key Vault'ta depolanır:

    • app.contoso.com: İstemciler ve Application Gateway tarafından ortak İnternet trafiğinin güvenliğini sağlamak için kullanılan bir dış sertifika.
    • *.workload.contoso.com: Altyapı bileşenleri tarafından güvenli iç trafik için kullanılan joker karakter sertifikası.

  • Bekleyen veriler. Günlük verileri VM'lere bağlı bir yönetilen diskte depolanır. Bu veriler, Azure'da platform tarafından sağlanan şifreleme kullanılarak otomatik olarak şifrelenir.

İyi Tasarlanmış Çerçeve: SE:07 - Veri şifreleme önerileri'ne bakın.

Gizli dizi yönetimi

TLS sonlandırma ve kullanılan sertifikaları gösteren diyagram.

Bu mimarinin bir Visio dosyasını indirin.

Key Vault , TLS sertifikaları da dahil olmak üzere gizli dizilerin güvenli bir şekilde yönetilmesini sağlar. Bu mimaride TLS sertifikaları Key Vault'ta depolanır ve sağlama işlemi sırasında Application Gateway ve VM'lerin yönetilen kimlikleri tarafından alınır. İlk kurulumdan sonra, bu kaynaklar yalnızca sertifikalar yenilendiğinde Key Vault'a erişir.

VM'ler, izlenen sertifikaları otomatik olarak yenilemek için Key Vault VM uzantısını kullanır. Yerel sertifika deposunda herhangi bir değişiklik algılanırsa, uzantı ilgili sertifikaları Key Vault'tan alır ve yükler. Uzantı, PKCS #12 ve PEM sertifika içerik türlerini destekler.

Önemli

Yerel olarak depolanan sertifikalarınızın düzenli olarak döndürülmesini sağlamak sizin sorumluluğunuzdadır. Daha fazla bilgi için bkz . Linux için Azure Key Vault VM uzantısı veya Windows için Azure Key Vault VM uzantısı.

İyi Tasarlanmış Çerçeve: SE:09 - Uygulama gizli dizilerini korumaya yönelik öneriler bölümüne bakın.

Maliyet İyileştirmesi

İş yükü gereksinimleri, maliyet kısıtlamaları göz önünde bulundurularak karşılanmalıdır. Mimaride kullanılan stratejiler, Azure İyi Tasarlanmış Çerçeve'de verilen Maliyet İyileştirme tasarım gözden geçirme denetim listesini temel alır. Bu bölümde maliyeti iyileştirmeye yönelik bazı seçenekler açıklanır ve bu denetim listesindeki önerilere ek açıklama eklenmiştir.

Bileşen maliyeti

Genel amaçlı görüntüler kullanmak yerine iş yükü için en iyi duruma getirilmiş VM görüntülerini seçin. Bu mimaride, hem Windows hem de Linux için her birinde 30 GB olan nispeten küçük VM görüntüleri seçilir. Daha küçük görüntülerle, diskleri olan VM SKU'ları da daha küçüktür ve maliyetlerin düşmesine, kaynak tüketiminin azalmasına ve daha hızlı dağıtım ve önyükleme sürelerine yol açar. Bir avantaj, azaltılmış yüzey alanı nedeniyle gelişmiş güvenliktir.

Boyut sınırlarıyla günlük döndürme uygulamak da maliyet tasarrufu sağlayan başka bir stratejidir. Küçük veri disklerinin kullanılmasına olanak tanır ve bu da maliyetlerin düşmesine neden olabilir. Bu mimarinin uygulanması 4 GB diskler kullanır.

Kısa ömürlü işletim sistemi disklerinin kullanılması da maliyet tasarrufu ve gelişmiş performansa yol açabilir. Bu diskler, VM ile sağlanan önbellek diskine yüklendiklerinden, zaten ödeme yaptığınız VM kaynaklarını kullanacak şekilde tasarlanmıştır. Geleneksel kalıcı disklerle ilişkili depolama maliyetlerini ortadan kaldırır. Bu diskler geçici olduğundan, uzun süreli veri depolama ile ilişkili maliyet yoktur.

İyi Tasarlanmış Çerçeve: CO:07 - Bileşen maliyetlerini iyileştirmeye yönelik öneriler bölümüne bakın.

Akış maliyeti

Akışın kritikliğine göre işlem kaynaklarını seçin. Belirsiz bir uzunluğu tolere etmek üzere tasarlanmış akışlar için, Sanal Makine Ölçek Kümeleri Esnek düzenleme moduna sahip spot VM'leri kullanmayı göz önünde bulundurun. Bu yaklaşım, düşük öncelikli VM'lerde düşük öncelikli akışları barındırmak için etkili olabilir. Bu strateji, farklı akışların gereksinimlerini karşılamaya devam ederken maliyet iyileştirmesine olanak tanır.

İyi Tasarlanmış Çerçeve: CO:09 - Akış maliyetlerini iyileştirmeye yönelik öneriler bölümüne bakın.

Ölçeklendirme maliyeti

Ana maliyet sürücüsü örnek sayısıysa VM'lerin boyutunu veya performansını artırarak ölçeği artırmak daha uygun maliyetli olabilir. Bu yaklaşım birkaç alanda maliyet tasarrufuna yol açabilir:

  • Yazılım lisansı. Daha büyük VM'ler daha fazla iş yükü işleyebilir ve bu da gerekli yazılım lisanslarının sayısını azaltabilir.
  • Bakım süresi: Daha az, daha büyük VM'ler operasyonel maliyetleri azaltabilir.
  • Yük dengeleme: Daha az VM, yük dengeleme maliyetlerinin düşmesine neden olabilir. Örneğin, bu mimaride öndeki bir uygulama ağ geçidi ve ortada iç yük dengeleyici gibi birden çok yük dengeleme katmanı vardır. Daha fazla sayıda örneğin yönetilmesi gerekiyorsa yük dengeleme maliyetleri artar.
  • Disk depolama alanı. Durum bilgisi olan uygulamalar varsa, daha fazla örneğe daha fazla bağlı yönetilen disk gerekir ve depolama maliyeti artar.

İyi Tasarlanmış Çerçeve: CO:12 - Ölçeklendirme maliyetlerini iyileştirmeye yönelik öneriler bölümüne bakın.

operasyonel maliyetler

Otomatik VM konuk düzeltme eki uygulama, el ile düzeltme eki uygulama ek yükünü ve ilişkili bakım maliyetlerini azaltır. Bu eylem sistemin daha güvenli hale getirmesine yardımcı olmakla kalmaz, aynı zamanda kaynak ayırmayı iyileştirerek genel maliyet verimliliğine katkıda bulunur.

İyi Tasarlanmış Çerçeve: CO:13 - Personel süresini iyileştirmeye yönelik öneriler bölümüne bakın.

Bu senaryoyu dağıtın

GitHub’da bu başvuru mimarisine yönelik bir dağıtıma ulaşılabilir.

Uygulama: Azure Sanal Makineler temel mimarisi

Belirli Azure hizmetleriyle ilgili ayrıntılar için ürün belgelerine bakın:

Sonraki adım

Veri katmanı seçeneklerini gösteren IaaS başvuru mimarilerini gözden geçirin: