Düzenle

Aracılığıyla paylaş


Azure’da Windows VM çalıştırma

Azure Backup
Azure Blob Storage
Azure Resource Manager
Azure Storage
Azure Virtual Machines

Azure'da sanal makine (VM) sağlama, ağ ve depolama kaynakları dahil olmak üzere VM'nin kendisinin yanı sıra ek bileşenler gerektirir. Bu makalede Azure'da güvenli bir Windows VM çalıştırmaya yönelik en iyi yöntemler gösterilmektedir.

Mimari

Azure'da Windows sanal makinesini gösteren diyagram.

Bu mimarinin bir Visio dosyasını indirin.

İş Akışı

Kaynak grubu

Kaynak grubu, ilgili Azure kaynaklarını barındıran mantıksal bir kapsayıcıdır. Genel olarak, kaynakları kullanım ömrüne ve bunları kimlerin yöneteceğini temel alarak gruplandırır.

Aynı yaşam döngüsünü paylaşan, birbiriyle yakın şekilde ilişkilendirilmiş kaynakları aynı kaynak grubuna ekleyin. Kaynak grupları, kaynakları bir grup halinde dağıtıp izlemenize ve faturalandırma maliyetlerini kaynak grubuna göre izlemenize olanak tanır. Kaynakları küme olarak da silebilirsiniz. Bu, test dağıtımları için kullanışlıdır. Belirli bir kaynağın bulunmasını ve kaynağın rolünün anlaşılmasını basitleştirmek için anlamlı kaynak adları atayın. Daha fazla bilgi için bkz. Azure Kaynakları için Önerilen Adlandırma Kuralları.

Sanal makine

Yayımlanmış görüntülerin listesinden ya da Azure Blob depolama alanına yüklenmiş, özel olarak yönetilen bir görüntüden veya bir sanal sabit disk (VHD) dosyasından VM sağlayabilirsiniz.

Azure çok sayıda farklı sanal makine boyutu sunar. Daha fazla bilgi için bkz . Azure'da sanal makinelerin boyutları. Mevcut bir iş yükünü Azure'a taşıyorsanız, şirket içi sunucularınıza en yakın vm boyutuyla başlayın. Ardından gerçek iş yükünüzün performansını CPU, bellek ve saniye başına disk giriş/çıkış işlemleri (IOPS) açısından ölçün ve boyutu gerektiği gibi ayarlayın.

Genel olarak, iç kullanıcılarınıza veya müşterilerinize en yakın Azure bölgesini seçin. Tüm VM boyutları tüm bölgelerde kullanılamaz. Daha fazla bilgi için bkz. Bölgeye göre hizmetler. Belirli bir bölgede kullanılabilen VM boyutlarının listesi için Azure CLI'dan aşağıdaki komutu çalıştırın:

az vm list-sizes --location <location>

Yayımlanmış VM görüntülerinden birini seçme hakkında daha fazla bilgi edinmek için bkz. Windows VM görüntüleri bulma.

Diskler

En iyi disk G/Ç performansı için verileri katı hal sürücülerinde (SSD) depolayan Premium Depolama’yı öneririz. Maliyet, sağlanan diskin kapasitesine bağlıdır. IOPS ve aktarım hızı da disk boyutuna bağlıdır, bu nedenle bir disk sağladığınızda üç faktörü de (kapasite, IOPS ve aktarım hızı) göz önünde bulundurun. Premium depolama, iş yükü desenlerini anlama ile birlikte ücretsiz seri dağıtım özellikleri de sunar, IaaS altyapısı için etkili bir SKU seçimi ve maliyet iyileştirme stratejisi sunar, aşırı fazla sağlama olmadan yüksek performans sağlar ve kullanılmayan kapasitenin maliyetini en aza indirir.

Yönetilen diskler , depolamayı sizin için işleyerek disk yönetimini basitleştirir. Yönetilen diskler için depolama hesabı gerekmez. Diskin boyutunu ve türünü belirtirsiniz ve yüksek oranda kullanılabilir bir kaynak olarak dağıtılır. Yönetilen diskler ayrıca fazla sağlama gerektirmeden istenen performansı sağlayarak, iş yükü desenlerinin dalgalanmasından ve kullanılmayan sağlanan kapasiteyi en aza indirerek maliyet iyileştirmesi sunar.

İşletim sistemi diski Azure Depolama’da depolanan bir VHD’dir; bu nedenle, konak makine kapalı olduğunda bile aynı şekilde kalır. Ayrıca, uygulama verileri için kullanılan kalıcı VHD'ler olan bir veya daha fazla veri diski oluşturmanızı öneririz.

Kısa ömürlü diskler ek ücret ödemeden iyi performans sağlar, ancak kalıcı olmamasının, kapasitenin sınırlı olmasının ve yalnızca işletim sistemi ve geçici disk kullanımıyla kısıtlanmasının önemli dezavantajları ile birlikte gelir. Mümkünse uygulamaları, işletim sistemi diski yerine bir veri diskine yükleyin. Bazı eski uygulamaların C: sürücüsüne yüklemesi gereken bileşenler olabilir. Bu durumda PowerShell kullanarak işletim sistemi diskini yeniden boyutlandırabilirsiniz.

VM ayrıca geçici bir disk ( D: Windows'da sürücü) ile oluşturulur. Bu disk konak makinedeki fiziksel bir sürücüde depolanır. Bu, Azure Depolama’ya kaydedilmez, yeniden başlatma işlemleri ve diğer VM yaşam döngüsü olayları sırasında silinebilir. Bu diski yalnızca sayfa veya takas dosyaları gibi geçici veriler için kullanın.

Ağ bileşenleri aşağıdaki kaynakları içerir:

  • Sanal ağ. Her VM, birden çok alt ağa bölünebilen bir sanal ağa dağıtılır.

  • Ağ arabirimi (NIC). NIC, sanal makinenin sanal ağla iletişim kurmasına imkan tanır. VM'niz için birden çok NIC'ye ihtiyacınız varsa, her VM boyutu için en fazla sayıda NIC tanımlanır.

  • Genel IP adresi. SANAL makineyle iletişim kurmak için bir genel IP adresi gereklidir; örneğin, Uzak Masaüstü Protokolü (RDP) aracılığıyla. Genel IP adresi dinamik veya statik olabilir. Varsayılan seçenek dinamiktir.

    • Değişmeyen sabit bir IP adresine ihtiyacınız varsa ( örneğin, bir DNS 'A' kaydı oluşturmanız veya IP adresini güvenli bir listeye eklemeniz gerekiyorsa) statik bir IP adresi ayırın.
    • IP adresi için bir tam etki alanı adı da (FQDN) oluşturabilirsiniz. Daha sonra DNS’te FQDN’yi gösteren bir CNAME kaydı oluşturabilirsiniz. Daha fazla bilgi edinmek için bkz. Azure portalında tam etki alanı adı oluşturma.
  • Ağ güvenlik grubu (NSG). Ağ güvenlik grupları , VM'lere yönelik ağ trafiğine izin vermek veya trafiği reddetmek için kullanılır. NSG'ler alt ağlarla veya tek tek VM örnekleriyle ilişkilendirilebilir.

    • Tüm NSG’ler, tüm gelen İnternet trafiğini engelleyen bir kuralın da dahil olduğu bir varsayılan kurallar kümesi içerir. Varsayılan kurallar silinemez, ancak diğer kurallar bunları geçersiz kılabilir. İnternet trafiğini etkinleştirmek için belirli bağlantı noktalarına gelen trafiğe (örneğin, HTTP için 80 numaralı bağlantı noktası) izin veren kurallar oluşturun. RDP’yi etkinleştirmek için TCP bağlantı noktası 3389’a gelen trafiğe izin veren bir NSG kuralı ekleyin.
  • Azure NAT Ağ Geçidi. Ağ Adresi Çevirisi (NAT) ağ geçitleri , özel bir alt ağdaki tüm örneklerin tamamen özel kalırken İnternet'e giden bağlantı kurmasına izin verir. Yalnızca giden bağlantıya yanıt paketi olarak gelen paketler NAT ağ geçidinden geçebilir. İnternet'ten istenmeyen gelen bağlantılara izin verilmez.

  • Azure Bastion. Azure Bastion , özel IP adresleri aracılığıyla VM'lere güvenli erişim sağlayan tam olarak yönetilen bir hizmet olarak platform çözümüdür. Bu yapılandırmayla VM'lerin, güvenlik duruşlarını artıran ve bunları İnternet'te kullanıma sunan bir genel IP adresine ihtiyacı yoktur. Azure Bastion, Azure portalı veya yerel SSH veya RDP istemcileri gibi çeşitli yöntemler aracılığıyla doğrudan Aktarım Katmanı Güvenliği (TLS) üzerinden VM'lerinize güvenli RDP veya Secure Shell (SSH) bağlantısı sağlar.

Operations

Tanılama. Temel sistem durumu ölçümleri, tanılama altyapısı günlükleri ve önyükleme tanılaması gibi izleme ve tanılama özelliklerini etkinleştirin. Önyükleme tanılaması, VM’nizin önyükleme gerçekleştiremeyecek bir duruma girmesi durumunda önyükleme hatasını tanılamanıza yardımcı olabilir. Günlükleri depolamak için bir Azure Depolama hesabı oluşturun. Tanılama günlükleri için standart bir yerel olarak yedekli depolama (LRS) yeterlidir. Daha fazla bilgi edinmek için bkz. İzleme ve tanılamayı etkinleştirme.

Kullanılabilirlik. VM'niz planlı bakımdan veya planlanmamış kapalı kalma süresinden etkilenebilir. Sanal makine yeniden başlatma günlükleri ile bir sanal makine yeniden başlatma işleminin planlı bakımdan kaynaklanıp kaynaklanmadığını belirleyebilirsiniz. Daha yüksek kullanılabilirlik için, bir kullanılabilirlik kümesinde veya bir bölgedeki kullanılabilirlik alanları arasında birden çok VM dağıtın. Bu yapılandırmaların her ikisi de daha yüksek bir hizmet düzeyi sözleşmesi (SLA) sağlar.

Yedeklemeler Yanlışlıkla veri kaybına karşı koruma sağlamak için Azure Backup hizmetini kullanarak VM'lerinizi coğrafi olarak yedekli depolamaya yedekleyin. Azure Backup uygulamayla tutarlı yedeklemeler sağlar.

Sanal makineyi durdurma. Azure’da “durduruldu” ile “serbest bırakıldı” durumları birbirinden farklıdır. Sanal makine durdurulmuş durumdayken ücret ödersiniz, ancak serbest bırakılmış durumdayken ödemezsiniz. Azure portalındaki Durdur düğmesi sanal makineyi serbest bırakır. VM’yi oturumunuz açıkken işletim sistemi aracılığıyla kapatırsanız sanal makine durdurulmasına rağmen serbest bırakılmaz ve bu nedenle ücretlendirilmeye devam edersiniz.

Sanal makineyi silme. Bir VM'yi silerseniz, disklerini silme veya saklama seçeneğiniz vardır. Bu, sanal makineyi verileri kaybetmeden güvenli bir şekilde silebileceğiniz anlamına gelir. Ancak, diskler için yine ücretlendirilirsiniz. Yönetilen diskleri diğer Azure kaynakları gibi silebilirsiniz. VHD’nin yanlışlıkla silinmesini engellemek için bir kaynak kilidi ile kaynak grubunun tamamını ya da tek tek kaynakları (VM gibi) kilitleyin.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Maliyet iyileştirme

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.

Kullanım ve iş yüküne bağlı olarak VM boyutları için çeşitli seçenekler vardır. Bu aralık, makine öğrenmesi için en iyi duruma getirilmiş en yeni GPU VM'lere Bs serisinin en ekonomik seçeneğini içerir. Kullanılabilir seçenekler hakkında bilgi için bkz . Azure Windows VM fiyatlandırması.

Tahmin edilebilir iş yükleri için, bir yıllık veya üç yıllık bir sözleşmeyle işlem için Azure Rezervasyonları ve Azure tasarruf planını kullanın ve kullandıkça öde fiyatlarından önemli tasarruflar elde edin. Tahmini tamamlanma süresi veya kaynak tüketimi olmayan iş yükleri için Kullandıkça öde seçeneğini göz önünde bulundurun.

Kesintiye uğrayabilecek iş yüklerini çalıştırmak için Azure Spot VM'lerini kullanın ve önceden belirlenmiş bir zaman çerçevesi veya SLA içinde tamamlanması gerekmez. Kullanılabilir kapasite varsa Azure Spot VM'leri dağıtır ve kapasiteye ihtiyaç duyduğunda çıkarılır. Spot sanal makineleriyle ilişkili maliyetler önemli ölçüde düşüktür. Bu iş yükleri için Spot VM'leri göz önünde bulundurun:

  • Yüksek performanslı işlem senaryoları, toplu işler veya görsel işleme uygulamaları.
  • Sürekli tümleştirme ve sürekli teslim iş yükleri dahil olmak üzere ortamları test edin.
  • Geniş ölçekli durum bilgisi olmayan uygulamalar.

Maliyetleri tahmin etmek için Azure Fiyatlandırma Hesaplayıcısı'nı kullanın.

Daha fazla bilgi için Microsoft Azure İyi Oluşturulmuş Mimari Çerçevesi makalesindeki maliyet bölümüne bakın.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.

Azure kaynaklarınızın güvenlik durumunun merkezi bir görünümünü elde etmek için Bulut için Microsoft Defender kullanın. Bulut için Defender olası güvenlik sorunlarını izler ve dağıtımınızın güvenlik durumunun kapsamlı bir resmini sağlar. Bulut için Defender, Azure aboneliği başına yapılandırılır. Azure aboneliğinizi Bulut için Defender Standard'a ekleme bölümünde açıklandığı gibi güvenlik verileri toplamayı etkinleştirin. Veri toplama etkinleştirildiğinde, Bulut için Defender bu abonelik altında oluşturulan tüm VM'leri otomatik olarak tarar.

Düzeltme eki yönetimi. Etkinleştirilirse, Bulut için Defender güvenlik güncelleştirmelerinin ve kritik güncelleştirmelerin eksik olup olmadığını denetler. Otomatik sistem güncelleştirmelerini etkinleştirmek için VM üzerinde Grup İlkesi ayarlarını kullanın.

Kötü amaçlı yazılımdan koruma Etkinleştirilirse, Bulut için Defender kötü amaçlı yazılımdan koruma yazılımının yüklü olup olmadığını denetler. Bulut için Defender kullanarak Azure portalından kötü amaçlı yazılımdan koruma yazılımı yükleyebilirsiniz.

Erişim denetimi. Azure kaynaklarına erişimi denetlemek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın. Azure RBAC, DevOps ekibinizin üyelerine yetkilendirme rolleri atamanızı sağlar. Örneğin, Okuyucu rolü Azure kaynaklarını görüntüleyebilir ancak oluşturamaz, yönetemez ve silemez. Bazı izinler bir Azure kaynak türüne özeldir. Örneğin, Sanal Makine Katılımcısı rolü bir VM’yi yeniden başlatıp serbest bırakabilir, yönetici parolasını sıfırlayabilir, yeni bir VM oluşturabilir ve başka işlemler gerçekleştirebilir. Bu mimari için yararlı olabilecek diğer yerleşik roller DevTest Labs Kullanıcı ve Ağ Katkıda Bulunanı'dır.

Not

Azure RBAC, vm'de oturum açmış bir kullanıcının gerçekleştirebileceği eylemleri sınırlamaz. Bu izinler konuk işletim sistemindeki hesap türüne göre belirlenir.

Denetim günlükleri. Sağlama eylemlerini ve diğer sanal makine olaylarını görmek için denetim günlüklerini kullanın.

Veri şifrelemesi. İşletim sistemini ve veri disklerini şifrelemeniz gerekiyorsa Azure Disk Şifrelemesi kullanın.

Operasyonel mükemmellik

Operasyonel mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz . Operasyonel mükemmellik sütununa genel bakış.

Azure kaynaklarını sağlamak için tek bir Azure Resource Manager şablonu kullanarak (bildirim temelli yaklaşım) veya tek bir PowerShell betiği (kesinlik temelli yaklaşım) kullanarak Kod olarak altyapıyı (IaC) kullanın. Tüm kaynaklar aynı sanal ağda olduğundan, aynı temel iş yükünde yalıtılır. Bu, iş yükünün belirli kaynaklarını bir DevOps ekibiyle ilişkilendirmeyi kolaylaştırır, böylece ekip bu kaynakların tüm yönlerini bağımsız olarak yönetebilir. Bu yalıtım, DevOps Ekibi ve Hizmetlerinin sürekli tümleştirme ve sürekli teslim (CI/CD) gerçekleştirmesini sağlar.

Ayrıca, farklı Azure Resource Manager şablonlarını kullanabilir ve bunları Azure DevOps Services ile tümleştirerek dakikalar içinde farklı ortamlar sağlayabilirsiniz. Örneğin, senaryolar veya yük testi ortamları gibi üretim ortamlarını yalnızca gerektiğinde çoğaltarak maliyet tasarrufu sağlayabilirsiniz.

Altyapınızın performansını analiz etmek ve iyileştirmek, sanal makinelerinizde oturum açmadan ağ sorunlarını izlemek ve tanılamak için Azure İzleyici'yi kullanmayı göz önünde bulundurun.

Sonraki adımlar