Azure Sanal Makineler temel mimarisi

Azure Bastion

Azure Key Vault

Azure Sanal Makineler

Azure Sanal Ağ

Azure Sanal Makine Ölçek Kümeleri

Bu makale, Azure Sanal Makineler'de dağıtılan bir iş yükü için temel başvuru mimarisi sağlar.

Bu mimari tarafından varsayılan örnek iş yükü, ayrı sanal makine kümelerine (VM) dağıtılan, İnternet'e yönelik çok katmanlı bir web uygulamasıdır. VM'ler Azure Sanal Makine Ölçek Kümeleri dağıtımlarının bir parçası olarak sağlanır. Bu mimari şu senaryolar için kullanılabilir:

• Özel uygulamalar. Bu uygulamalar dahili iş kolu uygulamalarını veya ticari kullanıma açık çözümleri içerir.
• Genel uygulamalar. Bu uygulamalar İnternet'e yönelik uygulamalardır. Bu mimari yüksek performanslı bilgi işlem, görev açısından kritik iş yükleri, gecikme süresinden yüksek oranda etkilenen uygulamalar veya diğer özel kullanım örnekleri için değildir.

Bu mimarinin birincil odağı uygulama değildir. Bunun yerine, bu makalede uygulamanın etkileşimde bulunduğu altyapı bileşenlerini yapılandırmaya ve dağıtmaya yönelik yönergeler sağlanır. Bu bileşenler arasında işlem, depolama, ağ ve izleme bileşenleri bulunur.

Bu mimari, hizmet olarak altyapı (IaaS) tarafından barındırılan iş yükü için başlangıç noktası görevi görür. Veri katmanı, işlem altyapısına odaklanmayı sağlamak için bilerek bu kılavuzun dışında tutulur.

Makale düzeni

Mimari	Tasarım kararı	İyi Tasarlanmış Çerçeve yaklaşımı
▪ Mimari diyagramı ▪ İş yükü kaynakları ▪ Destekleyici kaynaklar ▪ Kullanıcı akışları	▪ VM tasarım seçenekleri ▪ Disk ▪ Ağ İletişimi ▪ Izleme ▪ Güncelleştirme yönetimi	▪ Güvenilirlik ▪ Güvenlik ▪ Maliyet İyileştirme

İpucu

Bu başvuru uygulaması , bu makalede açıklanan en iyi yöntemleri gösterir. Uygulama, altyapı kurulumunu uçtan uca test etmek için küçük bir test iskeleti içeren bir uygulamayı da kapsamaktadır.

Mimari

Bu mimarinin Visio dosyasını indirin.

Bu kaynaklar hakkında daha fazla bilgi için İlgili kaynaklar bölümünde listelenen Azure ürün belgelerine bakın.

Bileşenler

Bu mimari hem iş yükü kaynakları hem de iş yükü destekleyen kaynaklar için çeşitli Azure hizmetlerinden oluşur. Her birinin ve rollerinin hizmetleri aşağıdaki bölümlerde açıklanmıştır.

İş yükü kaynakları

• Azure Sanal Makineler , ölçeklenebilir işlem kaynakları sağlayan bir IaaS teklifidir. Bu mimaride VM'ler hem Windows hem de Linux iş yükleri için kullanılabilirlik alanları arasında ölçeklenebilir ve dağıtılmış işleme sağlar.

  Azure Sanal Makine Ölçek Kümeleri , bir grup özdeş VM'nin otomatik dağıtımını, ölçeklendirmesini ve yönetimini sağlayan bir hizmettir. Bu mimaride, Esnek düzenleme modunu kullanarak ön uç ve arka uç işlem kaynaklarını sağlar ve korur.

  Örnek uygulama iki katman kullanır ve her katman kendi işlemini gerektirir.

  • Ön uç web sunucusunu çalıştırır ve kullanıcı isteklerini alır.
  • Arka uç, iş mantığının çalıştığı tek bir uç noktayı kullanıma sunan bir web API'si olarak çalışan başka bir web sunucusu çalıştırır.

  Ön uç VM'lere bağlanmış veri diskleri (Premium_LRS) bulunmakta olup, bunlar durum bilgisi olmayan bir uygulama dağıtmak için kullanılabilir. Arka uçtaki VM'ler, işleminin bir parçası olarak Premium_ZRS yerel disklerine verileri kalıcı hale getirmektedir. Bu düzeni, ön uç ve arka uç işlemlerinden durum depolamak için bir veritabanı katmanı içerecek şekilde genişletebilirsiniz. Bu katman bu mimarinin kapsamı dışındadır.

• Azure Sanal Ağ, Azure kaynaklarıyla şirket içi ortamlar arasında güvenli iletişim sağlayan bir ağ hizmetidir. Bu mimaride, güvenlik ve trafik denetimi için kaynakları alt ağlara ayırır.

• Azure Application Gateway , web uygulamalarınıza gelen trafiği yönetmenizi sağlayan bir web trafiği katman 7 yük dengeleyicidir. İstekleri ön uç sunucularına yönlendiren tek giriş noktasıdır. Bu mimaride, ön uç VM'lere yönelik trafiği dengeler ve koruma için bir web uygulaması güvenlik duvarı (WAF) içerir.

• Azure Load Balancer , Kullanıcı Veri Birimi Protokolü (UDP) ve İletim Denetimi Protokolü (TCP) trafiği için bir katman 4 yük dengeleme hizmetidir. Bu mimaride genel yük dengeleyici giden trafiği dağıtır ve kaynak ağ adresi çevirisini (SNAT) destekler. İç yük dengeleyici, sanal ağ içinde yüksek kullanılabilirlik ve ölçeklenebilirlik sağlamak için trafiği ön uç katmanından arka uç sunucularına yönlendirir.

  Standart SKU, üç genel IP adresi kullanarak VM'lere giden İnternet erişimi sağlar.

• Azure Key Vault gizli dizileri, anahtarları ve sertifikaları yönetmeye yönelik bir hizmettir. Bu mimaride, Application Gateway'in kullandığı Aktarım Katmanı Güvenliği (TLS) sertifikalarını depolar. Ayrıca VM'lere sertifika yüklemek veya VM'lere dağıtılan koda göre uygulama gizli dizilerini almak için de kullanılabilir.

İş yükü destekleyici kaynaklar

• Azure Bastion , genel IP adreslerini kullanıma sunmadan VM'lere Uzak Masaüstü Protokolü (RDP) ve Secure Shell (SSH) erişimi sağlayan yönetilen bir hizmettir. Bu mimaride, ayrılmış bir alt ağ üzerinden VM'lere tam zamanında işletimsel erişim sağlar.

• Application Insights kullanılabilirlik, performans ve kullanım analizi için telemetri toplayan bir uygulama performans yönetimi (APM) hizmetidir. Bu mimaride, gelecekteki uygulama telemetrisi için hazır bir uç nokta olarak dağıtılır. Ancak, uygulama katmanı kapsam dahilinde olmadığından, referans uygulama özel uygulama günlüklerini yaymaz veya toplamaz.

• Log Analytics , Kusto Sorgu Dili ile sorgulanan ölçümler ve günlükler için merkezi bir telemetri deposudur. Bu mimaride analiz, uyarı ve panolar için platform günlüklerini, VM içgörü verilerini ve Application Insights telemetri verilerini toplayan izleme veri havuzu görevi görür. Çalışma alanının bir parçası olarak bir depolama hesabı sağlanır.

Kullanıcı akışları

İş yükü kaynaklarıyla etkileşim kuran iki tür kullanıcı vardır: iş yükü kullanıcısı ve operatörü. Bu kullanıcılara yönelik akışlar önceki mimari diyagramında gösterilir.

İş yükü kullanıcısı

1. Kullanıcı, Application Gateway'in kullanıma sunulan genel IP adresini kullanarak web sitesine erişir.

2. Application Gateway HTTPS trafiğini alır, WAF incelemesi için bir dış sertifika kullanarak verilerin şifresini çözer ve ön uca aktarım için iç joker sertifikayı kullanarak verileri yeniden şifreler.

3. Application Gateway, ön uç VM'ler arasında trafiği dengeler ve isteği ön uç VM'sine iletir.

4. Seçilen ön uç VM,herhangi bir vm'nin IP'sini değil yük dengeleyicinin özel IP adresini kullanarak arka uç VM'sine iletişim kurar. Bu iletişim ayrıca iç joker sertifika kullanılarak şifrelenir.

5. Arka uç VM, iç sertifikayı kullanarak isteğin şifresini çözer. Arka uç isteği işledikten sonra, sonucu uygulama ağ geçidine döndüren ön uca döndürür ve son olarak da sonucu kullanıcıya döndürür.

Operatör

Bu mimarideki VM'ler işleçler tarafından doğrudan erişim gerektirebilir, ancak uzaktan erişimin otomasyon aracılığıyla en aza indirilmesi ve erişimin izlenmesi önerilir. Erişim, hata düzeltme durumları, sorun giderme veya otomatik dağıtım işleminin bir parçası olabilir. Bu mimarinin denetim düzlemi erişimi için genel IP'leri yoktur. Azure Bastion sunucusuz bir ağ geçidi işlevi görerek işlemlerin SSH veya RDP aracılığıyla VM'lere erişmesini sağlar. Bu kurulum, güvenli ve verimli erişim yönetimi sağlar.

1. Operatör Azure portalında veya Azure CLI'da oturum açar.
2. Operatör Azure Bastion hizmetine erişir ve istenen VM'ye uzaktan bağlanır.

VM tasarım seçenekleri

SKU'ları seçerken temel performans beklentisine sahip olmak önemlidir. Aşağıdakiler dahil olmak üzere çeşitli özellikler karar alma sürecini etkiler:

• Saniye başına CPU, bellek ve disk giriş/çıkış işlemleri (IOPS).
• İşlemci mimarisi.
• İşletim Sistemi (İS) görüntü boyutu.

Örneğin, bir iş yükünü Intel işlemci makineleri gerektiren bir şirket içi ortamdan geçiriyorsanız Intel işlemcileri destekleyen VM SKU'larını seçin.

Desteklenen VM SKU'ları hakkında bilgi için bkz. Azure'daki sanal makineler için boyutlar.

Önyükleme

VM'lerin genellikle önyüklenmesi gerekir. Bu, vm'lerin uygulamayı çalıştırmak için hazırlandığı ve ayarlandığı bir işlemdir. Yaygın önyükleme görevleri şunlardır: sertifika yükleme, uzaktan erişimi yapılandırma, paketleri yükleme, işletim sistemi yapılandırmasını ayarlama ve sağlamlaştırma ve veri disklerini biçimlendirme ve bağlama. Uygulamanın VM'de gecikmeden veya el ile müdahale olmadan başlayabilmesi için önyükleme işlemini mümkün olduğunca otomatikleştirmek önemlidir. Otomasyon için öneriler şunlardır:

• Sanal makine uzantıları. Bu uzantılar, Kod Olarak Altyapı (IaC) dağıtımınız aracılığıyla yönetilen Azure Resource Manager nesneleridir. Bu şekilde, herhangi bir hata, üzerinde işlem yapabileceğiniz başarısız bir dağıtım olarak bildirilir. Önyükleme gereksinimleriniz için bir uzantı yoksa özel betikler oluşturun. Betikleri Azure Özel Betik Uzantısı aracılığıyla çalıştırmanız önerilir.

  Vm'lere işlevselliği otomatik olarak yüklemek veya yapılandırmak için kullanılabilecek bazı diğer uzantılar aşağıdadır.

  • Azure İzleyici Aracısı (AMA), konuk işletim sisteminden izleme verilerini toplar ve Azure İzleyici'ye teslim eder.
  • Azure Özel Betik Uzantısı (Windows, Linux) Sürüm 2, Azure sanal makinelerinde (VM) betikleri indirir ve çalıştırır. Bu uzantı dağıtım sonrası yapılandırmayı, yazılım yüklemesini veya diğer yapılandırma veya yönetim görevlerini otomatikleştirmek için kullanışlıdır.
  • Azure Key Vault sanal makine uzantısı (Windows, Linux), değişiklikleri algılayarak ve karşılık gelen sertifikaları yükleyerek Bir Key Vault'ta depolanan sertifikaların otomatik olarak yenilenmesini sağlar.
  • Azure Sanal Makine Ölçek Kümeleri otomatik sıralı yükseltmeler gerçekleştirirken, Sanal Makine Ölçek Kümeleri ile Uygulama Durumu uzantısı önemlidir. Azure, güncellemeleri gerçekleştirmek için bireysel örneklerin sağlık izlemesine dayanır. Uzantıyı, ölçek kümenizdeki her örneğin uygulama durumunu izlemek ve Otomatik Örnek Onarımları'nı kullanarak örnek onarımları gerçekleştirmek için de kullanabilirsiniz.
  • Microsoft Entra ID ve OpenSSH (Windows, Linux), Microsoft Entra kimlik doğrulaması ile tümleşir. Artık Microsoft Entra Id ve OpenSSH sertifika tabanlı kimlik doğrulamasını kullanarak Linux VM'de SSH için çekirdek kimlik doğrulama platformu ve sertifika yetkilisi olarak Microsoft Entra Id kullanabilirsiniz. Bu işlevsellik, Azure rol tabanlı erişim denetimi (Azure RBAC) ve Koşullu Erişim ilkeleriyle VM'lere erişimi yönetmenizi sağlar.

• Aracı tabanlı yapılandırma. Linux VM'leri, Azure tarafından sağlanan çeşitli VM görüntülerinde cloud-init aracılığıyla kullanılabilen basit bir yerel istenen durum yapılandırması kullanabilir. Yapılandırma, IaC yapıtlarınızla belirtilir ve sürümü oluşturulur. Kendi yapılandırma yönetimi çözümünüzü getirmek başka bir yoldur. Çoğu çözüm, önyükleme için deklaratif öncelikli yaklaşımını benimser, ancak esneklik için özel betikleri destekler. Popüler seçenekler arasında Windows için İstenen Durum Yapılandırması, Linux için İstenen Durum Yapılandırması, Ansible, Chef, Puppet ve diğerleri bulunur. Her ikisinin de en iyi deneyimi için bu yapılandırma çözümlerinin tümü VM uzantılarıyla eşleştirilebilir.

Başvuru uygulamasında tüm önyükleme, veri diski biçimlendirmesini otomatikleştirmeye ve bağlamaya yönelik özel bir betik de dahil olmak üzere VM uzantıları ve özel betikler aracılığıyla gerçekleştirilir.

İyi Tasarlanmış Çerçeve: RE:02 - Otomasyon tasarımı için öneriler bölümüne bakın.

VM bağlantısı

Vm ile belirli bir sanal ağdaki diğer cihazlar arasında özel iletişimi etkinleştirmek için VM'nin ağ arabirim kartı (NIC), sanal ağın alt ağlarından birine bağlanır. VM'niz için birden çok NIC'ye ihtiyacınız varsa, her VM boyutu için en fazla sayıda NIC'nin tanımlandığını bilin.

İş yükünün sanal ağdaki VM'ler arasında düşük gecikme süreli iletişime ihtiyacı varsa, Azure VM NIC'leri tarafından desteklenen hızlandırılmış ağ iletişimi kullanmayı göz önünde bulundurun. Daha fazla bilgi için bkz . Hızlandırılmış ağın avantajları.

Esnek orkestrasyon ile Sanal Makine Ölçek Kümeleri

VM'ler, Esnek düzenleme ile Sanal Makine Ölçek Kümelerinin bir parçası olarak sağlanır. Sanal Makine Ölçek Kümeleri, iş gereksinimlerini karşılamak için kullanılan VM'lerin mantıksal gruplandırmasıdır. Gruplandırmadaki VM türleri aynı veya farklı olabilir. Standart Azure VM API'lerini ve komutlarını kullanarak makinelerin, ağ arabirimlerinin ve disklerin yaşam döngüsünü yönetmenize olanak tanır.

Esnek düzenleme modu, büyük ölçekte işlemleri kolaylaştırır ve ayrıntılı ölçeklendirme kararlarına yardımcı olur.

Fiziksel donanım hatalarının, ağ kesintilerinin veya güç kesintilerinin etkisini sınırlamak için hata etki alanı yapılandırması gereklidir. Ölçek kümeleriyle Azure, tek bir donanım veya altyapı sorununa karşı dayanıklılık için örnekleri hata etki alanlarına eşit olarak dağıtır.

Maksimum örnek yayma, dayanıklılığı ve kullanılabilirliği geliştirme amacıyla hata etki alanı ayırmayı Azure'a boşaltmanızı öneririz.

Diskler

İşletim sistemi ve uygulama bileşenlerini çalıştırmak için depolama diskleri VM'ye eklenir. İşletim sistemi için kısa ömürlü diskler ve veri depolama için yönetilen diskler kullanmayı göz önünde bulundurun.

Azure performans, çok yönlülük ve maliyet açısından çeşitli seçenekler sunar. Çoğu üretim iş yükü için Premium SSD ile başlayın. Seçiminiz VM SKU'sunun seçimine bağlıdır. Premium SSD'yi destekleyen SKU'lar kaynak adında bir s içerir, örneğin Dsv4 ama Dv4 içermez.

Kapasite, IOPS ve aktarım hızı gibi ölçümlere sahip disk seçenekleri hakkında daha fazla bilgi için bkz . Disk türü karşılaştırması.

Disk seçerken disk özelliklerini ve performans beklentilerini göz önünde bulundurun.

• VM SKU sınırlamaları. Diskler, IOPS ve aktarım hızı sınırları olan bağlı oldukları VM içinde çalışır. Diskin VM'nin sınırlarını (veya tam tersini) aşmadığından emin olun. Uygulama bileşenini en iyi şekilde çalıştıran disk boyutunu, performansını ve VM özelliklerini (çekirdek, CPU, bellek) seçin. Maliyeti etkilediği için fazla sağlama yapmaktan kaçının.

• Yapılandırma değişiklikleri. Vm çalışırken bazı disk performansını ve kapasite yapılandırmalarını değiştirebilirsiniz. Ancak, birçok değişiklik için disk içeriğinin yeniden sağlanması ve yeniden oluşturulması gerekebilir ve bu da iş yükü kullanılabilirliğini etkiler. Bu nedenle, kullanılabilirlik etkisini en aza indirmek ve yeniden çalışmak için disk ve VM SKU seçimini dikkatle planlayın.

• Kısa ömürlü işletim sistemi diskleri. İşletim sistemi disklerini geçici diskler olarak sağlayın. Yönetilen diskleri yalnızca işletim sistemi dosyalarının kalıcı olması gerekiyorsa kullanın. Uygulama bileşenlerini ve durumunu depolamak için kısa ömürlü diskler kullanmaktan kaçının.

  Kısa ömürlü işletim sistemi disklerinin kapasitesi seçilen VM SKU'sunun kapasitesine bağlıdır. İşletim sistemi görüntü diskinizin boyutunun SKU'nun kullanılabilir önbelleğinden veya geçici diskinden küçük olduğundan emin olun. Kalan alanı geçici depolama için kullanabilirsiniz.

• Disk performansı. Yoğun yüke dayalı disk alanının önceden sağlanması yaygın bir durumdur, ancak çoğu iş yükü en yüksek yükü sürdürmediğinden az kullanılan kaynaklara yol açabilir.

  ani artışları veya sürekli yüksek okuma işlemlerini not ederek iş yükünüzün kullanım desenlerini izleyin ve bu desenleri VM'nize ve yönetilen disk SKU seçiminize dahil edin.

  Performans katmanlarını değiştirerek veya bazı yönetilen disk SKU'larında sunulan patlama özelliklerini kullanarak performansı ihtiyaca göre ayarlayabilirsiniz.

  Fazla sağlama, ani artış gereksinimini azaltırken, ödeme yaptığınız kullanılmayan kapasiteye yol açabilir. İdeal olarak, en iyi sonuçlar için her iki özelliği de birleştirin.

• İş yükü için önbelleğe almayı ayarlayın. Uygulama bileşeni kullanımına göre tüm diskler için önbellek ayarlarını yapılandırın.

  Çoğunlukla okuma işlemleri gerçekleştiren bileşenler yüksek disk işlem tutarlılığı gerektirmez. Bu bileşenler salt okunur önbellekten faydalanabilir. Yüksek disk işlem tutarlılığı gerektiren yoğun yazma bileşenleri genellikle önbelleğe alma devre dışı bırakılır.

  Vm kilitlenirse ve çoğu veri diski senaryosu için önerilmezse, okuma-yazma önbelleğe alma özelliğinin kullanılması veri kaybına neden olabilir.

Bu mimaride:

• Tüm VM'lerin işletim sistemi diskleri kısa ömürlü olup önbellek diskinde bulunur.

  Ön uç (Linux) ve arka uçtaki (Windows Server) iş yükü uygulaması tek tek VM hatalarına dayanıklıdır ve her ikisi de küçük görüntüler (yaklaşık 30 GB) kullanır. Bu tür öznitelikler, uzak Azure depolama kaynaklarına kaydedilen Kalıcı işletim sistemi diski yerine VM yerel depolamasının (önbellek bölümü) bir parçası olarak oluşturulan Kısa Ömürlü işletim sistemi disklerini kullanmaya uygun olmalarını sağlar. Bu durum işletim sistemi diskleri için depolama maliyetine neden olmaz ve ayrıca daha düşük gecikme süreleri sağlayarak ve VM dağıtım süresini azaltarak performansı artırır.

• Her bir VM'nin kendi Premium SSD P1 yönetilen diski vardır ve iş yükü için uygun temel tahsis edilmiş aktarım hızını sağlar.

Ağ düzeni

Bu mimari, iş yükünü tek bir sanal ağda dağıtır. Ağ denetimleri bu mimarinin önemli bir parçasıdır ve Güvenlik bölümünde açıklanmıştır.

Bu düzen kurumsal topolojiyle tümleştirilebilir. Bu örnek, Bir Azure giriş bölgesindeki Sanal makine temel mimarisinde gösterilir.

Sanal ağ

İlk ağ düzeni kararlarınızdan biri ağ adres aralığıyla ilgilidir. Kapasite planlama aşamasında beklenen ağ büyümesini göz önünde bulundurun. Ağ, büyümeyi sürdürecek kadar büyük olmalıdır ve bu da ek ağ yapıları gerektirebilir. Örneğin, sanal ağın ölçeklendirme işleminden kaynaklanan diğer VM'leri barındıracak kapasiteye sahip olması gerekir.

Buna karşılık, adres alanınızı doğru boyutlandırın. Aşırı büyük bir sanal ağ az kullanıma yol açabilir. Sanal ağ oluşturulduktan sonra adres aralığını değiştiremezsiniz.

Bu mimaride, adres alanı öngörülen büyümeyi temel alan bir karar olan /21 olarak ayarlanır.

Alt ağ konusunda dikkat edilmesi gerekenler

Sanal ağ içinde alt ağlar, burada açıklandığı gibi işlevsellik ve güvenlik gereksinimlerine göre bölünür:

• Ters ara sunucu olarak hizmet veren uygulama ağ geçidini barındırmak için bir alt ağ. Application Gateway için ayrılmış bir alt ağ gerekir.
• Trafiği arka uç VM'lerine dağıtmak için iç yük dengeleyiciyi barındıran bir alt ağ.
• Biri ön uç, diğeri arka uç için olmak üzere iş yükü VM'lerini barındırmak için alt ağlar. Bu alt ağlar uygulamanın katmanlarına göre oluşturulur.
• İş yükü VM'lerine operasyonel erişimi kolaylaştırmak için Azure Bastion konağına yönelik bir alt ağ. Tasarım gereği, Azure Bastion konağı ayrılmış bir alt ağa ihtiyaç duyar.
• Azure Özel Bağlantı üzerinden diğer Azure kaynaklarına erişmek için oluşturulan özel uç noktaları barındırmak için bir alt ağ. Bu uç noktalar için ayrılmış alt ağlar zorunlu olmasa da, bunları öneririz.

Sanal ağlara benzer şekilde alt ağlar da doğru boyutlandırılmalıdır. Örneğin, uygulamanın ölçeklendirme gereksinimlerini karşılamak için Esnek düzenleme tarafından desteklenen en yüksek VM sınırını uygulamak isteyebilirsiniz. İş yükü alt ağları bu sınırı karşılayabilmelidir.

Dikkate alınması gereken bir diğer kullanım örneği de, geçici IP adresleri gerektirebilecek VM işletim sistemi yükseltmeleridir. Doğru boyutlandırma, ağ güvenlik grupları (NSG) aracılığıyla anlamlı güvenlik kurallarının alt ağ sınırlarına uygulanabilmesi için benzer kaynakların gruplandırıldığından emin olarak istediğiniz segmentasyon düzeyini sağlar. Daha fazla bilgi için bkz . Güvenlik: Segmentlere ayırma.

Giriş trafiği

Giriş akışları için iki genel IP adresi kullanılır. Bir adres, ters ara sunucu olarak hizmet veren Application Gateway'e yöneliktir. Kullanıcılar bu genel IP adresini kullanarak bağlanır. Ters proxy, giriş trafiğini sanal makinelerin özel IP'lerine dengeler. Diğer adres, Azure Bastion üzerinden operasyonel erişim içindir.

Bu mimarinin Visio dosyasını indirin.

Çıkış trafiği

Bu mimari, VM örneklerinden tanımlanan giden kurallarıyla standart SKU yük dengeleyici kullanır. Yük Dengeleyici, bölge yedeklemeli olduğundan seçildi.

Bu mimarinin Visio dosyasını indirin.

Bu yapılandırma, vm'ler için giden İnternet bağlantısı sağlamak üzere yük dengeleyicinizin genel IP adreslerini kullanmanıza olanak tanır. Dışarıya giden kurallar, SNAT bağlantı noktalarını açıkça tanımlamanıza olanak tanır. Kurallar, el ile bağlantı noktası ayırma yoluyla bu özelliği ölçeklendirmenize ve ayarlamanıza olanak sağlar. SNAT bağlantı noktasını arka uç havuzu boyutuna ve sayısına frontendIPConfigurations göre el ile ayırma, SNAT tükenmesini önlemeye yardımcı olabilir.

En fazla arka uç birimi sayısına göre bağlantı noktalarını ayırmanızı öneririz. Kalan SNAT bağlantı noktalarından daha fazla örnek eklenirse Sanal Makine Ölçek Kümeleri ölçeklendirme işlemleri engellenebilir veya yeni VM'ler yeterli SNAT bağlantı noktası almaz.

Örnek başına bağlantı noktalarını şu şekilde hesaplayın: Number of front-end IPs * 64K / Maximum number of back-end instances.

Alt ağa bağlı bir Azure NAT Gateway kaynağı dağıtma gibi kullanabileceğiniz başka seçenekler de vardır. Azure Güvenlik Duvarı veya bir başka Ağ Sanal Gerecini, güvenlik duvarı üzerinden bir sonraki atlama olarak özelleştirilmiş kullanıcı tanımlı bir yol (UDR) ile kullanmak bir diğer seçenektir. Bu seçenek, Azure giriş bölgesindeki Sanal makine temel mimarisinde gösterilir.

DNS çözümleme

Azure DNS, iş yükü VM'leriyle ilişkili tam etki alanı adlarını (FQDN) çözümleme gibi tüm çözüm kullanım örnekleri için temel hizmet olarak kullanılır. Bu mimaride VM'ler, Azure DNS olan sanal ağ yapılandırmasında ayarlanan DNS değerlerini kullanır.

Azure özel DNS bölgeleri, adlandırılmış Özel Bağlantı kaynaklarına erişmek için kullanılan özel uç noktalara yönelik istekleri çözümlemek için kullanılır.

İzleme

Bu mimari, iş yükünün işlevselliğinden bağımsız bir izleme yığınına sahiptir. Odak öncelikli olarak veri kaynakları ve koleksiyon yönleridir.

Not

Gözlemlenebilirlik hakkında kapsamlı bir görünüm için bkz . OE:07 İzleme sistemi tasarlama ve oluşturma önerileri.

Ölçümler ve günlükler çeşitli veri kaynaklarında oluşturulur ve çeşitli yüksekliklerde gözlemlenebilirlik içgörüleri sağlar:

• Vm'ler , sanal ağlar ve depolama hizmetleri gibi temel altyapı ve bileşenler dikkate alınır. Azure platform günlükleri, Azure platformundaki işlemler ve etkinlikler hakkında bilgi sağlar.

• Uygulama düzeyi , sisteminizde çalışan uygulamaların performansı ve davranışı hakkında içgörüler sağlar.

Log Analytics çalışma alanı, Azure kaynaklarından ve Application Insights'tan günlükleri ve ölçümleri toplamak için kullanılan önerilen izleme veri havuzudur.

Bu görüntüde altyapıdan ve uygulamadan veri toplamaya yönelik bileşenler, veri havuzları ve analiz ve görselleştirme için çeşitli tüketim araçlarıyla temel için izleme yığını gösterilmektedir. Uygulama Application Insights, VM önyükleme tanılaması ve Log Analytics gibi bazı bileşenleri dağıtır. Panolar ve uyarılar gibi genişletilebilirlik seçeneklerini göstermek için diğer bileşenler gösterilir.

Bu mimarinin Visio dosyasını indirin.

Altyapı düzeyinde izleme

Bu tablo, Azure İzleyici tarafından toplanan günlüklere ve ölçümlere bağlanır. Kullanılabilir uyarılar, kullanıcıları etkilemeden önce sorunları proaktif olarak çözmenize yardımcı olur.

Azure kaynağı	Ölçümler ve günlükler	Uyarılar
Application Gateway	Application Gateway ölçümleri ve günlükleri açıklaması	Application Gateway uyarıları
Uygulama Öngörüleri	Application Insights ölçümleri ve OpenTelemetry API'si	Application Insights uyarıları
Azure Bastion	Azure Bastion ölçümleri
Anahtar Kasası (Key Vault)	Key Vault ölçümleri ve kayıt açıklamaları	Key Vault uyarıları
Standard Yük Dengeleyici	Yük dengeleyici günlükleri ve ölçümleri	Load Balancer uyarıları
Genel IP adresi	Genel IP adresi ölçümleri ve günlükleri açıklaması	Genel IP adresi ölçümleri uyarıları
Sanal Ağ	Sanal ağ ölçümleri ve günlükleri başvuru	Sanal ağ uyarıları
Sanal Makineler ve Sanal Makine Ölçek Kümeleri	VM ölçümleri ve günlükleri başvuru kaynağı	VM uyarıları ve kılavuzlar
Web Uygulaması Güvenlik Duvarı	Web Uygulama Güvenlik Duvarı ölçümleri ve günlüklerinin tanımı	Web Uygulaması Güvenlik Duvarı uyarıları

Ölçümleri ve günlükleri toplama maliyeti hakkında daha fazla bilgi için Log Analytics maliyet hesaplamaları ve seçenekleri ile Log Analytics çalışma alanı fiyatlandırması kısmına bakın. İş yükünün yapısı, toplanan ölçüm ve günlüklerin sıklığı ve sayısı, ölçüm ve günlük toplama maliyetlerini büyük ölçüde etkiler.

Sanal makineler

Azure önyükleme tanılaması , seri günlük bilgileri ve ekran görüntüleri toplanarak önyükleme sırasında VM'lerin durumunu gözlemlemek için etkinleştirilir. Bu mimaride bu verilere Azure portalı ve Azure CLI vm boot-diagnostics get-boot-log komutu aracılığıyla erişilebilir. Verileri Azure yönetir. Altyapısal depolama kaynağına erişiminiz veya denetiminiz yok. Ancak iş gereksinimleriniz daha fazla denetim gerekiyorsa, önyükleme tanılamalarını depolamak için kendi depolama hesabınızı sağlayabilirsiniz.

VM içgörüleri , VM'leri ve ölçek kümelerini izlemek için verimli bir yol sunar. Log Analytics çalışma alanlarından veri toplar ve performans verileri eğilimleri için önceden tanımlanmış çalışma kitapları sağlar. Bu veriler VM başına görüntülenebilir veya birden çok VM arasında toplanabilir.

Application Gateway ve iç yük dengeleyici, trafik göndermeden önce VM'lerin uç nokta durumunu algılamak için sistem durumu yoklamalarını kullanır.

Ağ

Bu mimaride günlük verileri, akışa katılan birkaç ağ bileşeninden toplanır. Bu bileşenler arasında Application Gateway, yük dengeleyiciler ve Azure Bastion bulunur. Sanal ağlar, NSG'ler, genel IP adresleri ve Özel Bağlantı gibi ağ güvenlik bileşenlerini de içerir.

Yönetilen diskler

Disk ölçümleri iş yükünüze bağlıdır ve anahtar ölçümlerin bir karışımını gerektirmektedir. İzleme, işletim sistemi veya uygulama aktarım hızı sorunlarını yalıtmak için bu perspektifleri birleştirmelidir.

• Azure platformu perspektifi, bağlı iş yükünden bağımsız olarak Azure hizmetini gösteren ölçümleri temsil eder. Disk performansı ölçümleri (IOPS ve aktarım hızı), VM'ye bağlı tüm diskler için ayrı ayrı veya toplu olarak görüntülenebilir. Olası disk sınırlandırmaları hakkında sorun giderme ya da uyarı verme için depodaki GÇ (Giriş/Çıkış) kullanım ölçümlerini kullanın. Maliyet optimizasyonu için bursting kullanıyorsanız, daha fazla optimizasyon fırsatlarını belirlemek için kredi yüzdesi metriklerini izleyin.

• Konuk işletim sistemi perspektifi, temel alınan disk teknolojisinden bağımsız olarak iş yükü operatörünün görüntüleyebilecekleri ölçümleri temsil eder. Vm içgörüleri, kullanılan mantıksal disk alanı ve işletim sistemi çekirdeğinin disk IOPS ve aktarım hızı perspektifi gibi ekli disklerdeki önemli ölçümler için önerilir.

Uygulama düzeyinde izleme

Örnek uygulama bunu kullanmasa da, Application Insights genişletilebilirlik amacıyla bir APM aracı olarak sağlanır. Uygulama kodunuzu izlemek ve Log Analytics çalışma alanına veri göndermek için Azure İzleyici OpenTelemetry Distro'nu kullanın. Application Insights bu verileri iş yükü uygulamalarından da görselleştirebilir.

Uygulama sağlığı uzantısı, ölçek kümesindeki her VM örneğinin ikili sağlık durumunu izlemek ve gerekirse, ölçek kümesi otomatik örnek onarımı kullanılarak örnek onarımları gerçekleştirmek için VM'lere dağıtılır. Uygulamanın duyarlı olup olmadığını denetlemek için Application Gateway ve Azure iç yük dengeleyici sistem durum yoklaması ile aynı dosyayı test eder.

Güncelleme yönetimi

VM'lerin iş yükünün güvenlik duruşunu zayıflatmaması için düzenli olarak güncelleştirilmesi ve düzeltme eki yapılması gerekir. Düzeltme eklerinin erken bulunması ve uygulanması için otomatik ve düzenli VM değerlendirmeleri öneririz.

Altyapı güncelleştirmeleri

Azure, sanal makineler için konak altyapısının güvenilirliğini, performansını ve güvenliğini artırmak için platformunu düzenli aralıklarla güncelleştirir. Bu güncelleştirmeler, barındırma ortamındaki yazılım bileşenlerine düzeltme eki uygulamayı, ağ bileşenlerini yükseltmeyi veya donanımları devre dışı bırakmayı ve daha fazlasını içerir. Güncelleştirme işlemi hakkında daha fazla bilgi için bkz. Azure'da sanal makineler için bakım.

Bir güncelleştirme yeniden başlatma gerektirmiyorsa, konak güncelleştirilirken VM duraklatılır veya VM zaten güncelleştirilmiş bir konağa canlı olarak taşınır. Bakım yeniden başlatma gerektiriyorsa, planlı bakımdan haberdar olursunuz. Azure, bakımı sizin için uygun bir şekilde başlatabileceğiniz bir zaman penceresi de sağlar. Kendi kendine bakım penceresi ve kullanılabilir seçenekleri yapılandırma hakkında daha fazla bilgi için bkz. Planlı bakım bildirimlerini işleme.

Bazı iş yükleri, bakım için vm donması veya bağlantısının kesilmesi için birkaç saniye bile dayanamayabilir. Sıfır etkili ve yeniden başlatmasız güncelleştirmeler de dahil olmak üzere tüm bakım etkinlikleri üzerinde daha fazla denetim için bkz . Bakım Yapılandırmaları. Bakım Yapılandırması oluşturmak, tüm platform güncelleştirmelerini atlama ve güncelleştirmeleri size uygun şekilde uygulama seçeneği sunar. Bu özel yapılandırma ayarlandığında Azure, yeniden başlatmasız güncelleştirmeler de dahil olmak üzere sıfırdan etkilenmeyen tüm güncelleştirmeleri atlar. Daha fazla bilgi için bkz . Bakım Yapılandırmaları ile platform güncelleştirmelerini yönetme

İşletim sistemi (OS) görüntü yükseltmeleri

İşletim sistemi yükseltmeleri yaparken test edilmiş altın renkli bir görüntüye sahip olun. Özel görüntülerinizi yayımlamak için Azure Paylaşılan Görüntü Galerisi ve Azure İşlem Galerisi'ne göz önünde bulundurun. Yayımcı tarafından her yeni görüntü yayımlandığında toplu örnekleri sıralı bir şekilde yükselten bir işleminiz olmalıdır.

Yüzey alanını azaltmak için VM görüntülerini kullanım ömrü sonuna ulaşmadan devre dışı bırakın.

Otomasyon süreciniz fazladan kapasite ile fazla sağlamayı hesaba eklemelidir.

Azure Update Management'ı kullanarak Azure'da Windows ve Linux sanal makinelerinizin işletim sistemi güncelleştirmelerini yönetebilirsiniz.Azure Update Manager, Azure, şirket içi ve çoklu bulut ortamlarında Windows ve Linux makinelerine yönelik yazılım güncelleştirmelerini yönetmek ve yönetmek için bir SaaS çözümü sağlar.

Konuk işletim sistemi düzeltme eki yükleme

Azure VM'leri otomatik VM misafiri güncellemesi seçeneğini sağlar. Bu hizmet etkinleştirildiğinde VM'ler düzenli aralıklarla değerlendirilir ve kullanılabilir düzeltme ekleri sınıflandırılır. Bekleyen düzeltme ekleri için günlük değerlendirmeye izin vermek için Değerlendirme Modu'nun etkinleştirilmesi önerilir. Ancak, düzeltme eklerinin uygulanmasını tetiklemeyen isteğe bağlı değerlendirme yapılabilir. Değerlendirme Modu etkin değilse, bekleyen güncelleştirmeleri el ile algılama yöntemlerine sahip olun.

Yalnızca kritik veya güvenlik olarak sınıflandırılan düzeltme ekleri tüm Azure bölgelerine otomatik olarak uygulanır. Diğer düzeltme eklerini uygulayan özel güncelleştirme yönetimi işlemlerini tanımlayın.

Sanal Makine Ölçek Kümelerinde otomatik işletim sistemi görüntüsü düzeltme girişimi gerektir Azure İlkesi'ni idare amacıyla göz önünde bulundurun.

Vm'ler kaynakları kullandığından ve güncelleştirmeler sırasında yeniden başlatabileceğinden otomatik düzeltme eki uygulama sisteme yük oluşturabilir ve kesintiye neden olabilir. Fazla kapasite ayırma, yük yönetimi için tavsiye edilir. Eşzamanlı güncelleştirmeleri önlemek ve yüksek kullanılabilirlik için bölge başına en az iki örneği korumak için vm'leri farklı Kullanılabilirlik Alanları dağıtın. Aynı bölgedeki VM'ler farklı düzeltme ekleri alabilir ve bu düzeltme ekleri zaman içinde uzlaştırılmalıdır.

Fazla sağlama ile ilişkili maliyet tavizinin farkında olun.

Sistem sağlık denetimleri, otomatik VM misafiri yaması dahilindedir. Bu denetimler başarılı düzeltme eki uygulamasını doğrular ve sorunları algılar.

Düzeltme ekleri uygulamak için özel işlemler varsa, düzeltme eki kaynakları için özel depolar kullanın. Bunun yapılması, güncelleştirmenin performansı veya güvenliği olumsuz etkilemediğinden emin olmak için düzeltme eklerini test etmede daha iyi denetim sağlar.

Daha fazla bilgi için bkz: Azure VM'ler için Otomatik VM misafir düzeltme eki uygulaması.

Hususlar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure Well-Architected Framework'ün yapı taşlarını uygular. Daha fazla bilgi için bkz. Microsoft Azure Well-Architected Framework .

Güvenilirlik

Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesini sağlar. Daha fazla bilgi için bkz. Güvenilirlik için tasarım gözden geçirme denetim listesi.

Bu mimari, güvenilirlik sorunlarını gidermek için temel öğe olarak kullanılabilirlik alanlarını kullanır.

Bu kurulumda, tek tek VM'ler tek bir bölgeye bağlanır. Bir hata oluşursa, bu VM'ler Sanal Makine Ölçek Kümeleri kullanılarak diğer VM örnekleriyle kolayca değiştirilebilir.

Bu mimarideki diğer tüm bileşenler şunlardan biridir:

• Bölge yedekliliği, yani, yüksek erişilebilirlik sağlamak amacıyla Application Gateway veya genel IP'ler gibi birden çok bölgede çoğaltılır.
• Bölgeye dirençli, yani Key Vault gibi bölge arızalarına karşı dayanıklıdır.
• Bölgeler arasında veya genel olarak mevcut olan, örneğin Microsoft Entra ID gibi bölgesel ya da genel kaynaklar.

İş yükü tasarımı, uygulama kodu, altyapı ve operasyonlarda güvenilirlik güvencelerini içermelidir. Aşağıdaki bölümlerde, iş yükünün hatalara dayanıklı olduğundan ve altyapı düzeyinde kesintiler olduğunda kurtarabildiğinden emin olmak için bazı stratejiler gösterilmektedir.

Mimaride kullanılan stratejiler, Azure İyi Tasarlanmış Çerçeve'de verilen Güvenilirlik tasarımı gözden geçirme denetim listesini temel alır. Bölümlere bu denetim listesindeki önerilerle açıklama eklenir.

Hiçbir uygulama dağıtılmadığından, uygulama kodundaki dayanıklılık bu mimarinin kapsamının dışındadır. Denetim listesindeki tüm önerileri gözden geçirmenizi ve varsa bunları iş yükünüzde benimsemenizi öneririz.

Kullanıcı akışı başına güvenilirlik güvencelerinin önceliğini belirleme

Çoğu tasarımda, her biri kendi iş gereksinimleri kümesine sahip birden çok kullanıcı akışı vardır. Bu akışların tümü en yüksek düzeyde güvence gerektirmez, bu nedenle güvenilirlik stratejisi olarak segmentlere ayırma önerilir. Her segment bağımsız olarak yönetilebilir ve bir segmentin diğer segmentleri etkilemediğinden emin olabilir ve her katmanda doğru dayanıklılık düzeyini sağlayabilir. Bu yaklaşım ayrıca sistemi esnek hale getirir.

Bu mimaride uygulama katmanları segmentasyonu uygular. Ön uç ve arka uç katmanları için ayrı ölçek kümeleri sağlanır. Bu ayrım, her katmanın bağımsız olarak ölçeklendirilebilmesini sağlayarak tasarım desenlerinin kendi gereksinimlerine ve diğer avantajlarına göre uygulanmasına olanak tanır.

İyi Tasarlanmış Çerçeve: RE:02 - Akışları tanımlama ve derecelendirmeye yönelik öneriler bölümüne bakın.

Olası hata noktalarını belirleme

Her mimari hatalara açıktır. Hata modu analizi alıştırması, hataları tahmin etmenizi ve azaltmalarla hazırlıklı olmanıza olanak tanır. Bu mimarideki bazı olası hata noktaları şunlardır:

Bileşen	Riske	Olasılık	Etki/Önleme/Not	Kesinti
Microsoft Entra Kimlik	Yanlış yapılandırma	Orta	Operasyon kullanıcıları oturum açamıyor. Aşağı akış etkisi yok. Yardım masası yapılandırma sorununu kimlik ekibine bildirir.	Hiçbiri
Application Gateway	Yanlış yapılandırma	Orta	Yanlış yapılandırmalar dağıtım sırasında yakalanmalıdır. Bu hatalar bir yapılandırma güncelleştirmesi sırasında oluşursa DevOps ekibinin değişiklikleri geri alması gerekir. v2 SKU kullanan çoğu dağıtımın sağlanması yaklaşık 6 dakika sürer. Ancak, dağıtım türüne bağlı olarak daha uzun sürebilir. Örneğin, birçok örneği olan birden çok kullanılabilirlik alanında yapılan dağıtımlar 6 dakikadan fazla sürebilir.	Tam
Application Gateway	DDoS saldırısı	Orta	Kesinti olasılığı. Microsoft, DDoS (L3 ve L4) korumasını yönetir. L7 saldırılarından olası etki riski.	Tam
Sanal Makine Ölçek Kümeleri	Hizmet kesintisi	Düşük	Otomatik onarımı tetikleyen iyi durumda olmayan VM örneklerinin varlığı halinde, olası iş yükü kesintisi olabilir. Düzeltme için Microsoft'a bağımlıdır.	Olası kesinti
Sanal Makine Ölçek Kümeleri	Kullanılabilirlik alanı kesintisi	Düşük	Etki yok. Ölçek kümeleri alanlar arası yedekli olarak dağıtılır.	Hiçbiri

İyi Tasarlanmış Çerçeve: RE:03 - Hata modu analizi gerçekleştirme önerileri bölümüne bakın.

Güvenilirlik hedefleri

Tasarım kararları almak için iş yükünün bileşik hizmet düzeyi hedefleri (SLO'lar) gibi güvenilirlik hedeflerini hesaplamak önemlidir. Bunu yapmak için mimaride kullanılan Azure hizmetleri tarafından sağlanan hizmet düzeyi sözleşmelerinin (SLA) anlaşılması gerekir. İş yükü SLO'ları Azure tarafından garanti edilen SLA'lardan yüksek olmamalıdır. VM'lerden ve bağımlılıklarından, ağ ve depolama seçeneklerinden her bileşeni dikkatle inceleyin.

Burada ana hedefin yaklaşık bileşik SLO sağlamak olduğu örnek bir hesaplama verilmiştir. Bu kaba bir yönerge olsa da, benzer bir şeye ulaşmanız gerekir. Mimaride değişiklik yapmazsanız aynı akışlar için en yüksek bileşik SLO'ya sahip olmamanız gerekir.

İşlem akışı

Bileşen	SLO
Microsoft Entra Kimlik	%99,99
Azure Bastion	%99,95

Bileşik SLO: %99,94 | Yıllık kapalı kalma süresi: 0d 5h 15m 20s

Uygulama kullanıcı akışı

Bileşen	SLO (Türkçe)
Application Gateway	%99,95
Azure Load Balancer (dahili)	%99,99
Premium depolama (bileşik SLO) kullanan ön uç VM'ler	99,70%
Premium depolama (bileşik SLO) kullanan arka uç VM'leri	99,70%

Bileşik SLO: %99,34 | Yıllık kapalı kalma süresi: 2d 9h 42m 18s

Yukarıdaki örnekte, VM'lerle ilişkilendirilmiş diskler gibi VM'lerin ve bağımlılıkların güvenilirliği dahil edilir. Disk depolama ile ilişkili SLA'lar genel güvenilirliği etkiler.

Bileşik SLO'nun hesaplanmasında bazı zorluklar vardır. Farklı hizmet katmanlarında farklı SLA'lar olabilir ve bu SLA'lar genellikle güvenilirlik hedeflerini ayarlayan finansal olarak desteklenen garantiler içerir. Son olarak, mimarinin SLA'ları tanımlanmamış bileşenleri olabilir. Örneğin ağ açısından NIC'lerin ve sanal ağların kendi SLA'ları yoktur.

İş gereksinimleri ve hedefleri açıkça tanımlanmalı ve hesaplamaya dahil edilmelidir. Kuruluş tarafından uygulanan hizmet sınırlarına ve diğer kısıtlamalara dikkat edin. Aboneliğinizi diğer iş yükleriyle paylaşmak VM'leriniz için kullanılabilir kaynakları etkileyebilir. İş yükünün sanal makineler için sınırlı sayıda çekirdeği kullanmasına izin verilebilir. Aboneliğinizin kaynak kullanımını anlamak, VM'lerinizi daha etkili bir şekilde tasarlamanıza yardımcı olabilir.

İyi Tasarlanmış Çerçeve: RE:04 - Güvenilirlik hedeflerini tanımlamaya yönelik öneriler bölümüne bakın.

Yedeklilik

Bu mimaride çeşitli bileşenler için alanlar arası yedeklilik kullanılır. Her bölge bağımsız güç, soğutma ve ağ ile bir veya daha fazla veri merkezinden oluşur. Örneklerin ayrı bölgelerde çalıştırılması, uygulamayı veri merkezi hatalarına karşı korur.

• Sanal Makine Ölçek Kümeleri belirtilen sayıda örnek ayırır ve bunları kullanılabilirlik alanları ve hata etki alanları arasında eşit olarak dağıtır. Bu dağıtım, önerdiğimiz maksimum yayılma özelliğiyle elde edilir. VM örneklerinin hata etki alanlarına yayılması, tüm VM'lerin aynı anda güncellenmemesini sağlar.

  Azure bölgenizde üç kullanılabilirlik alanı bulunan bir senaryo düşünün. Üç örneğiniz varsa, her örnek farklı bir kullanılabilirlik alanına ayrılır ve farklı bir hata etki alanına yerleştirilir. Azure, her kullanılabilirlik alanında aynı anda yalnızca bir hata etki alanının güncelleştirildiğini garanti eder. Ancak, üç kullanılabilirlik alanında vm'lerinizi barındıran üç hata etki alanının da aynı anda güncelleştirildiği bir durum olabilir. Tüm bölgeler ve etki alanları etkilenir. Her bölgede en az iki adet örnek (instance) olması, yükseltmeler sırasında bir tampon sağlar.

• Yönetilen diskler yalnızca aynı bölgedeki bir VM'ye eklenebilir. Bunların kullanılabilirliği genellikle VM'nin kullanılabilirliğini etkiler. Tek bölgeli dağıtımlarda diskler, bölgesel hatalara dayanacak şekilde yedeklilik için yapılandırılabilir. Bu mimaride, veri diskleri arka uçtaki VM'lerde alanlar arası yedekli depolama (ZRS) olarak yapılandırılır. Kullanılabilirlik alanlarından yararlanmak için bir kurtarma stratejisi gerekir. Kurtarma stratejisi, çözümü yeniden dağıtmaktır. İdeal olarak, bölgesel bir hatadan kurtarmaya hazır alternatif kullanılabilirlik bölgelerinde işlem kaynaklarını önceden sağlama.

• Alanlar arası yedekli Application Gateway veya standart yük dengeleyici, trafiği tek bir IP adresi kullanarak bölgeler arasındaki VM'lere yönlendirebilir ve bölge hataları olsa bile süreklilik sağlar. Bu hizmetler VM kullanılabilirliğini denetlemek için sistem durumu yoklamalarını kullanır. Bölgedeki bir bölge çalışır durumda kaldığı sürece, diğer bölgelerdeki olası hatalara rağmen yönlendirme devam eder. Ancak bölgeler arası yönlendirme, bölge içi yönlendirmeye kıyasla daha yüksek gecikme süresine sahip olabilir.

  Bu mimaride kullanılan tüm genel IP'ler alanlar arası yedeklidir.

• Azure, Key Vault gibi daha iyi güvenilirlik için alanlar arası dayanıklı hizmetler sunar.

• Azure genel kaynakları her zaman kullanılabilir ve gerekirse temel kimlik sağlayıcısı, Microsoft Entra Kimliği gibi başka bir bölgeye geçebilir.

İyi Tasarlanmış Çerçeve'ye bakın: RE:05 - Yedeklilik Tasarlama için Öneriler.

Ölçeklendirme stratejisi

Hizmet düzeyinde düşüşü ve hataları önlemek için güvenilir ölçeklendirme işlemlerinden emin olun. İş yükünü yatay olarak ölçeklendirin (ölçeği genişletin), dikey olarak ölçeklendirin (ölçeği büyütün) veya her iki yaklaşımın bir bileşimini kullanın. Azure İzleyici Otomatik Ölçeklendirme'yi kullanarak, gerekenden daha fazla kapasite ayırmadan ve gereksiz maliyetler doğurmadan uygulamanızdaki talebi destekleyecek kadar kaynak sağlayın.

Otomatik ölçeklendirme, zaman, zamanlama veya ölçümler gibi farklı olay türlerine göre farklı profiller tanımlamanızı sağlar. Ölçüm tabanlı profiller, bunları toplamak için Azure İzleyici Aracısı'nın yüklenmesini gerektiren yerleşik ölçümleri (konak tabanlı) veya daha ayrıntılı ölçümleri (konuk VM ölçümleri) kullanabilir. Her profil ölçeği genişletme (artırma) ve ölçeği daraltma (azaltma) kuralları içerir. Tasarlanmış profillere göre tüm farklı ölçeklendirme senaryolarını incelemeyi ve bunları bir dizi karşıt ölçek olayına neden olabilecek olası döngü koşulları için değerlendirmeyi göz önünde bulundurun. Azure İzleyici, yeniden ölçeklendirmeden önce soğuma süresini bekleyerek bu durumu azaltmaya çalışır.

Esnek modda Azure Sanal Makine Ölçek Kümeleri heterojen ortamları desteklese de, birden çok profilin otomatik ölçeklendirmesi desteklenmez. Birden fazla VM türüyle otomatik ölçeklendirme kullanmayı planlıyorsanız bunları ayrı ayrı yönetmek için farklı ölçek kümeleri oluşturmayı göz önünde bulundurun.

VM örnekleri oluştururken veya silerken önyükleme, düzgün kapatmalar, iş yükünü ve tüm bağımlılıklarını yükleme ve disk yönetimi gibi diğer yönleri göz önünde bulundurun.

Durumlu iş yükleri, bir iş yükü örneğinden daha uzun süre kalması gereken yönetilen diskler için ek yönetim gerektirebilir. İş yükünün verilerinin tutarlılığını, senkronizasyonunu, çoğaltılmasını ve bütünlüğünü sağlamak için, ölçeklendirme durumları sırasında iş yükünüzü veri yönetimi için tasarlayın. Bu senaryolar için, ölçek kümelerine önceden doldurulmuş diskler eklemeyi göz önünde bulundurun. Verilere erişirken performans sorunlarını önlemek için ölçeklendirmenin kullanıldığı kullanım örnekleri için bölümleme ve parçalama planlayın. Daha fazla bilgi için bkz . Otomatik ölçeklendirme en iyi yöntemleri.

İyi Tasarlanmış Çerçeve: RE:06 - Güvenilir bir ölçeklendirme stratejisi tasarlamaya yönelik öneriler bölümüne bakın.

Kendi kendini iyileştirme ve kurtarılabilirlik

VM hatalarından kurtarmayı otomatikleştirmek için Sanal Makine Ölçek Kümeleri otomatik örnek onarımları etkinleştirilir. Uygulama durumu uzantısı , yanıt vermeyen VM'leri ve uygulamaları algılamayı desteklemek için VM'lere dağıtılır. Bu örnekler için onarım eylemleri otomatik olarak tetiklenir.

İyi Tasarlanmış Çerçeve: Kendini iyileştirme ve kendini koruma önerileri bölümüne bakın.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz. Güvenlik için tasarım gözden geçirme denetim listesi.

Güvenlik yalnızca teknik denetimlere başvurmaz. Güvenlik sütununun operasyonel yönlerini anlamak için denetim listesinin tamamını izlemenizi öneririz.

Segmentlere ayırma

• Ağ segmentasyonu. İş yükü kaynakları, İnternet'ten yalıtım sağlayan bir sanal ağa yerleştirilir. Sanal ağ içinde alt ağlar güven sınırları olarak kullanılabilir. Bir alt ağdaki bir işlemi işlemek için gereken ilgili kaynakları birlikte kullanın. Bu mimaride sanal ağ, uygulamanın mantıksal gruplandırma ve iş yükünün bir parçası olarak kullanılan çeşitli Azure hizmetlerinin amacı temelinde alt ağlara ayrılmıştır.

  Alt ağ segmentasyonu avantajı, güvenlik denetimlerini alt ağ çevresine yerleştirerek trafiğin içeri ve dışarı akışını yönetebilmenizdir ve bu da iş yükü kaynaklarına erişimi kısıtlar.

• Kimlik segmentasyonu. Görevlerini gerçekleştirmek için yeterli izinlere sahip farklı kimliklere ayrı roller atayın. Bu mimari, kaynaklara erişimi segmentlere ayırmak için Microsoft Entra Id tarafından yönetilen kimlikleri kullanır.

• Kaynak segmentasyonu. Uygulama, katmanlara göre ayrı ölçek kümelerine bölünerek uygulama bileşenlerinin bir arada konumlandırılmamasını garanti eder.

İyi Tasarlanmış Çerçeve: SE:04 - Segmentasyon stratejisi oluşturmaya yönelik öneriler bölümüne bakın.

Kimlik ve erişim yönetimi

Hem kullanıcıların hem de hizmetlerin kimlik doğrulaması ve yetkilendirmesi için Microsoft Entra Id'yi öneririz.

VM'lere erişim, Microsoft Entra Id kimlik doğrulaması tarafından denetlenen ve güvenlik grupları tarafından yedeklenen bir kullanıcı hesabı gerektirir. Bu mimari, tüm VM'lere Microsoft Entra ID kimlik doğrulama uzantısı dağıtılarak destek sağlar. İnsan kullanıcıların kurumsal kimliklerini kuruluşlarının Microsoft Entra ID kiracısında kullanmalarını öneririz. Ayrıca, hizmet sorumlusu tabanlı erişimin işlevler arasında paylaşılmadığından emin olun.

VM'ler gibi iş yükü kaynakları, diğer kaynaklara atanan yönetilen kimliklerini kullanarak kimliklerini doğrular. Microsoft Entra Kimlik Hizmetleri Principal'larına dayanan bu kimlikler otomatik olarak yönetilmektedir.

Örneğin, Key Vault uzantıları VM'lere yüklenir ve bu da vm'leri yerinde sertifikalarla önyükler. Bu mimaride kullanıcı tarafından atanan yönetilen kimlikler Application Gateway, ön uç VM'ler ve arka uç VM'leri tarafından Key Vault'a erişmek için kullanılır. Bu yönetilen kimlikler dağıtım sırasında yapılandırılır ve Key Vault'ta kimlik doğrulaması için kullanılır. Key Vault'ta erişim ilkeleri yalnızca önceki yönetilen kimliklerden gelen istekleri kabul etmek üzere yapılandırılır.

Temel mimari, sistem tarafından atanan ve kullanıcı tarafından atanan yönetilen kimliklerin bir karışımını kullanır. Bu kimlikler, diğer Azure kaynaklarına erişirken yetkilendirme amacıyla Microsoft Entra Id kullanmak için gereklidir.

İyi Tasarlanmış Çerçeve: SE:05 - Kimlik ve erişim yönetimi önerileri'ne bakın.

Ağ denetimleri

• Giriş trafiği. İş yükü VM'leri doğrudan genel İnternet'e açık değildir. Her VM'nin bir özel IP adresi vardır. İş yükü kullanıcıları Application Gateway'in genel IP adresini kullanarak bağlanır.

  Application Gateway ile tümleştirilmiş Web Uygulaması Güvenlik Duvarı aracılığıyla daha fazla güvenlik sağlanır. Gelen trafiği inceleyen ve uygun eylemleri gerçekleştirebilen kuralları vardır. WAF, bilinen saldırıları engelleyen Open Web Application Security Project (OWASP) güvenlik açıklarını izler.

• Çıkış trafiği. VM alt ağlarındaki giden NSG kuralları dışında, giden trafik üzerinde herhangi bir denetim yoktur. Tüm giden İnternet trafiğinin tek bir güvenlik duvarı üzerinden akmasını öneririz. Bu güvenlik duvarı genellikle bir kuruluş tarafından sağlanan merkezi bir hizmettir. Bu kullanım örneği, Azure giriş bölgesindeki Sanal makine temel mimarisinde gösterilir.

• Doğu-batı trafiği. Alt ağlar arasındaki trafik akışı ayrıntılı güvenlik kuralları uygulanarak kısıtlanır.

  Ağ güvenlik grupları (NSG), IP adresi aralığı, bağlantı noktaları ve protokoller gibi parametrelere göre alt ağlar arasındaki trafiği kısıtlamak için yerleştirilir. Uygulama güvenlik grupları (ASG), ön uç ve arka uç VM'lerine yerleştirilir. Vm'lere gelen ve sanal makinelerden gelen trafiği filtrelemek için NSG'lerle birlikte kullanılırlar.

• İşletimsel trafik. Bir iş yüküne güvenli işletimsel erişimin Azure Bastion aracılığıyla sağlanmasını öneririz ve bu da genel IP gereksinimini ortadan kaldırır. Bu mimaride, bu iletişim SSH üzerinden yapılır ve hem Windows hem de Linux VM'leri tarafından desteklenir. Microsoft Entra Id, ilgili VM uzantısı kullanılarak her iki VM türü için de SSH ile tümleşiktir. Bu tümleştirme, bir operatörün kimliğinin Microsoft Entra Kimliği aracılığıyla doğrulanıp yetkilendirilmesini sağlar.

  Alternatif olarak, tercih ettiğiniz yönetici ve sorun giderme araçlarını yükleyebileceğiniz kendi alt aklarına dağıtılan atlama kutusu olarak ayrı bir VM kullanın. Operatör, Azure Bastion sunucusu üzerinden atlama kutusuna erişir. Daha sonra, atlama kutusundan yük dengeleyicinin arkasındaki VM'lere giriş yaparlar.

  Bu mimaride işletimsel trafik, trafiği kısıtlamak için NSG kuralları kullanılarak korunur ve VM'lerde tam zamanında (JIT) VM erişimi etkinleştirilir. bu Bulut için Microsoft Defender özelliği, seçili bağlantı noktalarına geçici olarak gelen erişime izin verir.

  Gelişmiş güvenlik için Microsoft Entra Privileged Identity Management (PIM) kullanın. PIM, Microsoft Entra Id'de kuruluşunuzdaki önemli kaynakları yönetmenize, denetlemenize ve izlemenize olanak tanıyan bir hizmettir. PIM, önemsediğiniz kaynaklardaki aşırı, gereksiz veya yanlış erişim izinlerinin risklerini azaltmak için zamana dayalı ve onay tabanlı rol etkinleştirmesi sağlar.

• Platform hizmeti (PaaS) servislerine özel bağlantı. VM'ler ve Key Vault arasındaki iletişim Özel Bağlantı üzerinden gerçekleştirilmektedir. Bu hizmet, ayrı bir alt ağa yerleştirilmiş özel uç noktalar gerektirir.

• DDoS koruması. Tehditleri algılamak için Application Gateway ve Azure Bastion Konağı tarafından kullanıma sunulan genel IP'lerde Azure DDoS Koruması'nı etkinleştirmeyi göz önünde bulundurun. DDoS Koruması ayrıca İzleyici aracılığıyla uyarı, telemetri ve analiz sağlar. Daha fazla bilgi için bkz . Azure DDoS Koruması: En iyi yöntemler ve başvuru mimarileri.

İyi Tasarlanmış Çerçeve: SE:06 - Ağ ve bağlantı önerileri'ne bakın.

Şifreleme

• Aktarım halindeki veriler. Kullanıcılar ve Application Gateway genel IP'leri arasındaki kullanıcı trafiği dış sertifika kullanılarak şifrelenir. Uygulama ağ geçidi ile ön uç VM'leri arasındaki ve ön uç ile arka uç VM'leri arasındaki trafik bir iç sertifika kullanılarak şifrelenir. Her iki sertifika da Key Vault'ta depolanır:

  • app.contoso.com: İstemciler ve Application Gateway tarafından ortak İnternet trafiğinin güvenliğini sağlamak için kullanılan bir dış sertifika.
  • *.workload.contoso.com: Altyapı bileşenleri tarafından güvenli iç trafik için kullanılan wildcard sertifikası.

• Beklemedeki veri. Günlük verileri VM'lere bağlı bir yönetilen diskte depolanır. Bu veriler, Azure'da platform tarafından sağlanan şifreleme kullanılarak otomatik olarak şifrelenir.

İyi Tasarlanmış Çerçeve: SE:07 - Veri şifreleme önerileri'ne bakın.

Gizli yönetimi

Bu mimarinin Visio dosyasını indirin.

Key Vault , TLS sertifikaları da dahil olmak üzere gizli dizilerin güvenli bir şekilde yönetilmesini sağlar. Bu mimaride TLS sertifikaları Key Vault'ta depolanır ve sağlama işlemi sırasında Application Gateway ve VM'lerin yönetilen kimlikleri tarafından alınır. İlk kurulumdan sonra, bu kaynaklar yalnızca sertifikalar yenilendiğinde Key Vault'a erişir.

VM'ler, izlenen sertifikaları otomatik olarak yenilemek için Key Vault VM uzantısını kullanır. Yerel sertifika deposunda herhangi bir değişiklik algılanırsa, uzantı ilgili sertifikaları Key Vault'tan alır ve yükler. Uzantı, PKCS #12 ve PEM sertifika içerik türlerini destekler.

Önemli

Yerel olarak depolanan sertifikalarınızın düzenli olarak döndürülmesini sağlamak sizin sorumluluğunuzdadır. Daha fazla bilgi için bkz . Linux için Azure Key Vault VM uzantısı veya Windows için Azure Key Vault VM uzantısı.

İyi Tasarlanmış Çerçeve: SE:09 - Uygulama sırlarını korumaya yönelik öneriler bölümüne bakın.

Maliyet İyileştirmesi

Maliyet İyileştirme, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını gözden geçmektir. Daha fazla bilgi için bkz. Maliyet İyileştirmeiçin tasarım gözden geçirme denetim listesi.

Bileşen maliyeti

Genel amaçlı görüntüler kullanmak yerine iş yükü için en iyi duruma getirilmiş VM görüntülerini seçin. Bu mimaride, hem Windows hem de Linux için her birinde 30 GB olan nispeten küçük VM görüntüleri seçilir. Daha küçük görüntülerle, diskleri olan VM SKU'ları da daha küçüktür ve maliyetlerin düşmesine, kaynak tüketiminin azalmasına ve daha hızlı dağıtım ve önyükleme sürelerine yol açar. Bir avantaj, azaltılmış yüzey alanı nedeniyle gelişmiş güvenliktir.

Boyut sınırlarıyla kayıt döndürme uygulamak, maliyet tasarrufu sağlayan başka bir stratejidir. Küçük veri disklerinin kullanılmasına olanak tanır ve bu da maliyetlerin düşmesine neden olabilir. Bu mimarinin uygulanması 4 GB diskler kullanır.

Kısa ömürlü işletim sistemi disklerinin kullanılması da maliyet tasarrufu ve gelişmiş performansa yol açabilir. Bu diskler, VM ile sağlanan önbellek diskine yüklendiklerinden, zaten ödeme yaptığınız VM kaynaklarını kullanacak şekilde tasarlanmıştır. Geleneksel kalıcı disklerle ilişkili depolama maliyetlerini ortadan kaldırır. Bu diskler geçici olduğundan, uzun süreli veri depolama ile ilişkili maliyet yoktur.

İyi Tasarlanmış Çerçeve: CO:07 - Bileşen maliyetlerini iyileştirmeye yönelik öneriler bölümüne bakın.

Akış maliyeti

Akışın kritikliğine göre işlem kaynaklarını seçin. Belirsiz bir uzunluğu tolere etmek üzere tasarlanmış akışlar için, Sanal Makine Ölçek Kümeleri Esnek düzenleme moduna sahip spot VM'leri kullanmayı göz önünde bulundurun. Bu yaklaşım, düşük öncelikli VM'lerde düşük öncelikli akışları barındırmak için etkili olabilir. Bu strateji, farklı akışların gereksinimlerini karşılamaya devam ederken maliyet iyileştirmesine olanak tanır.

İyi Tasarlanmış Çerçeve: CO:09 - Akış maliyetlerini iyileştirmeye yönelik öneriler bölümüne bakın.

Ölçeklendirme maliyeti

Ana maliyet sürücüsü örnek sayısıysa VM'lerin boyutunu veya performansını artırarak ölçeği artırmak daha uygun maliyetli olabilir. Bu yaklaşım birkaç alanda maliyet tasarrufuna yol açabilir:

• Yazılım lisansı. Daha büyük VM'ler daha fazla iş yükü işleyebilir ve bu da gerekli yazılım lisanslarının sayısını azaltabilir.
• Bakım süresi: Daha az, daha büyük VM'ler operasyonel maliyetleri azaltabilir.
• Yük dengeleme: Daha az VM, yük dengeleme maliyetlerinin düşmesine neden olabilir. Örneğin, bu mimaride öndeki bir uygulama ağ geçidi ve ortada iç yük dengeleyici gibi birden çok yük dengeleme katmanı vardır. Daha fazla sayıda örneğin yönetilmesi gerekiyorsa yük dengeleme maliyetleri artar.
• Disk depolama alanı. Durum bilgisi olan uygulamalar varsa, daha fazla örneklere daha fazla bağlı yönetilen disk gerektiğinden depolama maliyeti artar.

İyi Tasarlanmış Çerçeve: CO:12 - Ölçeklendirme maliyetlerini iyileştirmeye yönelik öneriler bölümüne bakın.

operasyonel maliyetler

Otomatik VM konuk sistem yamalama, manuel yamalama yükünü ve ilişkili bakım maliyetlerini azaltır. Bu eylem sistemin daha güvenli hale getirmesine yardımcı olmakla kalmaz, aynı zamanda kaynak ayırmayı iyileştirerek genel maliyet verimliliğine katkıda bulunur.

İyi Tasarlanmış Çerçeve: CO:13 - Personel zamanını optimize etmeye yönelik öneriler bölümüne bakın.

Bu senaryoyu dağıtın

GitHub’da bu başvuru mimarisine yönelik bir dağıtıma ulaşılabilir.

Uygulama: Azure Sanal Makineler temel mimarisi

İlgili kaynaklar

Belirli Azure hizmetleriyle ilgili ayrıntılar için ürün belgelerine bakın:

• Azure Sanal Makineler
• Azure Sanal Makine Ölçek Kümeleri
• Azure Sanal Ağ
• Azure Application Gateway Standard_v2
• Azure Load Balancer
• Azure Key Vault
• Azure Bastion
• Application Insights
• Log Analytics

Sonraki adım

Veri katmanı seçeneklerini gösteren IaaS başvuru mimarilerini gözden geçirin:

• Azure'da SQL Server kullanan Windows N katmanlı uygulama

Bu makale, Azure Sanal Makineler'de dağıtılan bir iş yükü için temel başvuru mimarisi sağlar.

Bu mimari tarafından varsayılan örnek iş yükü, ayrı sanal makine kümelerine (VM) dağıtılan, İnternet'e yönelik çok katmanlı bir web uygulamasıdır. VM'ler Azure Sanal Makine Ölçek Kümeleri dağıtımlarının bir parçası olarak sağlanır. Bu mimari şu senaryolar için kullanılabilir:

• Özel uygulamalar. Bu uygulamalar dahili iş kolu uygulamalarını veya ticari kullanıma açık çözümleri içerir.
• Genel uygulamalar. Bu uygulamalar İnternet'e yönelik uygulamalardır. Bu mimari yüksek performanslı bilgi işlem, görev açısından kritik iş yükleri, gecikme süresinden yüksek oranda etkilenen uygulamalar veya diğer özel kullanım örnekleri için değildir.

Bu mimarinin birincil odağı uygulama değildir. Bunun yerine, bu makalede uygulamanın etkileşimde bulunduğu altyapı bileşenlerini yapılandırmaya ve dağıtmaya yönelik yönergeler sağlanır. Bu bileşenler arasında işlem, depolama, ağ ve izleme bileşenleri bulunur.

Bu mimari, hizmet olarak altyapı (IaaS) tarafından barındırılan iş yükü için başlangıç noktası görevi görür. Veri katmanı, işlem altyapısına odaklanmayı sağlamak için bilerek bu kılavuzun dışında tutulur.

Makale düzeni

Mimari	Tasarım kararı	İyi Tasarlanmış Çerçeve yaklaşımı
▪ Mimari diyagramı ▪ İş yükü kaynakları ▪ Destekleyici kaynaklar ▪ Kullanıcı akışları	▪ VM tasarım seçenekleri ▪ Disk ▪ Ağ İletişimi ▪ Izleme ▪ Güncelleştirme yönetimi	▪ Güvenilirlik ▪ Güvenlik ▪ Maliyet İyileştirme

İpucu

Bu başvuru uygulaması , bu makalede açıklanan en iyi yöntemleri gösterir. Uygulama, altyapı kurulumunu uçtan uca test etmek için küçük bir test iskeleti içeren bir uygulamayı da kapsamaktadır.

Mimari

Bu mimarinin Visio dosyasını indirin.

Bu kaynaklar hakkında daha fazla bilgi için İlgili kaynaklar bölümünde listelenen Azure ürün belgelerine bakın.

Bileşenler

Bu mimari hem iş yükü kaynakları hem de iş yükü destekleyen kaynaklar için çeşitli Azure hizmetlerinden oluşur. Her birinin ve rollerinin hizmetleri aşağıdaki bölümlerde açıklanmıştır.

İş yükü kaynakları

• Azure Sanal Makineler , ölçeklenebilir işlem kaynakları sağlayan bir IaaS teklifidir. Bu mimaride VM'ler hem Windows hem de Linux iş yükleri için kullanılabilirlik alanları arasında ölçeklenebilir ve dağıtılmış işleme sağlar.

  Azure Sanal Makine Ölçek Kümeleri , bir grup özdeş VM'nin otomatik dağıtımını, ölçeklendirmesini ve yönetimini sağlayan bir hizmettir. Bu mimaride, Esnek düzenleme modunu kullanarak ön uç ve arka uç işlem kaynaklarını sağlar ve korur.

  Örnek uygulama iki katman kullanır ve her katman kendi işlemini gerektirir.

  • Ön uç web sunucusunu çalıştırır ve kullanıcı isteklerini alır.
  • Arka uç, iş mantığının çalıştığı tek bir uç noktayı kullanıma sunan bir web API'si olarak çalışan başka bir web sunucusu çalıştırır.

  Ön uç VM'lere bağlanmış veri diskleri (Premium_LRS) bulunmakta olup, bunlar durum bilgisi olmayan bir uygulama dağıtmak için kullanılabilir. Arka uçtaki VM'ler, işleminin bir parçası olarak Premium_ZRS yerel disklerine verileri kalıcı hale getirmektedir. Bu düzeni, ön uç ve arka uç işlemlerinden durum depolamak için bir veritabanı katmanı içerecek şekilde genişletebilirsiniz. Bu katman bu mimarinin kapsamı dışındadır.

• Azure Sanal Ağ, Azure kaynaklarıyla şirket içi ortamlar arasında güvenli iletişim sağlayan bir ağ hizmetidir. Bu mimaride, güvenlik ve trafik denetimi için kaynakları alt ağlara ayırır.

• Azure Application Gateway , web uygulamalarınıza gelen trafiği yönetmenizi sağlayan bir web trafiği katman 7 yük dengeleyicidir. İstekleri ön uç sunucularına yönlendiren tek giriş noktasıdır. Bu mimaride, ön uç VM'lere yönelik trafiği dengeler ve koruma için bir web uygulaması güvenlik duvarı (WAF) içerir.

• Azure Load Balancer , Kullanıcı Veri Birimi Protokolü (UDP) ve İletim Denetimi Protokolü (TCP) trafiği için bir katman 4 yük dengeleme hizmetidir. Bu mimaride genel yük dengeleyici giden trafiği dağıtır ve kaynak ağ adresi çevirisini (SNAT) destekler. İç yük dengeleyici, sanal ağ içinde yüksek kullanılabilirlik ve ölçeklenebilirlik sağlamak için trafiği ön uç katmanından arka uç sunucularına yönlendirir.

  Standart SKU, üç genel IP adresi kullanarak VM'lere giden İnternet erişimi sağlar.

• Azure Key Vault gizli dizileri, anahtarları ve sertifikaları yönetmeye yönelik bir hizmettir. Bu mimaride, Application Gateway'in kullandığı Aktarım Katmanı Güvenliği (TLS) sertifikalarını depolar. Ayrıca VM'lere sertifika yüklemek veya VM'lere dağıtılan koda göre uygulama gizli dizilerini almak için de kullanılabilir.

İş yükü destekleyici kaynaklar

• Azure Bastion , genel IP adreslerini kullanıma sunmadan VM'lere Uzak Masaüstü Protokolü (RDP) ve Secure Shell (SSH) erişimi sağlayan yönetilen bir hizmettir. Bu mimaride, ayrılmış bir alt ağ üzerinden VM'lere tam zamanında işletimsel erişim sağlar.

• Application Insights kullanılabilirlik, performans ve kullanım analizi için telemetri toplayan bir uygulama performans yönetimi (APM) hizmetidir. Bu mimaride, gelecekteki uygulama telemetrisi için hazır bir uç nokta olarak dağıtılır. Ancak, uygulama katmanı kapsam dahilinde olmadığından, referans uygulama özel uygulama günlüklerini yaymaz veya toplamaz.

• Log Analytics , Kusto Sorgu Dili ile sorgulanan ölçümler ve günlükler için merkezi bir telemetri deposudur. Bu mimaride analiz, uyarı ve panolar için platform günlüklerini, VM içgörü verilerini ve Application Insights telemetri verilerini toplayan izleme veri havuzu görevi görür. Çalışma alanının bir parçası olarak bir depolama hesabı sağlanır.

Kullanıcı akışları

İş yükü kaynaklarıyla etkileşim kuran iki tür kullanıcı vardır: iş yükü kullanıcısı ve operatörü. Bu kullanıcılara yönelik akışlar önceki mimari diyagramında gösterilir.

İş yükü kullanıcısı

1. Kullanıcı, Application Gateway'in kullanıma sunulan genel IP adresini kullanarak web sitesine erişir.

2. Application Gateway HTTPS trafiğini alır, WAF incelemesi için bir dış sertifika kullanarak verilerin şifresini çözer ve ön uca aktarım için iç joker sertifikayı kullanarak verileri yeniden şifreler.

3. Application Gateway, ön uç VM'ler arasında trafiği dengeler ve isteği ön uç VM'sine iletir.

4. Seçilen ön uç VM,herhangi bir vm'nin IP'sini değil yük dengeleyicinin özel IP adresini kullanarak arka uç VM'sine iletişim kurar. Bu iletişim ayrıca iç joker sertifika kullanılarak şifrelenir.

5. Arka uç VM, iç sertifikayı kullanarak isteğin şifresini çözer. Arka uç isteği işledikten sonra, sonucu uygulama ağ geçidine döndüren ön uca döndürür ve son olarak da sonucu kullanıcıya döndürür.

Operatör

Bu mimarideki VM'ler işleçler tarafından doğrudan erişim gerektirebilir, ancak uzaktan erişimin otomasyon aracılığıyla en aza indirilmesi ve erişimin izlenmesi önerilir. Erişim, hata düzeltme durumları, sorun giderme veya otomatik dağıtım işleminin bir parçası olabilir. Bu mimarinin denetim düzlemi erişimi için genel IP'leri yoktur. Azure Bastion sunucusuz bir ağ geçidi işlevi görerek işlemlerin SSH veya RDP aracılığıyla VM'lere erişmesini sağlar. Bu kurulum, güvenli ve verimli erişim yönetimi sağlar.

1. Operatör Azure portalında veya Azure CLI'da oturum açar.
2. Operatör Azure Bastion hizmetine erişir ve istenen VM'ye uzaktan bağlanır.

VM tasarım seçenekleri

SKU'ları seçerken temel performans beklentisine sahip olmak önemlidir. Aşağıdakiler dahil olmak üzere çeşitli özellikler karar alma sürecini etkiler:

• Saniye başına CPU, bellek ve disk giriş/çıkış işlemleri (IOPS).
• İşlemci mimarisi.
• İşletim Sistemi (İS) görüntü boyutu.

Örneğin, bir iş yükünü Intel işlemci makineleri gerektiren bir şirket içi ortamdan geçiriyorsanız Intel işlemcileri destekleyen VM SKU'larını seçin.

Desteklenen VM SKU'ları hakkında bilgi için bkz. Azure'daki sanal makineler için boyutlar.

Önyükleme

VM'lerin genellikle önyüklenmesi gerekir. Bu, vm'lerin uygulamayı çalıştırmak için hazırlandığı ve ayarlandığı bir işlemdir. Yaygın önyükleme görevleri şunlardır: sertifika yükleme, uzaktan erişimi yapılandırma, paketleri yükleme, işletim sistemi yapılandırmasını ayarlama ve sağlamlaştırma ve veri disklerini biçimlendirme ve bağlama. Uygulamanın VM'de gecikmeden veya el ile müdahale olmadan başlayabilmesi için önyükleme işlemini mümkün olduğunca otomatikleştirmek önemlidir. Otomasyon için öneriler şunlardır:

• Sanal makine uzantıları. Bu uzantılar, Kod Olarak Altyapı (IaC) dağıtımınız aracılığıyla yönetilen Azure Resource Manager nesneleridir. Bu şekilde, herhangi bir hata, üzerinde işlem yapabileceğiniz başarısız bir dağıtım olarak bildirilir. Önyükleme gereksinimleriniz için bir uzantı yoksa özel betikler oluşturun. Betikleri Azure Özel Betik Uzantısı aracılığıyla çalıştırmanız önerilir.

  Vm'lere işlevselliği otomatik olarak yüklemek veya yapılandırmak için kullanılabilecek bazı diğer uzantılar aşağıdadır.

  • Azure İzleyici Aracısı (AMA), konuk işletim sisteminden izleme verilerini toplar ve Azure İzleyici'ye teslim eder.
  • Azure Özel Betik Uzantısı (Windows, Linux) Sürüm 2, Azure sanal makinelerinde (VM) betikleri indirir ve çalıştırır. Bu uzantı dağıtım sonrası yapılandırmayı, yazılım yüklemesini veya diğer yapılandırma veya yönetim görevlerini otomatikleştirmek için kullanışlıdır.
  • Azure Key Vault sanal makine uzantısı (Windows, Linux), değişiklikleri algılayarak ve karşılık gelen sertifikaları yükleyerek Bir Key Vault'ta depolanan sertifikaların otomatik olarak yenilenmesini sağlar.
  • Azure Sanal Makine Ölçek Kümeleri otomatik sıralı yükseltmeler gerçekleştirirken, Sanal Makine Ölçek Kümeleri ile Uygulama Durumu uzantısı önemlidir. Azure, güncellemeleri gerçekleştirmek için bireysel örneklerin sağlık izlemesine dayanır. Uzantıyı, ölçek kümenizdeki her örneğin uygulama durumunu izlemek ve Otomatik Örnek Onarımları'nı kullanarak örnek onarımları gerçekleştirmek için de kullanabilirsiniz.
  • Microsoft Entra ID ve OpenSSH (Windows, Linux), Microsoft Entra kimlik doğrulaması ile tümleşir. Artık Microsoft Entra Id ve OpenSSH sertifika tabanlı kimlik doğrulamasını kullanarak Linux VM'de SSH için çekirdek kimlik doğrulama platformu ve sertifika yetkilisi olarak Microsoft Entra Id kullanabilirsiniz. Bu işlevsellik, Azure rol tabanlı erişim denetimi (Azure RBAC) ve Koşullu Erişim ilkeleriyle VM'lere erişimi yönetmenizi sağlar.

• Aracı tabanlı yapılandırma. Linux VM'leri, Azure tarafından sağlanan çeşitli VM görüntülerinde cloud-init aracılığıyla kullanılabilen basit bir yerel istenen durum yapılandırması kullanabilir. Yapılandırma, IaC yapıtlarınızla belirtilir ve sürümü oluşturulur. Kendi yapılandırma yönetimi çözümünüzü getirmek başka bir yoldur. Çoğu çözüm, önyükleme için deklaratif öncelikli yaklaşımını benimser, ancak esneklik için özel betikleri destekler. Popüler seçenekler arasında Windows için İstenen Durum Yapılandırması, Linux için İstenen Durum Yapılandırması, Ansible, Chef, Puppet ve diğerleri bulunur. Her ikisinin de en iyi deneyimi için bu yapılandırma çözümlerinin tümü VM uzantılarıyla eşleştirilebilir.

Başvuru uygulamasında tüm önyükleme, veri diski biçimlendirmesini otomatikleştirmeye ve bağlamaya yönelik özel bir betik de dahil olmak üzere VM uzantıları ve özel betikler aracılığıyla gerçekleştirilir.

İyi Tasarlanmış Çerçeve: RE:02 - Otomasyon tasarımı için öneriler bölümüne bakın.

VM bağlantısı

Vm ile belirli bir sanal ağdaki diğer cihazlar arasında özel iletişimi etkinleştirmek için VM'nin ağ arabirim kartı (NIC), sanal ağın alt ağlarından birine bağlanır. VM'niz için birden çok NIC'ye ihtiyacınız varsa, her VM boyutu için en fazla sayıda NIC'nin tanımlandığını bilin.

İş yükünün sanal ağdaki VM'ler arasında düşük gecikme süreli iletişime ihtiyacı varsa, Azure VM NIC'leri tarafından desteklenen hızlandırılmış ağ iletişimi kullanmayı göz önünde bulundurun. Daha fazla bilgi için bkz . Hızlandırılmış ağın avantajları.

Esnek orkestrasyon ile Sanal Makine Ölçek Kümeleri

VM'ler, Esnek düzenleme ile Sanal Makine Ölçek Kümelerinin bir parçası olarak sağlanır. Sanal Makine Ölçek Kümeleri, iş gereksinimlerini karşılamak için kullanılan VM'lerin mantıksal gruplandırmasıdır. Gruplandırmadaki VM türleri aynı veya farklı olabilir. Standart Azure VM API'lerini ve komutlarını kullanarak makinelerin, ağ arabirimlerinin ve disklerin yaşam döngüsünü yönetmenize olanak tanır.

Esnek düzenleme modu, büyük ölçekte işlemleri kolaylaştırır ve ayrıntılı ölçeklendirme kararlarına yardımcı olur.

Fiziksel donanım hatalarının, ağ kesintilerinin veya güç kesintilerinin etkisini sınırlamak için hata etki alanı yapılandırması gereklidir. Ölçek kümeleriyle Azure, tek bir donanım veya altyapı sorununa karşı dayanıklılık için örnekleri hata etki alanlarına eşit olarak dağıtır.

Maksimum örnek yayma, dayanıklılığı ve kullanılabilirliği geliştirme amacıyla hata etki alanı ayırmayı Azure'a boşaltmanızı öneririz.

Diskler

İşletim sistemi ve uygulama bileşenlerini çalıştırmak için depolama diskleri VM'ye eklenir. İşletim sistemi için kısa ömürlü diskler ve veri depolama için yönetilen diskler kullanmayı göz önünde bulundurun.

Azure performans, çok yönlülük ve maliyet açısından çeşitli seçenekler sunar. Çoğu üretim iş yükü için Premium SSD ile başlayın. Seçiminiz VM SKU'sunun seçimine bağlıdır. Premium SSD'yi destekleyen SKU'lar kaynak adında bir s içerir, örneğin Dsv4 ama Dv4 içermez.

Kapasite, IOPS ve aktarım hızı gibi ölçümlere sahip disk seçenekleri hakkında daha fazla bilgi için bkz . Disk türü karşılaştırması.

Disk seçerken disk özelliklerini ve performans beklentilerini göz önünde bulundurun.

• VM SKU sınırlamaları. Diskler, IOPS ve aktarım hızı sınırları olan bağlı oldukları VM içinde çalışır. Diskin VM'nin sınırlarını (veya tam tersini) aşmadığından emin olun. Uygulama bileşenini en iyi şekilde çalıştıran disk boyutunu, performansını ve VM özelliklerini (çekirdek, CPU, bellek) seçin. Maliyeti etkilediği için fazla sağlama yapmaktan kaçının.

• Yapılandırma değişiklikleri. Vm çalışırken bazı disk performansını ve kapasite yapılandırmalarını değiştirebilirsiniz. Ancak, birçok değişiklik için disk içeriğinin yeniden sağlanması ve yeniden oluşturulması gerekebilir ve bu da iş yükü kullanılabilirliğini etkiler. Bu nedenle, kullanılabilirlik etkisini en aza indirmek ve yeniden çalışmak için disk ve VM SKU seçimini dikkatle planlayın.

• Kısa ömürlü işletim sistemi diskleri. İşletim sistemi disklerini geçici diskler olarak sağlayın. Yönetilen diskleri yalnızca işletim sistemi dosyalarının kalıcı olması gerekiyorsa kullanın. Uygulama bileşenlerini ve durumunu depolamak için kısa ömürlü diskler kullanmaktan kaçının.

  Kısa ömürlü işletim sistemi disklerinin kapasitesi seçilen VM SKU'sunun kapasitesine bağlıdır. İşletim sistemi görüntü diskinizin boyutunun SKU'nun kullanılabilir önbelleğinden veya geçici diskinden küçük olduğundan emin olun. Kalan alanı geçici depolama için kullanabilirsiniz.

• Disk performansı. Yoğun yüke dayalı disk alanının önceden sağlanması yaygın bir durumdur, ancak çoğu iş yükü en yüksek yükü sürdürmediğinden az kullanılan kaynaklara yol açabilir.

  ani artışları veya sürekli yüksek okuma işlemlerini not ederek iş yükünüzün kullanım desenlerini izleyin ve bu desenleri VM'nize ve yönetilen disk SKU seçiminize dahil edin.

  Performans katmanlarını değiştirerek veya bazı yönetilen disk SKU'larında sunulan patlama özelliklerini kullanarak performansı ihtiyaca göre ayarlayabilirsiniz.

  Fazla sağlama, ani artış gereksinimini azaltırken, ödeme yaptığınız kullanılmayan kapasiteye yol açabilir. İdeal olarak, en iyi sonuçlar için her iki özelliği de birleştirin.

• İş yükü için önbelleğe almayı ayarlayın. Uygulama bileşeni kullanımına göre tüm diskler için önbellek ayarlarını yapılandırın.

  Çoğunlukla okuma işlemleri gerçekleştiren bileşenler yüksek disk işlem tutarlılığı gerektirmez. Bu bileşenler salt okunur önbellekten faydalanabilir. Yüksek disk işlem tutarlılığı gerektiren yoğun yazma bileşenleri genellikle önbelleğe alma devre dışı bırakılır.

  Vm kilitlenirse ve çoğu veri diski senaryosu için önerilmezse, okuma-yazma önbelleğe alma özelliğinin kullanılması veri kaybına neden olabilir.

Bu mimaride:

• Tüm VM'lerin işletim sistemi diskleri kısa ömürlü olup önbellek diskinde bulunur.

  Ön uç (Linux) ve arka uçtaki (Windows Server) iş yükü uygulaması tek tek VM hatalarına dayanıklıdır ve her ikisi de küçük görüntüler (yaklaşık 30 GB) kullanır. Bu tür öznitelikler, uzak Azure depolama kaynaklarına kaydedilen Kalıcı işletim sistemi diski yerine VM yerel depolamasının (önbellek bölümü) bir parçası olarak oluşturulan Kısa Ömürlü işletim sistemi disklerini kullanmaya uygun olmalarını sağlar. Bu durum işletim sistemi diskleri için depolama maliyetine neden olmaz ve ayrıca daha düşük gecikme süreleri sağlayarak ve VM dağıtım süresini azaltarak performansı artırır.

• Her bir VM'nin kendi Premium SSD P1 yönetilen diski vardır ve iş yükü için uygun temel tahsis edilmiş aktarım hızını sağlar.

Ağ düzeni

Bu mimari, iş yükünü tek bir sanal ağda dağıtır. Ağ denetimleri bu mimarinin önemli bir parçasıdır ve Güvenlik bölümünde açıklanmıştır.

Bu düzen kurumsal topolojiyle tümleştirilebilir. Bu örnek, Bir Azure giriş bölgesindeki Sanal makine temel mimarisinde gösterilir.

Sanal ağ

İlk ağ düzeni kararlarınızdan biri ağ adres aralığıyla ilgilidir. Kapasite planlama aşamasında beklenen ağ büyümesini göz önünde bulundurun. Ağ, büyümeyi sürdürecek kadar büyük olmalıdır ve bu da ek ağ yapıları gerektirebilir. Örneğin, sanal ağın ölçeklendirme işleminden kaynaklanan diğer VM'leri barındıracak kapasiteye sahip olması gerekir.

Buna karşılık, adres alanınızı doğru boyutlandırın. Aşırı büyük bir sanal ağ az kullanıma yol açabilir. Sanal ağ oluşturulduktan sonra adres aralığını değiştiremezsiniz.

Bu mimaride, adres alanı öngörülen büyümeyi temel alan bir karar olan /21 olarak ayarlanır.

Alt ağ konusunda dikkat edilmesi gerekenler

Sanal ağ içinde alt ağlar, burada açıklandığı gibi işlevsellik ve güvenlik gereksinimlerine göre bölünür:

• Ters ara sunucu olarak hizmet veren uygulama ağ geçidini barındırmak için bir alt ağ. Application Gateway için ayrılmış bir alt ağ gerekir.
• Trafiği arka uç VM'lerine dağıtmak için iç yük dengeleyiciyi barındıran bir alt ağ.
• Biri ön uç, diğeri arka uç için olmak üzere iş yükü VM'lerini barındırmak için alt ağlar. Bu alt ağlar uygulamanın katmanlarına göre oluşturulur.
• İş yükü VM'lerine operasyonel erişimi kolaylaştırmak için Azure Bastion konağına yönelik bir alt ağ. Tasarım gereği, Azure Bastion konağı ayrılmış bir alt ağa ihtiyaç duyar.
• Azure Özel Bağlantı üzerinden diğer Azure kaynaklarına erişmek için oluşturulan özel uç noktaları barındırmak için bir alt ağ. Bu uç noktalar için ayrılmış alt ağlar zorunlu olmasa da, bunları öneririz.

Sanal ağlara benzer şekilde alt ağlar da doğru boyutlandırılmalıdır. Örneğin, uygulamanın ölçeklendirme gereksinimlerini karşılamak için Esnek düzenleme tarafından desteklenen en yüksek VM sınırını uygulamak isteyebilirsiniz. İş yükü alt ağları bu sınırı karşılayabilmelidir.

Dikkate alınması gereken bir diğer kullanım örneği de, geçici IP adresleri gerektirebilecek VM işletim sistemi yükseltmeleridir. Doğru boyutlandırma, ağ güvenlik grupları (NSG) aracılığıyla anlamlı güvenlik kurallarının alt ağ sınırlarına uygulanabilmesi için benzer kaynakların gruplandırıldığından emin olarak istediğiniz segmentasyon düzeyini sağlar. Daha fazla bilgi için bkz . Güvenlik: Segmentlere ayırma.

Giriş trafiği

Giriş akışları için iki genel IP adresi kullanılır. Bir adres, ters ara sunucu olarak hizmet veren Application Gateway'e yöneliktir. Kullanıcılar bu genel IP adresini kullanarak bağlanır. Ters proxy, giriş trafiğini sanal makinelerin özel IP'lerine dengeler. Diğer adres, Azure Bastion üzerinden operasyonel erişim içindir.

Bu mimarinin Visio dosyasını indirin.

Çıkış trafiği

Bu mimari, VM örneklerinden tanımlanan giden kurallarıyla standart SKU yük dengeleyici kullanır. Yük Dengeleyici, bölge yedeklemeli olduğundan seçildi.

Bu mimarinin Visio dosyasını indirin.

Bu yapılandırma, vm'ler için giden İnternet bağlantısı sağlamak üzere yük dengeleyicinizin genel IP adreslerini kullanmanıza olanak tanır. Dışarıya giden kurallar, SNAT bağlantı noktalarını açıkça tanımlamanıza olanak tanır. Kurallar, el ile bağlantı noktası ayırma yoluyla bu özelliği ölçeklendirmenize ve ayarlamanıza olanak sağlar. SNAT bağlantı noktasını arka uç havuzu boyutuna ve sayısına frontendIPConfigurations göre el ile ayırma, SNAT tükenmesini önlemeye yardımcı olabilir.

En fazla arka uç birimi sayısına göre bağlantı noktalarını ayırmanızı öneririz. Kalan SNAT bağlantı noktalarından daha fazla örnek eklenirse Sanal Makine Ölçek Kümeleri ölçeklendirme işlemleri engellenebilir veya yeni VM'ler yeterli SNAT bağlantı noktası almaz.

Örnek başına bağlantı noktalarını şu şekilde hesaplayın: Number of front-end IPs * 64K / Maximum number of back-end instances.

Alt ağa bağlı bir Azure NAT Gateway kaynağı dağıtma gibi kullanabileceğiniz başka seçenekler de vardır. Azure Güvenlik Duvarı veya bir başka Ağ Sanal Gerecini, güvenlik duvarı üzerinden bir sonraki atlama olarak özelleştirilmiş kullanıcı tanımlı bir yol (UDR) ile kullanmak bir diğer seçenektir. Bu seçenek, Azure giriş bölgesindeki Sanal makine temel mimarisinde gösterilir.

DNS çözümleme

Azure DNS, iş yükü VM'leriyle ilişkili tam etki alanı adlarını (FQDN) çözümleme gibi tüm çözüm kullanım örnekleri için temel hizmet olarak kullanılır. Bu mimaride VM'ler, Azure DNS olan sanal ağ yapılandırmasında ayarlanan DNS değerlerini kullanır.

Azure özel DNS bölgeleri, adlandırılmış Özel Bağlantı kaynaklarına erişmek için kullanılan özel uç noktalara yönelik istekleri çözümlemek için kullanılır.

İzleme

Bu mimari, iş yükünün işlevselliğinden bağımsız bir izleme yığınına sahiptir. Odak öncelikli olarak veri kaynakları ve koleksiyon yönleridir.

Not

Gözlemlenebilirlik hakkında kapsamlı bir görünüm için bkz . OE:07 İzleme sistemi tasarlama ve oluşturma önerileri.

Ölçümler ve günlükler çeşitli veri kaynaklarında oluşturulur ve çeşitli yüksekliklerde gözlemlenebilirlik içgörüleri sağlar:

• Vm'ler , sanal ağlar ve depolama hizmetleri gibi temel altyapı ve bileşenler dikkate alınır. Azure platform günlükleri, Azure platformundaki işlemler ve etkinlikler hakkında bilgi sağlar.

• Uygulama düzeyi , sisteminizde çalışan uygulamaların performansı ve davranışı hakkında içgörüler sağlar.

Log Analytics çalışma alanı, Azure kaynaklarından ve Application Insights'tan günlükleri ve ölçümleri toplamak için kullanılan önerilen izleme veri havuzudur.

Bu görüntüde altyapıdan ve uygulamadan veri toplamaya yönelik bileşenler, veri havuzları ve analiz ve görselleştirme için çeşitli tüketim araçlarıyla temel için izleme yığını gösterilmektedir. Uygulama Application Insights, VM önyükleme tanılaması ve Log Analytics gibi bazı bileşenleri dağıtır. Panolar ve uyarılar gibi genişletilebilirlik seçeneklerini göstermek için diğer bileşenler gösterilir.

Bu mimarinin Visio dosyasını indirin.

Altyapı düzeyinde izleme

Bu tablo, Azure İzleyici tarafından toplanan günlüklere ve ölçümlere bağlanır. Kullanılabilir uyarılar, kullanıcıları etkilemeden önce sorunları proaktif olarak çözmenize yardımcı olur.

Azure kaynağı	Ölçümler ve günlükler	Uyarılar
Application Gateway	Application Gateway ölçümleri ve günlükleri açıklaması	Application Gateway uyarıları
Uygulama Öngörüleri	Application Insights ölçümleri ve OpenTelemetry API'si	Application Insights uyarıları
Azure Bastion	Azure Bastion ölçümleri
Anahtar Kasası (Key Vault)	Key Vault ölçümleri ve kayıt açıklamaları	Key Vault uyarıları
Standard Yük Dengeleyici	Yük dengeleyici günlükleri ve ölçümleri	Load Balancer uyarıları
Genel IP adresi	Genel IP adresi ölçümleri ve günlükleri açıklaması	Genel IP adresi ölçümleri uyarıları
Sanal Ağ	Sanal ağ ölçümleri ve günlükleri başvuru	Sanal ağ uyarıları
Sanal Makineler ve Sanal Makine Ölçek Kümeleri	VM ölçümleri ve günlükleri başvuru kaynağı	VM uyarıları ve kılavuzlar
Web Uygulaması Güvenlik Duvarı	Web Uygulama Güvenlik Duvarı ölçümleri ve günlüklerinin tanımı	Web Uygulaması Güvenlik Duvarı uyarıları

Ölçümleri ve günlükleri toplama maliyeti hakkında daha fazla bilgi için Log Analytics maliyet hesaplamaları ve seçenekleri ile Log Analytics çalışma alanı fiyatlandırması kısmına bakın. İş yükünün yapısı, toplanan ölçüm ve günlüklerin sıklığı ve sayısı, ölçüm ve günlük toplama maliyetlerini büyük ölçüde etkiler.

Sanal makineler

Azure önyükleme tanılaması , seri günlük bilgileri ve ekran görüntüleri toplanarak önyükleme sırasında VM'lerin durumunu gözlemlemek için etkinleştirilir. Bu mimaride bu verilere Azure portalı ve Azure CLI vm boot-diagnostics get-boot-log komutu aracılığıyla erişilebilir. Verileri Azure yönetir. Altyapısal depolama kaynağına erişiminiz veya denetiminiz yok. Ancak iş gereksinimleriniz daha fazla denetim gerekiyorsa, önyükleme tanılamalarını depolamak için kendi depolama hesabınızı sağlayabilirsiniz.

VM içgörüleri , VM'leri ve ölçek kümelerini izlemek için verimli bir yol sunar. Log Analytics çalışma alanlarından veri toplar ve performans verileri eğilimleri için önceden tanımlanmış çalışma kitapları sağlar. Bu veriler VM başına görüntülenebilir veya birden çok VM arasında toplanabilir.

Application Gateway ve iç yük dengeleyici, trafik göndermeden önce VM'lerin uç nokta durumunu algılamak için sistem durumu yoklamalarını kullanır.

Ağ

Bu mimaride günlük verileri, akışa katılan birkaç ağ bileşeninden toplanır. Bu bileşenler arasında Application Gateway, yük dengeleyiciler ve Azure Bastion bulunur. Sanal ağlar, NSG'ler, genel IP adresleri ve Özel Bağlantı gibi ağ güvenlik bileşenlerini de içerir.

Yönetilen diskler

Disk ölçümleri iş yükünüze bağlıdır ve anahtar ölçümlerin bir karışımını gerektirmektedir. İzleme, işletim sistemi veya uygulama aktarım hızı sorunlarını yalıtmak için bu perspektifleri birleştirmelidir.

• Azure platformu perspektifi, bağlı iş yükünden bağımsız olarak Azure hizmetini gösteren ölçümleri temsil eder. Disk performansı ölçümleri (IOPS ve aktarım hızı), VM'ye bağlı tüm diskler için ayrı ayrı veya toplu olarak görüntülenebilir. Olası disk sınırlandırmaları hakkında sorun giderme ya da uyarı verme için depodaki GÇ (Giriş/Çıkış) kullanım ölçümlerini kullanın. Maliyet optimizasyonu için bursting kullanıyorsanız, daha fazla optimizasyon fırsatlarını belirlemek için kredi yüzdesi metriklerini izleyin.

• Konuk işletim sistemi perspektifi, temel alınan disk teknolojisinden bağımsız olarak iş yükü operatörünün görüntüleyebilecekleri ölçümleri temsil eder. Vm içgörüleri, kullanılan mantıksal disk alanı ve işletim sistemi çekirdeğinin disk IOPS ve aktarım hızı perspektifi gibi ekli disklerdeki önemli ölçümler için önerilir.

Uygulama düzeyinde izleme

Örnek uygulama bunu kullanmasa da, Application Insights genişletilebilirlik amacıyla bir APM aracı olarak sağlanır. Uygulama kodunuzu izlemek ve Log Analytics çalışma alanına veri göndermek için Azure İzleyici OpenTelemetry Distro'nu kullanın. Application Insights bu verileri iş yükü uygulamalarından da görselleştirebilir.

Uygulama sağlığı uzantısı, ölçek kümesindeki her VM örneğinin ikili sağlık durumunu izlemek ve gerekirse, ölçek kümesi otomatik örnek onarımı kullanılarak örnek onarımları gerçekleştirmek için VM'lere dağıtılır. Uygulamanın duyarlı olup olmadığını denetlemek için Application Gateway ve Azure iç yük dengeleyici sistem durum yoklaması ile aynı dosyayı test eder.

Güncelleme yönetimi

VM'lerin iş yükünün güvenlik duruşunu zayıflatmaması için düzenli olarak güncelleştirilmesi ve düzeltme eki yapılması gerekir. Düzeltme eklerinin erken bulunması ve uygulanması için otomatik ve düzenli VM değerlendirmeleri öneririz.

Altyapı güncelleştirmeleri

Azure, sanal makineler için konak altyapısının güvenilirliğini, performansını ve güvenliğini artırmak için platformunu düzenli aralıklarla güncelleştirir. Bu güncelleştirmeler, barındırma ortamındaki yazılım bileşenlerine düzeltme eki uygulamayı, ağ bileşenlerini yükseltmeyi veya donanımları devre dışı bırakmayı ve daha fazlasını içerir. Güncelleştirme işlemi hakkında daha fazla bilgi için bkz. Azure'da sanal makineler için bakım.

Bir güncelleştirme yeniden başlatma gerektirmiyorsa, konak güncelleştirilirken VM duraklatılır veya VM zaten güncelleştirilmiş bir konağa canlı olarak taşınır. Bakım yeniden başlatma gerektiriyorsa, planlı bakımdan haberdar olursunuz. Azure, bakımı sizin için uygun bir şekilde başlatabileceğiniz bir zaman penceresi de sağlar. Kendi kendine bakım penceresi ve kullanılabilir seçenekleri yapılandırma hakkında daha fazla bilgi için bkz. Planlı bakım bildirimlerini işleme.

Bazı iş yükleri, bakım için vm donması veya bağlantısının kesilmesi için birkaç saniye bile dayanamayabilir. Sıfır etkili ve yeniden başlatmasız güncelleştirmeler de dahil olmak üzere tüm bakım etkinlikleri üzerinde daha fazla denetim için bkz . Bakım Yapılandırmaları. Bakım Yapılandırması oluşturmak, tüm platform güncelleştirmelerini atlama ve güncelleştirmeleri size uygun şekilde uygulama seçeneği sunar. Bu özel yapılandırma ayarlandığında Azure, yeniden başlatmasız güncelleştirmeler de dahil olmak üzere sıfırdan etkilenmeyen tüm güncelleştirmeleri atlar. Daha fazla bilgi için bkz . Bakım Yapılandırmaları ile platform güncelleştirmelerini yönetme

İşletim sistemi (OS) görüntü yükseltmeleri

İşletim sistemi yükseltmeleri yaparken test edilmiş altın renkli bir görüntüye sahip olun. Özel görüntülerinizi yayımlamak için Azure Paylaşılan Görüntü Galerisi ve Azure İşlem Galerisi'ne göz önünde bulundurun. Yayımcı tarafından her yeni görüntü yayımlandığında toplu örnekleri sıralı bir şekilde yükselten bir işleminiz olmalıdır.

Yüzey alanını azaltmak için VM görüntülerini kullanım ömrü sonuna ulaşmadan devre dışı bırakın.

Otomasyon süreciniz fazladan kapasite ile fazla sağlamayı hesaba eklemelidir.

Azure Update Management'ı kullanarak Azure'da Windows ve Linux sanal makinelerinizin işletim sistemi güncelleştirmelerini yönetebilirsiniz.Azure Update Manager, Azure, şirket içi ve çoklu bulut ortamlarında Windows ve Linux makinelerine yönelik yazılım güncelleştirmelerini yönetmek ve yönetmek için bir SaaS çözümü sağlar.

Konuk işletim sistemi düzeltme eki yükleme

Azure VM'leri otomatik VM misafiri güncellemesi seçeneğini sağlar. Bu hizmet etkinleştirildiğinde VM'ler düzenli aralıklarla değerlendirilir ve kullanılabilir düzeltme ekleri sınıflandırılır. Bekleyen düzeltme ekleri için günlük değerlendirmeye izin vermek için Değerlendirme Modu'nun etkinleştirilmesi önerilir. Ancak, düzeltme eklerinin uygulanmasını tetiklemeyen isteğe bağlı değerlendirme yapılabilir. Değerlendirme Modu etkin değilse, bekleyen güncelleştirmeleri el ile algılama yöntemlerine sahip olun.

Yalnızca kritik veya güvenlik olarak sınıflandırılan düzeltme ekleri tüm Azure bölgelerine otomatik olarak uygulanır. Diğer düzeltme eklerini uygulayan özel güncelleştirme yönetimi işlemlerini tanımlayın.

Sanal Makine Ölçek Kümelerinde otomatik işletim sistemi görüntüsü düzeltme girişimi gerektir Azure İlkesi'ni idare amacıyla göz önünde bulundurun.

Vm'ler kaynakları kullandığından ve güncelleştirmeler sırasında yeniden başlatabileceğinden otomatik düzeltme eki uygulama sisteme yük oluşturabilir ve kesintiye neden olabilir. Fazla kapasite ayırma, yük yönetimi için tavsiye edilir. Eşzamanlı güncelleştirmeleri önlemek ve yüksek kullanılabilirlik için bölge başına en az iki örneği korumak için vm'leri farklı Kullanılabilirlik Alanları dağıtın. Aynı bölgedeki VM'ler farklı düzeltme ekleri alabilir ve bu düzeltme ekleri zaman içinde uzlaştırılmalıdır.

Fazla sağlama ile ilişkili maliyet tavizinin farkında olun.

Sistem sağlık denetimleri, otomatik VM misafiri yaması dahilindedir. Bu denetimler başarılı düzeltme eki uygulamasını doğrular ve sorunları algılar.

Düzeltme ekleri uygulamak için özel işlemler varsa, düzeltme eki kaynakları için özel depolar kullanın. Bunun yapılması, güncelleştirmenin performansı veya güvenliği olumsuz etkilemediğinden emin olmak için düzeltme eklerini test etmede daha iyi denetim sağlar.

Daha fazla bilgi için bkz: Azure VM'ler için Otomatik VM misafir düzeltme eki uygulaması.

Hususlar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure Well-Architected Framework'ün yapı taşlarını uygular. Daha fazla bilgi için bkz. Microsoft Azure Well-Architected Framework .

Güvenilirlik

Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesini sağlar. Daha fazla bilgi için bkz. Güvenilirlik için tasarım gözden geçirme denetim listesi.

Bu mimari, güvenilirlik sorunlarını gidermek için temel öğe olarak kullanılabilirlik alanlarını kullanır.

Bu kurulumda, tek tek VM'ler tek bir bölgeye bağlanır. Bir hata oluşursa, bu VM'ler Sanal Makine Ölçek Kümeleri kullanılarak diğer VM örnekleriyle kolayca değiştirilebilir.

Bu mimarideki diğer tüm bileşenler şunlardan biridir:

• Bölge yedekliliği, yani, yüksek erişilebilirlik sağlamak amacıyla Application Gateway veya genel IP'ler gibi birden çok bölgede çoğaltılır.
• Bölgeye dirençli, yani Key Vault gibi bölge arızalarına karşı dayanıklıdır.
• Bölgeler arasında veya genel olarak mevcut olan, örneğin Microsoft Entra ID gibi bölgesel ya da genel kaynaklar.

İş yükü tasarımı, uygulama kodu, altyapı ve operasyonlarda güvenilirlik güvencelerini içermelidir. Aşağıdaki bölümlerde, iş yükünün hatalara dayanıklı olduğundan ve altyapı düzeyinde kesintiler olduğunda kurtarabildiğinden emin olmak için bazı stratejiler gösterilmektedir.

Mimaride kullanılan stratejiler, Azure İyi Tasarlanmış Çerçeve'de verilen Güvenilirlik tasarımı gözden geçirme denetim listesini temel alır. Bölümlere bu denetim listesindeki önerilerle açıklama eklenir.

Hiçbir uygulama dağıtılmadığından, uygulama kodundaki dayanıklılık bu mimarinin kapsamının dışındadır. Denetim listesindeki tüm önerileri gözden geçirmenizi ve varsa bunları iş yükünüzde benimsemenizi öneririz.

Kullanıcı akışı başına güvenilirlik güvencelerinin önceliğini belirleme

Çoğu tasarımda, her biri kendi iş gereksinimleri kümesine sahip birden çok kullanıcı akışı vardır. Bu akışların tümü en yüksek düzeyde güvence gerektirmez, bu nedenle güvenilirlik stratejisi olarak segmentlere ayırma önerilir. Her segment bağımsız olarak yönetilebilir ve bir segmentin diğer segmentleri etkilemediğinden emin olabilir ve her katmanda doğru dayanıklılık düzeyini sağlayabilir. Bu yaklaşım ayrıca sistemi esnek hale getirir.

Bu mimaride uygulama katmanları segmentasyonu uygular. Ön uç ve arka uç katmanları için ayrı ölçek kümeleri sağlanır. Bu ayrım, her katmanın bağımsız olarak ölçeklendirilebilmesini sağlayarak tasarım desenlerinin kendi gereksinimlerine ve diğer avantajlarına göre uygulanmasına olanak tanır.

İyi Tasarlanmış Çerçeve: RE:02 - Akışları tanımlama ve derecelendirmeye yönelik öneriler bölümüne bakın.

Olası hata noktalarını belirleme

Her mimari hatalara açıktır. Hata modu analizi alıştırması, hataları tahmin etmenizi ve azaltmalarla hazırlıklı olmanıza olanak tanır. Bu mimarideki bazı olası hata noktaları şunlardır:

Bileşen	Riske	Olasılık	Etki/Önleme/Not	Kesinti
Microsoft Entra Kimlik	Yanlış yapılandırma	Orta	Operasyon kullanıcıları oturum açamıyor. Aşağı akış etkisi yok. Yardım masası yapılandırma sorununu kimlik ekibine bildirir.	Hiçbiri
Application Gateway	Yanlış yapılandırma	Orta	Yanlış yapılandırmalar dağıtım sırasında yakalanmalıdır. Bu hatalar bir yapılandırma güncelleştirmesi sırasında oluşursa DevOps ekibinin değişiklikleri geri alması gerekir. v2 SKU kullanan çoğu dağıtımın sağlanması yaklaşık 6 dakika sürer. Ancak, dağıtım türüne bağlı olarak daha uzun sürebilir. Örneğin, birçok örneği olan birden çok kullanılabilirlik alanında yapılan dağıtımlar 6 dakikadan fazla sürebilir.	Tam
Application Gateway	DDoS saldırısı	Orta	Kesinti olasılığı. Microsoft, DDoS (L3 ve L4) korumasını yönetir. L7 saldırılarından olası etki riski.	Tam
Sanal Makine Ölçek Kümeleri	Hizmet kesintisi	Düşük	Otomatik onarımı tetikleyen iyi durumda olmayan VM örneklerinin varlığı halinde, olası iş yükü kesintisi olabilir. Düzeltme için Microsoft'a bağımlıdır.	Olası kesinti
Sanal Makine Ölçek Kümeleri	Kullanılabilirlik alanı kesintisi	Düşük	Etki yok. Ölçek kümeleri alanlar arası yedekli olarak dağıtılır.	Hiçbiri

İyi Tasarlanmış Çerçeve: RE:03 - Hata modu analizi gerçekleştirme önerileri bölümüne bakın.

Güvenilirlik hedefleri

Tasarım kararları almak için iş yükünün bileşik hizmet düzeyi hedefleri (SLO'lar) gibi güvenilirlik hedeflerini hesaplamak önemlidir. Bunu yapmak için mimaride kullanılan Azure hizmetleri tarafından sağlanan hizmet düzeyi sözleşmelerinin (SLA) anlaşılması gerekir. İş yükü SLO'ları Azure tarafından garanti edilen SLA'lardan yüksek olmamalıdır. VM'lerden ve bağımlılıklarından, ağ ve depolama seçeneklerinden her bileşeni dikkatle inceleyin.

Burada ana hedefin yaklaşık bileşik SLO sağlamak olduğu örnek bir hesaplama verilmiştir. Bu kaba bir yönerge olsa da, benzer bir şeye ulaşmanız gerekir. Mimaride değişiklik yapmazsanız aynı akışlar için en yüksek bileşik SLO'ya sahip olmamanız gerekir.

İşlem akışı

Bileşen	SLO
Microsoft Entra Kimlik	%99,99
Azure Bastion	%99,95

Bileşik SLO: %99,94 | Yıllık kapalı kalma süresi: 0d 5h 15m 20s

Uygulama kullanıcı akışı

Bileşen	SLO (Türkçe)
Application Gateway	%99,95
Azure Load Balancer (dahili)	%99,99
Premium depolama (bileşik SLO) kullanan ön uç VM'ler	99,70%
Premium depolama (bileşik SLO) kullanan arka uç VM'leri	99,70%

Bileşik SLO: %99,34 | Yıllık kapalı kalma süresi: 2d 9h 42m 18s

Yukarıdaki örnekte, VM'lerle ilişkilendirilmiş diskler gibi VM'lerin ve bağımlılıkların güvenilirliği dahil edilir. Disk depolama ile ilişkili SLA'lar genel güvenilirliği etkiler.

Bileşik SLO'nun hesaplanmasında bazı zorluklar vardır. Farklı hizmet katmanlarında farklı SLA'lar olabilir ve bu SLA'lar genellikle güvenilirlik hedeflerini ayarlayan finansal olarak desteklenen garantiler içerir. Son olarak, mimarinin SLA'ları tanımlanmamış bileşenleri olabilir. Örneğin ağ açısından NIC'lerin ve sanal ağların kendi SLA'ları yoktur.

İş gereksinimleri ve hedefleri açıkça tanımlanmalı ve hesaplamaya dahil edilmelidir. Kuruluş tarafından uygulanan hizmet sınırlarına ve diğer kısıtlamalara dikkat edin. Aboneliğinizi diğer iş yükleriyle paylaşmak VM'leriniz için kullanılabilir kaynakları etkileyebilir. İş yükünün sanal makineler için sınırlı sayıda çekirdeği kullanmasına izin verilebilir. Aboneliğinizin kaynak kullanımını anlamak, VM'lerinizi daha etkili bir şekilde tasarlamanıza yardımcı olabilir.

İyi Tasarlanmış Çerçeve: RE:04 - Güvenilirlik hedeflerini tanımlamaya yönelik öneriler bölümüne bakın.

Yedeklilik

Bu mimaride çeşitli bileşenler için alanlar arası yedeklilik kullanılır. Her bölge bağımsız güç, soğutma ve ağ ile bir veya daha fazla veri merkezinden oluşur. Örneklerin ayrı bölgelerde çalıştırılması, uygulamayı veri merkezi hatalarına karşı korur.

• Sanal Makine Ölçek Kümeleri belirtilen sayıda örnek ayırır ve bunları kullanılabilirlik alanları ve hata etki alanları arasında eşit olarak dağıtır. Bu dağıtım, önerdiğimiz maksimum yayılma özelliğiyle elde edilir. VM örneklerinin hata etki alanlarına yayılması, tüm VM'lerin aynı anda güncellenmemesini sağlar.

  Azure bölgenizde üç kullanılabilirlik alanı bulunan bir senaryo düşünün. Üç örneğiniz varsa, her örnek farklı bir kullanılabilirlik alanına ayrılır ve farklı bir hata etki alanına yerleştirilir. Azure, her kullanılabilirlik alanında aynı anda yalnızca bir hata etki alanının güncelleştirildiğini garanti eder. Ancak, üç kullanılabilirlik alanında vm'lerinizi barındıran üç hata etki alanının da aynı anda güncelleştirildiği bir durum olabilir. Tüm bölgeler ve etki alanları etkilenir. Her bölgede en az iki adet örnek (instance) olması, yükseltmeler sırasında bir tampon sağlar.

• Yönetilen diskler yalnızca aynı bölgedeki bir VM'ye eklenebilir. Bunların kullanılabilirliği genellikle VM'nin kullanılabilirliğini etkiler. Tek bölgeli dağıtımlarda diskler, bölgesel hatalara dayanacak şekilde yedeklilik için yapılandırılabilir. Bu mimaride, veri diskleri arka uçtaki VM'lerde alanlar arası yedekli depolama (ZRS) olarak yapılandırılır. Kullanılabilirlik alanlarından yararlanmak için bir kurtarma stratejisi gerekir. Kurtarma stratejisi, çözümü yeniden dağıtmaktır. İdeal olarak, bölgesel bir hatadan kurtarmaya hazır alternatif kullanılabilirlik bölgelerinde işlem kaynaklarını önceden sağlama.

• Alanlar arası yedekli Application Gateway veya standart yük dengeleyici, trafiği tek bir IP adresi kullanarak bölgeler arasındaki VM'lere yönlendirebilir ve bölge hataları olsa bile süreklilik sağlar. Bu hizmetler VM kullanılabilirliğini denetlemek için sistem durumu yoklamalarını kullanır. Bölgedeki bir bölge çalışır durumda kaldığı sürece, diğer bölgelerdeki olası hatalara rağmen yönlendirme devam eder. Ancak bölgeler arası yönlendirme, bölge içi yönlendirmeye kıyasla daha yüksek gecikme süresine sahip olabilir.

  Bu mimaride kullanılan tüm genel IP'ler alanlar arası yedeklidir.

• Azure, Key Vault gibi daha iyi güvenilirlik için alanlar arası dayanıklı hizmetler sunar.

• Azure genel kaynakları her zaman kullanılabilir ve gerekirse temel kimlik sağlayıcısı, Microsoft Entra Kimliği gibi başka bir bölgeye geçebilir.

İyi Tasarlanmış Çerçeve'ye bakın: RE:05 - Yedeklilik Tasarlama için Öneriler.

Ölçeklendirme stratejisi

Hizmet düzeyinde düşüşü ve hataları önlemek için güvenilir ölçeklendirme işlemlerinden emin olun. İş yükünü yatay olarak ölçeklendirin (ölçeği genişletin), dikey olarak ölçeklendirin (ölçeği büyütün) veya her iki yaklaşımın bir bileşimini kullanın. Azure İzleyici Otomatik Ölçeklendirme'yi kullanarak, gerekenden daha fazla kapasite ayırmadan ve gereksiz maliyetler doğurmadan uygulamanızdaki talebi destekleyecek kadar kaynak sağlayın.

Otomatik ölçeklendirme, zaman, zamanlama veya ölçümler gibi farklı olay türlerine göre farklı profiller tanımlamanızı sağlar. Ölçüm tabanlı profiller, bunları toplamak için Azure İzleyici Aracısı'nın yüklenmesini gerektiren yerleşik ölçümleri (konak tabanlı) veya daha ayrıntılı ölçümleri (konuk VM ölçümleri) kullanabilir. Her profil ölçeği genişletme (artırma) ve ölçeği daraltma (azaltma) kuralları içerir. Tasarlanmış profillere göre tüm farklı ölçeklendirme senaryolarını incelemeyi ve bunları bir dizi karşıt ölçek olayına neden olabilecek olası döngü koşulları için değerlendirmeyi göz önünde bulundurun. Azure İzleyici, yeniden ölçeklendirmeden önce soğuma süresini bekleyerek bu durumu azaltmaya çalışır.

Esnek modda Azure Sanal Makine Ölçek Kümeleri heterojen ortamları desteklese de, birden çok profilin otomatik ölçeklendirmesi desteklenmez. Birden fazla VM türüyle otomatik ölçeklendirme kullanmayı planlıyorsanız bunları ayrı ayrı yönetmek için farklı ölçek kümeleri oluşturmayı göz önünde bulundurun.

VM örnekleri oluştururken veya silerken önyükleme, düzgün kapatmalar, iş yükünü ve tüm bağımlılıklarını yükleme ve disk yönetimi gibi diğer yönleri göz önünde bulundurun.

Durumlu iş yükleri, bir iş yükü örneğinden daha uzun süre kalması gereken yönetilen diskler için ek yönetim gerektirebilir. İş yükünün verilerinin tutarlılığını, senkronizasyonunu, çoğaltılmasını ve bütünlüğünü sağlamak için, ölçeklendirme durumları sırasında iş yükünüzü veri yönetimi için tasarlayın. Bu senaryolar için, ölçek kümelerine önceden doldurulmuş diskler eklemeyi göz önünde bulundurun. Verilere erişirken performans sorunlarını önlemek için ölçeklendirmenin kullanıldığı kullanım örnekleri için bölümleme ve parçalama planlayın. Daha fazla bilgi için bkz . Otomatik ölçeklendirme en iyi yöntemleri.

İyi Tasarlanmış Çerçeve: RE:06 - Güvenilir bir ölçeklendirme stratejisi tasarlamaya yönelik öneriler bölümüne bakın.

Kendi kendini iyileştirme ve kurtarılabilirlik

VM hatalarından kurtarmayı otomatikleştirmek için Sanal Makine Ölçek Kümeleri otomatik örnek onarımları etkinleştirilir. Uygulama durumu uzantısı , yanıt vermeyen VM'leri ve uygulamaları algılamayı desteklemek için VM'lere dağıtılır. Bu örnekler için onarım eylemleri otomatik olarak tetiklenir.

İyi Tasarlanmış Çerçeve: Kendini iyileştirme ve kendini koruma önerileri bölümüne bakın.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz. Güvenlik için tasarım gözden geçirme denetim listesi.

Güvenlik yalnızca teknik denetimlere başvurmaz. Güvenlik sütununun operasyonel yönlerini anlamak için denetim listesinin tamamını izlemenizi öneririz.

Segmentlere ayırma

• Ağ segmentasyonu. İş yükü kaynakları, İnternet'ten yalıtım sağlayan bir sanal ağa yerleştirilir. Sanal ağ içinde alt ağlar güven sınırları olarak kullanılabilir. Bir alt ağdaki bir işlemi işlemek için gereken ilgili kaynakları birlikte kullanın. Bu mimaride sanal ağ, uygulamanın mantıksal gruplandırma ve iş yükünün bir parçası olarak kullanılan çeşitli Azure hizmetlerinin amacı temelinde alt ağlara ayrılmıştır.

  Alt ağ segmentasyonu avantajı, güvenlik denetimlerini alt ağ çevresine yerleştirerek trafiğin içeri ve dışarı akışını yönetebilmenizdir ve bu da iş yükü kaynaklarına erişimi kısıtlar.

• Kimlik segmentasyonu. Görevlerini gerçekleştirmek için yeterli izinlere sahip farklı kimliklere ayrı roller atayın. Bu mimari, kaynaklara erişimi segmentlere ayırmak için Microsoft Entra Id tarafından yönetilen kimlikleri kullanır.

• Kaynak segmentasyonu. Uygulama, katmanlara göre ayrı ölçek kümelerine bölünerek uygulama bileşenlerinin bir arada konumlandırılmamasını garanti eder.

İyi Tasarlanmış Çerçeve: SE:04 - Segmentasyon stratejisi oluşturmaya yönelik öneriler bölümüne bakın.

Kimlik ve erişim yönetimi

Hem kullanıcıların hem de hizmetlerin kimlik doğrulaması ve yetkilendirmesi için Microsoft Entra Id'yi öneririz.

VM'lere erişim, Microsoft Entra Id kimlik doğrulaması tarafından denetlenen ve güvenlik grupları tarafından yedeklenen bir kullanıcı hesabı gerektirir. Bu mimari, tüm VM'lere Microsoft Entra ID kimlik doğrulama uzantısı dağıtılarak destek sağlar. İnsan kullanıcıların kurumsal kimliklerini kuruluşlarının Microsoft Entra ID kiracısında kullanmalarını öneririz. Ayrıca, hizmet sorumlusu tabanlı erişimin işlevler arasında paylaşılmadığından emin olun.

VM'ler gibi iş yükü kaynakları, diğer kaynaklara atanan yönetilen kimliklerini kullanarak kimliklerini doğrular. Microsoft Entra Kimlik Hizmetleri Principal'larına dayanan bu kimlikler otomatik olarak yönetilmektedir.

Örneğin, Key Vault uzantıları VM'lere yüklenir ve bu da vm'leri yerinde sertifikalarla önyükler. Bu mimaride kullanıcı tarafından atanan yönetilen kimlikler Application Gateway, ön uç VM'ler ve arka uç VM'leri tarafından Key Vault'a erişmek için kullanılır. Bu yönetilen kimlikler dağıtım sırasında yapılandırılır ve Key Vault'ta kimlik doğrulaması için kullanılır. Key Vault'ta erişim ilkeleri yalnızca önceki yönetilen kimliklerden gelen istekleri kabul etmek üzere yapılandırılır.

Temel mimari, sistem tarafından atanan ve kullanıcı tarafından atanan yönetilen kimliklerin bir karışımını kullanır. Bu kimlikler, diğer Azure kaynaklarına erişirken yetkilendirme amacıyla Microsoft Entra Id kullanmak için gereklidir.

İyi Tasarlanmış Çerçeve: SE:05 - Kimlik ve erişim yönetimi önerileri'ne bakın.

Ağ denetimleri

• Giriş trafiği. İş yükü VM'leri doğrudan genel İnternet'e açık değildir. Her VM'nin bir özel IP adresi vardır. İş yükü kullanıcıları Application Gateway'in genel IP adresini kullanarak bağlanır.

  Application Gateway ile tümleştirilmiş Web Uygulaması Güvenlik Duvarı aracılığıyla daha fazla güvenlik sağlanır. Gelen trafiği inceleyen ve uygun eylemleri gerçekleştirebilen kuralları vardır. WAF, bilinen saldırıları engelleyen Open Web Application Security Project (OWASP) güvenlik açıklarını izler.

• Çıkış trafiği. VM alt ağlarındaki giden NSG kuralları dışında, giden trafik üzerinde herhangi bir denetim yoktur. Tüm giden İnternet trafiğinin tek bir güvenlik duvarı üzerinden akmasını öneririz. Bu güvenlik duvarı genellikle bir kuruluş tarafından sağlanan merkezi bir hizmettir. Bu kullanım örneği, Azure giriş bölgesindeki Sanal makine temel mimarisinde gösterilir.

• Doğu-batı trafiği. Alt ağlar arasındaki trafik akışı ayrıntılı güvenlik kuralları uygulanarak kısıtlanır.

  Ağ güvenlik grupları (NSG), IP adresi aralığı, bağlantı noktaları ve protokoller gibi parametrelere göre alt ağlar arasındaki trafiği kısıtlamak için yerleştirilir. Uygulama güvenlik grupları (ASG), ön uç ve arka uç VM'lerine yerleştirilir. Vm'lere gelen ve sanal makinelerden gelen trafiği filtrelemek için NSG'lerle birlikte kullanılırlar.

• İşletimsel trafik. Bir iş yüküne güvenli işletimsel erişimin Azure Bastion aracılığıyla sağlanmasını öneririz ve bu da genel IP gereksinimini ortadan kaldırır. Bu mimaride, bu iletişim SSH üzerinden yapılır ve hem Windows hem de Linux VM'leri tarafından desteklenir. Microsoft Entra Id, ilgili VM uzantısı kullanılarak her iki VM türü için de SSH ile tümleşiktir. Bu tümleştirme, bir operatörün kimliğinin Microsoft Entra Kimliği aracılığıyla doğrulanıp yetkilendirilmesini sağlar.

  Alternatif olarak, tercih ettiğiniz yönetici ve sorun giderme araçlarını yükleyebileceğiniz kendi alt aklarına dağıtılan atlama kutusu olarak ayrı bir VM kullanın. Operatör, Azure Bastion sunucusu üzerinden atlama kutusuna erişir. Daha sonra, atlama kutusundan yük dengeleyicinin arkasındaki VM'lere giriş yaparlar.

  Bu mimaride işletimsel trafik, trafiği kısıtlamak için NSG kuralları kullanılarak korunur ve VM'lerde tam zamanında (JIT) VM erişimi etkinleştirilir. bu Bulut için Microsoft Defender özelliği, seçili bağlantı noktalarına geçici olarak gelen erişime izin verir.

  Gelişmiş güvenlik için Microsoft Entra Privileged Identity Management (PIM) kullanın. PIM, Microsoft Entra Id'de kuruluşunuzdaki önemli kaynakları yönetmenize, denetlemenize ve izlemenize olanak tanıyan bir hizmettir. PIM, önemsediğiniz kaynaklardaki aşırı, gereksiz veya yanlış erişim izinlerinin risklerini azaltmak için zamana dayalı ve onay tabanlı rol etkinleştirmesi sağlar.

• Platform hizmeti (PaaS) servislerine özel bağlantı. VM'ler ve Key Vault arasındaki iletişim Özel Bağlantı üzerinden gerçekleştirilmektedir. Bu hizmet, ayrı bir alt ağa yerleştirilmiş özel uç noktalar gerektirir.

• DDoS koruması. Tehditleri algılamak için Application Gateway ve Azure Bastion Konağı tarafından kullanıma sunulan genel IP'lerde Azure DDoS Koruması'nı etkinleştirmeyi göz önünde bulundurun. DDoS Koruması ayrıca İzleyici aracılığıyla uyarı, telemetri ve analiz sağlar. Daha fazla bilgi için bkz . Azure DDoS Koruması: En iyi yöntemler ve başvuru mimarileri.

İyi Tasarlanmış Çerçeve: SE:06 - Ağ ve bağlantı önerileri'ne bakın.

Şifreleme

• Aktarım halindeki veriler. Kullanıcılar ve Application Gateway genel IP'leri arasındaki kullanıcı trafiği dış sertifika kullanılarak şifrelenir. Uygulama ağ geçidi ile ön uç VM'leri arasındaki ve ön uç ile arka uç VM'leri arasındaki trafik bir iç sertifika kullanılarak şifrelenir. Her iki sertifika da Key Vault'ta depolanır:

  • app.contoso.com: İstemciler ve Application Gateway tarafından ortak İnternet trafiğinin güvenliğini sağlamak için kullanılan bir dış sertifika.
  • *.workload.contoso.com: Altyapı bileşenleri tarafından güvenli iç trafik için kullanılan wildcard sertifikası.

• Beklemedeki veri. Günlük verileri VM'lere bağlı bir yönetilen diskte depolanır. Bu veriler, Azure'da platform tarafından sağlanan şifreleme kullanılarak otomatik olarak şifrelenir.

İyi Tasarlanmış Çerçeve: SE:07 - Veri şifreleme önerileri'ne bakın.

Gizli yönetimi

Bu mimarinin Visio dosyasını indirin.

Key Vault , TLS sertifikaları da dahil olmak üzere gizli dizilerin güvenli bir şekilde yönetilmesini sağlar. Bu mimaride TLS sertifikaları Key Vault'ta depolanır ve sağlama işlemi sırasında Application Gateway ve VM'lerin yönetilen kimlikleri tarafından alınır. İlk kurulumdan sonra, bu kaynaklar yalnızca sertifikalar yenilendiğinde Key Vault'a erişir.

VM'ler, izlenen sertifikaları otomatik olarak yenilemek için Key Vault VM uzantısını kullanır. Yerel sertifika deposunda herhangi bir değişiklik algılanırsa, uzantı ilgili sertifikaları Key Vault'tan alır ve yükler. Uzantı, PKCS #12 ve PEM sertifika içerik türlerini destekler.

Önemli

Yerel olarak depolanan sertifikalarınızın düzenli olarak döndürülmesini sağlamak sizin sorumluluğunuzdadır. Daha fazla bilgi için bkz . Linux için Azure Key Vault VM uzantısı veya Windows için Azure Key Vault VM uzantısı.

İyi Tasarlanmış Çerçeve: SE:09 - Uygulama sırlarını korumaya yönelik öneriler bölümüne bakın.

Maliyet İyileştirmesi

Maliyet İyileştirme, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını gözden geçmektir. Daha fazla bilgi için bkz. Maliyet İyileştirmeiçin tasarım gözden geçirme denetim listesi.

Bileşen maliyeti

Genel amaçlı görüntüler kullanmak yerine iş yükü için en iyi duruma getirilmiş VM görüntülerini seçin. Bu mimaride, hem Windows hem de Linux için her birinde 30 GB olan nispeten küçük VM görüntüleri seçilir. Daha küçük görüntülerle, diskleri olan VM SKU'ları da daha küçüktür ve maliyetlerin düşmesine, kaynak tüketiminin azalmasına ve daha hızlı dağıtım ve önyükleme sürelerine yol açar. Bir avantaj, azaltılmış yüzey alanı nedeniyle gelişmiş güvenliktir.

Boyut sınırlarıyla kayıt döndürme uygulamak, maliyet tasarrufu sağlayan başka bir stratejidir. Küçük veri disklerinin kullanılmasına olanak tanır ve bu da maliyetlerin düşmesine neden olabilir. Bu mimarinin uygulanması 4 GB diskler kullanır.

Kısa ömürlü işletim sistemi disklerinin kullanılması da maliyet tasarrufu ve gelişmiş performansa yol açabilir. Bu diskler, VM ile sağlanan önbellek diskine yüklendiklerinden, zaten ödeme yaptığınız VM kaynaklarını kullanacak şekilde tasarlanmıştır. Geleneksel kalıcı disklerle ilişkili depolama maliyetlerini ortadan kaldırır. Bu diskler geçici olduğundan, uzun süreli veri depolama ile ilişkili maliyet yoktur.

İyi Tasarlanmış Çerçeve: CO:07 - Bileşen maliyetlerini iyileştirmeye yönelik öneriler bölümüne bakın.

Akış maliyeti

Akışın kritikliğine göre işlem kaynaklarını seçin. Belirsiz bir uzunluğu tolere etmek üzere tasarlanmış akışlar için, Sanal Makine Ölçek Kümeleri Esnek düzenleme moduna sahip spot VM'leri kullanmayı göz önünde bulundurun. Bu yaklaşım, düşük öncelikli VM'lerde düşük öncelikli akışları barındırmak için etkili olabilir. Bu strateji, farklı akışların gereksinimlerini karşılamaya devam ederken maliyet iyileştirmesine olanak tanır.

İyi Tasarlanmış Çerçeve: CO:09 - Akış maliyetlerini iyileştirmeye yönelik öneriler bölümüne bakın.

Ölçeklendirme maliyeti

Ana maliyet sürücüsü örnek sayısıysa VM'lerin boyutunu veya performansını artırarak ölçeği artırmak daha uygun maliyetli olabilir. Bu yaklaşım birkaç alanda maliyet tasarrufuna yol açabilir:

• Yazılım lisansı. Daha büyük VM'ler daha fazla iş yükü işleyebilir ve bu da gerekli yazılım lisanslarının sayısını azaltabilir.
• Bakım süresi: Daha az, daha büyük VM'ler operasyonel maliyetleri azaltabilir.
• Yük dengeleme: Daha az VM, yük dengeleme maliyetlerinin düşmesine neden olabilir. Örneğin, bu mimaride öndeki bir uygulama ağ geçidi ve ortada iç yük dengeleyici gibi birden çok yük dengeleme katmanı vardır. Daha fazla sayıda örneğin yönetilmesi gerekiyorsa yük dengeleme maliyetleri artar.
• Disk depolama alanı. Durum bilgisi olan uygulamalar varsa, daha fazla örneklere daha fazla bağlı yönetilen disk gerektiğinden depolama maliyeti artar.

İyi Tasarlanmış Çerçeve: CO:12 - Ölçeklendirme maliyetlerini iyileştirmeye yönelik öneriler bölümüne bakın.

operasyonel maliyetler

Otomatik VM konuk sistem yamalama, manuel yamalama yükünü ve ilişkili bakım maliyetlerini azaltır. Bu eylem sistemin daha güvenli hale getirmesine yardımcı olmakla kalmaz, aynı zamanda kaynak ayırmayı iyileştirerek genel maliyet verimliliğine katkıda bulunur.

İyi Tasarlanmış Çerçeve: CO:13 - Personel zamanını optimize etmeye yönelik öneriler bölümüne bakın.

Bu senaryoyu dağıtın

GitHub’da bu başvuru mimarisine yönelik bir dağıtıma ulaşılabilir.

Uygulama: Azure Sanal Makineler temel mimarisi

İlgili kaynaklar

Belirli Azure hizmetleriyle ilgili ayrıntılar için ürün belgelerine bakın:

• Azure Sanal Makineler
• Azure Sanal Makine Ölçek Kümeleri
• Azure Sanal Ağ
• Azure Application Gateway Standard_v2
• Azure Load Balancer
• Azure Key Vault
• Azure Bastion
• Application Insights
• Log Analytics

Sonraki adım

Veri katmanı seçeneklerini gösteren IaaS başvuru mimarilerini gözden geçirin:

• Azure'da SQL Server kullanan Windows N katmanlı uygulama