你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Well-Architected 框架对虚拟机和规模集的透视图

Azure 虚拟机 是一种计算服务,可用于在 Azure 平台上创建和运行虚拟机 (VM) 。 它在不同的 SKU、操作系统和配置中提供了灵活性,适用于各种计费模型。

本文假设架构师已查看计算决策树,并选择虚拟机作为工作负载的计算服务。 本文中的指南提供了映射到 Azure Well-Architected Framework 支柱原则的体系结构建议。

重要

如何使用本指南

每个部分都有一个 设计清单 ,其中介绍了关注的体系结构领域以及本地化到技术范围的设计策略。

还包括有关有助于实现这些策略的技术功能 的建议 。 这些建议并不表示可用于虚拟机及其依赖项的所有配置的详尽列表。 而是列出映射到设计视角的关键建议。 使用建议生成概念证明或优化现有环境。

演示关键建议的基础体系结构:虚拟机基线体系结构

技术范围

本审查重点介绍以下 Azure 资源的相关决策:

  • 虚拟机

  • Azure 虚拟机规模集

  • 磁盘

    磁盘是基于 VM 的体系结构的关键依赖项。 有关详细信息,请参阅 磁盘和优化

可靠性

可靠性支柱的目的是通过 构建足够的复原能力和快速从故障中恢复的能力来提供持续的功能。

可靠性设计原则提供适用于单个组件、系统流和整个系统的高级设计策略。

设计清单

基于 可靠性设计评审清单启动设计策略。 确定其与业务需求的相关性,同时记住 VM 的 SKU 和功能及其依赖项。 根据需要扩展策略以包含更多方法。

  • 查看虚拟机可能构成设计限制的配额和限制。 VM 具有特定的限制和配额,这些限制和配额因 VM 类型或区域而异。 可能存在订阅限制,例如每个订阅的 VM 数或每个 VM 的核心数。 如果其他工作负载共享你的订阅,则使用数据的能力可能会降低。 检查 VM虚拟机规模集托管磁盘的限制。

  • 执行故障模式分析 ,通过分析 VM 与网络和存储组件的交互来最大程度地减少故障点。 选择临时操作系统 (OS) 磁盘等配置,以本地化磁盘访问并避免网络跃点。 添加负载均衡器,通过跨多个 VM 分配网络流量来增强自我保护,从而提高可用性和可靠性。

  • 根据 Azure 服务级别协议 (SLA) 计算复合服务级别目标 (SLO) 。 确保 SLO 不高于 Azure SLA ,以避免不切实际的期望和潜在问题。

    请注意依赖项带来的复杂性。 例如,某些依赖项(如虚拟网络和网络接口卡 (NIC) )没有自己的 SLA。 其他依赖项(例如关联的数据磁盘)具有与 VM SLA 集成的 SLA。 应考虑这些变体,因为它们可能会影响 VM 性能和可靠性。

    将 VM 在磁盘和网络组件等组件上的关键依赖项考虑在内。 如果了解这些关系,则可以确定影响可靠性的关键流。

  • 创建状态隔离。 工作负荷数据应位于单独的数据磁盘上,以防止干扰 OS 磁盘。 如果 VM 发生故障,可以创建具有相同数据磁盘的新 OS 磁盘,以确保复原和故障隔离。 有关详细信息,请参阅 临时 OS 磁盘

  • 使 VM 及其依赖项跨区域冗余。 如果 VM 发生故障,工作负载应会因为冗余而继续正常运行。 在冗余选项中包含依赖项。 例如,使用磁盘提供的内置冗余选项。 使用区域冗余 IP 来确保数据可用性和较高的运行时间。

  • 准备好纵向扩展和横向扩展 ,以防止服务级别下降并避免故障。 虚拟机规模集具有自动缩放功能,可根据需要创建新实例,并在多个 VM 和可用性区域之间分配负载。

  • 探索自动恢复选项。 Azure 支持 VM 的运行状况降级监视和自我修复功能。 例如,规模集提供 自动实例修复。 在更高级的方案中,自我修复包括使用 Azure Site Recovery、使用被动待机来故障转移到基础结构或从基础结构重新部署代码 (IaC) 。 选择的方法应与业务需求和组织运营保持一致。 有关详细信息,请参阅 VM 服务中断

  • 将 VM 及其依赖项权限化。 了解 VM 的预期工作,确保其大小不会过小,并且能够处理最大负载。 具有额外的容量来缓解故障。

  • 创建全面的灾难恢复计划。 灾难准备涉及创建一个全面的计划,并决定恢复的技术。

    依赖项和有状态组件(如附加存储)可能会使恢复复杂化。 如果磁盘出现故障,则该故障会影响 VM 的功能。 在恢复计划中包括这些依赖项的明确过程。

  • 以严格的方式运行操作。 基于监视、生产中的复原测试、自动化应用程序 VM 修补程序和升级以及部署一致性的原则,有效操作必须支持可靠性设计选择。 有关操作指南,请参阅 卓越运营

建议

建议 好处
(规模集) 灵活业务流程模式下使用虚拟机规模集部署 VM。 面向未来的应用程序进行缩放,并利用高可用性保证跨区域或可用性区域中的容错域分布 VM。
(VM) 实现在 VM 上发出实例运行状况状态的 热身终结点

(规模集) 通过指定首选修复操作在规模集上 启用自动 修复。
请考虑设置一个时间范围,在此期间,如果 VM 的状态发生更改,自动修复会暂停。
即使实例被视为不正常,也能保持可用性。 自动修复通过替换故障实例来启动恢复。

设置时间范围可以防止意外或过早的修复操作。
(规模集) 在规模集上 启用过度预配 过度预配可缩短部署时间,并具有成本效益,因为额外的 VM 不会计费。
(规模集) 允许灵活业务流程 将 VM 实例分散 到尽可能多的容错域。 此选项隔离容错域。 在维护期间,当一个容错域更新时,VM 实例可在其他容错域中使用。
(规模集) 跨可用性区域部署 规模集。 在每个区域中至少设置两个实例。
区域均衡 均匀地跨区域分布实例。
VM 实例在每个 Azure 区域中的物理独立位置进行预配,这些位置可容忍本地故障。
请记住,根据资源可用性,跨区域的实例数可能不均衡。 区域均衡支持可用性,方法是确保如果一个区域关闭,其他区域具有足够的实例。
每个区域中的两个实例在升级期间提供一个缓冲区。
(VM) 利用 容量预留功能 容量保留供你使用,在适用的 SLA 范围内可用。 如果不再需要容量预留,则可以删除容量预留,并且计费基于消耗量。

提示

有关 VM 可靠性的详细信息,请参阅 虚拟机 中的可靠性

安全性

安全支柱的目的是为工作负载提供 保密性、完整性和可用性 保证。

安全设计原则通过对虚拟机的技术设计应用方法,提供用于实现这些目标的高级设计策略。

设计清单

根据 安全设计评审清单启动设计策略。 识别漏洞和控制,以改善安全状况。 扩展策略以根据需要包含更多方法。

  • 查看 LinuxWindows VM 的安全基线以及虚拟机规模集

    作为基线技术选择的一部分,请考虑支持工作负载的 VM SKU 的安全功能。

  • 确保及时自动进行安全修补和升级。 确保使用定义完善的过程自动推出和验证更新。 使用 Azure 自动化 等解决方案通过进行关键更新来管理 OS 更新并保持安全合规性。

  • 标识保留状态的 VM。 确保根据组织提供的敏感度标签对数据进行分类。 使用适当级别的静态加密和传输中加密等安全控制来保护数据。 如果有较高的敏感度要求,请考虑使用高安全性控制措施(如双重加密和 Azure 机密计算)来保护正在使用的数据。

  • 通过设置网络边界和访问控制,为 VM 和规模集提供分段。 将 VM 放置在共享相同生命周期的资源组中。

  • 将访问控制应用于 尝试访问 VM 的标识,以及访问其他资源的 VM。 使用 Microsoft Entra ID 满足身份验证和授权需求。 为 VM 及其依赖项(如机密)设置强密码、多重身份验证和基于角色的访问控制 (RBAC) ,以允许允许的标识仅执行其角色所需的操作。

    使用条件访问Microsoft Entra根据条件限制资源访问。 根据持续时间和所需的最小权限集定义条件策略。

  • 使用网络控制来限制入口和出口流量。 隔离 Azure 虚拟网络中的 VM 和规模集,并定义网络安全组以筛选流量。 防范分布式拒绝服务 (DDoS) 攻击。 使用负载均衡器和防火墙规则来防范恶意流量和数据外泄攻击。

    使用 Azure Bastion 提供与 VM 的安全连接,以便进行操作访问。

    从 VM 到平台即服务 (PaaS) 解决方案的通信应通过专用终结点进行。

  • 通过强化 OS 映像并删除未使用的组件来减少攻击面。 使用较小的映像并删除运行工作负载不需要的二进制文件。 通过删除不需要的功能(如默认帐户和端口)来加强 VM 配置。

  • 保护机密 ,例如保护传输中的数据所需的证书。 请考虑使用适用于 WindowsLinux 的 Azure 密钥保管库扩展,该扩展会自动刷新密钥保管库中存储的证书。 当它检测到证书中的更改时,扩展将检索并安装相应的证书。

  • 威胁检测。 监视 VM 中的威胁和错误配置。 使用 Defender for Servers 捕获 VM 和 OS 更改,并维护访问权限、新帐户和权限更改的审核跟踪。

  • 威胁防护。 通过实施防火墙、防病毒软件和入侵检测系统等安全控制来防范恶意软件攻击和恶意参与者。 确定是否需要 受信任的执行环境 (TEE)

建议

建议 好处
(规模集) 向规模集分配托管标识。 规模集中的所有 VM 通过指定的 VM 配置文件获取相同的标识。

(VM) 还可以在创建 单个 VM 时向其分配托管标识 ,然后根据需要将其添加到规模集。
当 VM 与其他资源通信时,它们会跨越信任边界。 规模集和 VM 应在允许通信之前对其标识进行身份验证。 Microsoft Entra ID使用托管标识处理该身份验证。
(规模集) 选择具有安全功能的 VM SKU
例如, 某些 SKU 支持 BitLocker 加密机密计算 提供对使用中的数据的加密。
查看功能以了解限制。
Azure 提供的功能基于跨多个租户捕获的信号,可以比自定义控件更好地保护资源。 还可以使用策略来强制实施这些控制。
(VM,规模集) 在预配的资源中 应用组织建议的标记 标记 是对资源进行分段和组织的常用方法,在事件管理期间可能至关重要。 有关详细信息,请参阅 命名和标记的用途
(VM,规模集) 使用要在 VM 配置中启用的安全功能 设置安全配置文件
例如,在配置文件中指定 主机加密 时,存储在 VM 主机上的数据将静态加密,流将加密到存储服务。
创建 VM 时,会自动启用安全配置文件中的功能。
有关详细信息,请参阅适用于 虚拟机规模集 的 Azure 安全基线
(VM) 为 VM 的网络配置文件选择安全网络选项

不要将公共 IP 地址直接关联到 VM,也不要启用 IP 转发。

确保所有虚拟网络接口都有关联的网络安全组。
可以在网络配置文件中设置分段控制。
攻击者扫描公共 IP 地址,使 VM 容易受到威胁。
(VM) 为 VM 的 存储配置文件选择安全存储选项

默认启用磁盘加密和静态数据加密。 禁用对 VM 磁盘的公用网络访问。
禁用公用网络访问有助于防止对数据和资源的未经授权的访问。
(VM,规模集) 在 VM 中包含 可防范威胁的扩展。
例如,
- 适用于 WindowsLinux 的密钥保管库扩展
- Microsoft Entra ID身份验证
- Azure 云服务和虚拟机的Microsoft Antimalware
- 适用于 WindowsLinux 的 Azure 磁盘加密扩展。
这些扩展用于使用适当的软件启动 VM,这些软件可保护对 VM 的访问和从 VM 进行访问。
Microsoft 提供的扩展会经常更新,以跟上不断发展的安全标准。

成本优化

成本优化侧重于 检测支出模式、确定关键领域的投资优先级,以及优化其他领域 以满足组织预算,同时满足业务需求。

成本优化设计原则提供了一个高级设计策略,用于实现这些目标,并在与虚拟机及其环境相关的技术设计中根据需要做出权衡。

设计清单

根据投资 成本优化的设计评审清单 启动设计策略。 微调设计,使工作负荷与为工作负荷分配的预算保持一致。 设计应使用适当的 Azure 功能,监视投资,并找到随时间推移进行优化的机会。

  • 估算实际成本。 使用 定价计算器 估算 VM 的成本。 使用 VM 选择器确定最适合工作负荷的 VM。 有关详细信息,请参阅 LinuxWindows 定价。

  • 实施成本防护措施。 使用治理策略来限制资源类型、配置和位置。 使用 RBAC 阻止可能导致超支的操作。

  • 选择正确的资源。 VM 计划大小和 SKU 的选择将直接影响总成本。 根据工作负荷特征选择 VM。 工作负荷是 CPU 密集型还是运行可中断进程? 每个 SKU 都有影响总成本的关联磁盘选项。

  • 为依赖资源选择适当的功能。 通过使用具有预留容量的Azure 备份存储,节省保管库标准层的备份存储成本。 当你承诺预留一年或三年时,它将提供折扣。

    Azure 存储中的存档层是一个脱机层,已针对存储很少访问的 Blob 数据进行优化。 与热联机层和冷联机层相比,存档层的存储成本最低,但数据检索成本和延迟更高。

    请考虑对 VM 使用 区域到区域灾难恢复 ,以便从站点故障中恢复,同时使用区域冗余服务降低可用性的复杂性。 降低操作复杂性可能会带来成本优势。

  • 选择正确的计费模型。 评估用于计算的基于承诺的模型是否根据工作负载的业务要求优化成本。 请考虑以下 Azure 选项:

    • Azure 预留:与基于消耗的定价相比,为可预测的工作负载预付费用,以降低成本。

      重要

      购买预留实例以降低使用稳定的工作负载的 Azure 成本。 管理使用情况,确保不会为比使用的更多资源付费。 使预留实例保持简单,并降低管理开销以降低成本。

    • 节省计划:如果你承诺在计算服务上花费固定的小时金额一年或三年,则此计划可以降低成本。
    • Azure 混合权益:将本地 VM 迁移到 Azure 时保存。
  • 监视使用情况。 持续监视使用模式并检测未使用或未充分利用的 VM。 对于这些实例,请在 VM 实例未使用时关闭这些实例。 监视是卓越运营的关键方法。 有关详细信息,请参阅 卓越运营中的建议。

  • 寻找优化方法。 一些策略包括在增加现有系统中的资源或纵向扩展和添加该系统的更多实例或横向扩展之间选择最经济高效的方法。可以通过将需求分发到其他资源来减轻需求,也可以通过实现优先级队列、网关卸载、缓冲和速率限制来减少需求。 有关详细信息,请参阅 性能效率中的建议。

建议

建议 好处
(VM,规模集) 选择合适的 VM 计划大小和 SKU。 确定最适合工作负荷的 VM 大小
使用 VM 选择器确定最适合工作负荷的 VM。 请参阅 WindowsLinux 定价。

对于可以容忍某些中断的高度并行批处理作业等工作负载,请考虑使用 Azure 现成虚拟机。 现成虚拟机适用于试验、开发和测试大规模解决方案。
SKU 根据它们提供的功能定价。 如果不需要高级功能,请不要在 SKU 上超支。

现成虚拟机以更低的成本利用 Azure 中的剩余容量。
(VM,规模集) 评估与 VM SKU 关联的磁盘选项
确定性能需求,同时记住存储容量需求,并考虑波动的工作负载模式。
例如,Azure 高级 SSD v2 磁盘允许你根据磁盘大小来精细地调整性能。
某些高性能磁盘类型提供额外的成本优化功能和策略。
高级 SSD v2 磁盘的调整功能可以降低成本,因为它在不过度预配的情况下提供高性能,否则可能会导致资源使用不足。
(规模集) 将常规 VM 与现成虚拟机混合使用。
灵活的业务流程允许根据指定的百分比 分配现成虚拟机
通过应用现成虚拟机的深层折扣来降低计算基础结构成本。
(规模集) 需求减少时减少 VM 实例数
根据条件设置横向缩减策略

在非工作时间停止 VM。 可以使用Azure 自动化启动/停止功能,并根据业务需求对其进行配置。
在资源未使用时缩减或停止资源可以减少规模集中运行的 VM 数量,从而节省成本。
“启动/停止”功能是一种低成本的自动化选项。
(VM,规模集) 使用 Azure 混合权益 利用许可证移动性。 VM 有一个许可选项,允许你将自己的本地 Windows Server OS 许可证 引入 Azure。
Azure 混合权益还允许将某些 Linux 订阅引入 Azure。
可以最大化本地许可证,同时获得云的优势。

卓越运营

卓越运营主要侧重于 开发实践、可观测性和发布管理的过程。

卓越运营设计原则提供了一个高级设计策略,用于实现这些目标,以满足工作负载的运营要求。

设计清单

根据卓越运营的设计评审清单启动设计策略,以定义与虚拟机和规模集相关的可观测性、测试和部署流程。

  • 监视 VM 实例。 从 VM 实例收集日志和指标,以监视资源使用情况并测量实例的运行状况。 一些常见 指标 包括 CPU 使用率、请求数和输入/输出 (I/O) 延迟。 设置 Azure Monitor 警报 ,以便收到有关问题的通知,并检测环境中的配置更改。

  • 监视 VM 及其依赖项的运行状况

    • 部署监视组件以收集日志和指标,以便全面查看 VM、来宾 OS 和启动诊断数据。 虚拟机规模集汇总遥测数据,这样就可以在单个 VM 级别或以聚合方式查看运行状况指标。 使用 Azure Monitor 查看每个 VM 或跨多个 VM 聚合的此数据。 有关详细信息,请参阅 有关监视代理的建议
    • 利用检查 VM 运行状况的网络组件。 例如,Azure 负载均衡器 ping VM 以检测不正常的 VM 并相应地重新路由流量。
    • 设置 Azure Monitor 警报规则。 确定监视数据中的重要条件,以便在问题影响系统之前识别并解决问题。
  • 创建维护计划 ,将定期系统修补作为常规操作的一部分。 包括允许立即修补应用程序的紧急进程。 可以使用自定义流程来管理修补或将任务部分委托给 Azure。 Azure 提供用于单个 VM 维护的功能。 可以设置维护时段,以最大程度地减少更新期间的中断。 在平台更新期间,容错域注意事项是恢复能力的关键。 建议在一个区域中至少部署两个实例。 每个区域两个 VM 保证每个区域中至少有一个 VM,因为一个区域中一次只更新一个容错域。 因此,对于三个区域,至少预配六个实例。

  • 自动执行启动、运行脚本和配置 VM 的过程。 可以使用扩展或自定义脚本自动执行流程。 我们建议使用以下选项:

    • 密钥保管库 VM 扩展会自动刷新存储在密钥保管库中的证书。

    • 适用于 Windows 和 Linux 的 Azure 自定义脚本扩展在 虚拟机 上下载并运行脚本。 使用此扩展进行部署后配置、软件安装或其他任何配置或管理任务。

    • 使用 cloud-init 为基于 Linux 的 VM 设置启动环境。

  • 具有安装自动更新的过程。 请考虑使用 自动 VM 来宾修补 来及时推出关键修补程序和安全修补程序。 使用 Azure 自动化 中的更新管理来管理 Azure 中 Windows 和 Linux VM 的 OS 更新。

  • 将更新和更改部署到生产环境之前,生成与生产环境紧密匹配的测试环境以测试更新和更改。 制定流程以测试安全更新、性能基线和可靠性故障。 利用 Azure Chaos Studio 故障库注入和模拟错误条件。 有关详细信息,请参阅 Azure Chaos Studio 故障和操作库

  • 管理配额。 规划工作负荷所需的配额级别,并随着工作负荷的发展定期查看该级别。 如果需要增加或减少配额,请 尽早请求这些更改

建议

建议 好处
(灵活业务流程模式下的规模集) 虚拟机规模集可帮助简化工作负载的部署和管理。 例如,可以使用自动修复轻松管理自我修复。 灵活的业务流程可以大规模管理 VM 实例。 处理单个 VM 会增加操作开销。

例如,删除 VM 实例时,关联的磁盘和 NIC 也会自动删除。 VM 实例分布在多个容错域中,因此更新操作不会中断服务。
(规模集) 通过设置升级策略使 VM 保持最新。 建议进行滚动升级。 但是,如果需要精细控制,请选择手动升级。

对于灵活业务流程,可以在 Azure 自动化 中使用更新管理
安全性是升级的主要原因。 实例的安全保证不应随时间推移而下降。

滚动升级分批完成,这可确保所有实例不会同时关闭。
(VM,规模集) 通过在配置文件中定义应用程序从 Azure Compute Gallery 自动部署 VM 应用程序。 将创建规模集中的 VM 并预安装指定的应用,从而使管理更加容易。
在引导过程中将预生成的软件组件作为扩展安装
Azure 支持许多扩展,可用于为 VM 配置、监视、保护和提供实用工具应用程序。

对扩展启用自动升级
扩展有助于大规模简化软件安装,而无需在每个 VM 上手动安装、配置或升级软件。
(VM,规模集) 监视和度量 VM 实例的运行状况。

监视代理 扩展部署到 VM,以使用特定于 OS 的数据收集规则从来宾 OS 收集监视数据

启用 VM 见解 以监视运行状况和性能,并从收集的数据中查看趋势。

使用启动诊断获取 VM 启动时的信息。 启动诊断还会诊断启动失败。
监视数据是事件解决的核心。 全面的监视堆栈提供有关 VM 的性能及其运行状况的信息。 通过持续监视实例,你可以为或防止性能过载和可靠性问题等故障做好准备。

性能效率

性能效率与维护用户体验有关,即使通过管理容量 增加负载 也是如此。 该策略包括缩放资源、识别和优化潜在瓶颈,以及优化峰值性能。

性能效率设计原则提供了一个高级设计策略,用于根据预期使用情况实现这些容量目标。

设计清单

根据 性能效率的设计评审清单启动设计策略。 定义基于虚拟机和规模集的关键绩效指标的基线。

  • 定义性能目标。 确定 VM 指标,以跟踪和衡量响应时间、CPU 利用率和内存利用率等性能指标,以及工作负载指标,例如每秒事务数、并发用户以及可用性和运行状况。

  • 在容量规划中考虑 VM、规模集和磁盘配置的性能配置文件。 每个 SKU 具有不同的内存和 CPU 配置文件,其行为因工作负荷类型而异。 进行试点和概念证明,以了解特定工作负载下的性能行为。

  • VM 性能优化。 根据工作负载的要求,充分利用性能优化和增强功能。 例如,使用本地附加的非易失性内存 Express (NVMe) 实现高性能用例和加速网络,并使用高级 SSD v2 提高性能和可伸缩性。

  • 考虑依赖服务。 与 VM 交互的工作负载依赖项(如缓存、网络流量和内容分发网络)可能会影响性能。 此外,请考虑地理分布,例如区域和区域,这可能会增加延迟。

  • 收集性能数据。 遵循 卓越运营最佳做法 进行监视和部署相应的扩展,以查看跟踪性能指标的指标。

  • 邻近放置组。 在需要低延迟的工作负荷中使用 邻近放置组 ,以确保 VM 在物理上彼此靠近。

建议

建议 好处
(VM,规模集) 为符合容量规划的 VM 选择 SKU

充分了解工作负载要求,包括核心数、内存、存储和网络带宽,以便筛选出不合适的 SKU。
调整 VM 大小是一个重大影响工作负荷性能的基本决策。 如果没有正确的 VM 集,可能会遇到性能问题并产生不必要的成本。
(VM,规模集) 在邻近放置组中部署延迟敏感型工作负载 VM。 邻近放置组可减少 Azure 计算资源之间的物理距离,从而提高性能并减少独立 VM、多个可用性集中的 VM 或多个规模集中的 VM 之间的网络延迟。
(VM,规模集) 通过分析现有工作负载和 VM SKU 的磁盘性能来设置 存储配置文件

高级 SSD 用于生产 VM。 使用高级 SSD v2 调整磁盘的性能。

使用本地连接的 NVMe 设备。
高级 SSD 提供高性能和低延迟磁盘,支持具有 I/O 密集型工作负载的 VM。
高级 SSD v2 不需要磁盘大小调整,这可实现高性能,而不会过度预配,并最大限度地降低未使用容量的成本。

如果 VM SKU 上可用,本地附加的 NVMe 或类似设备可以提供高性能,尤其是对于每秒需要高输入/输出操作 (IOPS) 和低延迟的用例。
(VM) 考虑启用 加速网络 它支持将单根 I/O 虚拟化 (SR-IOV) VM,从而大大提高其网络性能。
(VM,规模集) 设置自动缩放规则 ,以根据需要增加或减少规模集中的 VM 实例数。 如果应用程序需求提高,规模集中 VM 实例上的负载将会增大。 自动缩放规则可确保有足够的资源来满足需求。

Azure 策略

Azure 提供了一组与虚拟机及其依赖项相关的大量内置策略。 可以通过Azure Policy审核上述一些建议。 例如,可以检查:

  • 已启用主机上的加密。
  • 在运行 Windows Server 的 VM 上部署并启用反恶意软件扩展,以便自动更新。
  • 已启用规模集上的自动 OS 映像修补。
  • 仅安装批准的 VM 扩展。
  • 监视代理和依赖项代理在 Azure 环境中的新 VM 上启用。
  • 仅部署允许的 VM SKU,以根据成本约束限制大小。
  • 专用终结点用于访问磁盘资源。
  • 已启用漏洞检测。 Windows 计算机有专用规则。 例如,可以计划每天扫描Windows Defender。

若要全面治理,请查看Azure Policy内置定义,了解可能影响计算层安全性的虚拟机和其他策略。

Azure 顾问建议

Azure 顾问是个性化的云顾问程序,可帮助遵循最佳做法来优化 Azure 部署。 下面是一些建议,可帮助你提高虚拟机的可靠性、安全性、成本效益、性能和卓越运营。

后续步骤

将以下文章视为演示本文重点介绍的建议的资源。