Для подготовки к работе виртуальной машины в Azure, помимо самой виртуальной машины, требуются некоторые дополнительные компоненты, такие как сеть и хранилище ресурсов. Рекомендации по запуску виртуальных машин Windows в Azure.

Виртуальная машина Windows в Azure

Группа ресурсов

Группа ресурсов представляет собой логический контейнер, содержащий связанные ресурсы Azure. Как правило, группы ресурсов создаются в зависимости от времени существования ресурсов и пользователя, который ими управляет.

Поместите тесно связанные ресурсы с одинаковым жизненным циклом в одну группу ресурсов. Группы ресурсов позволяют развертывать и отслеживать несколько ресурсов как одну группу, для которой, помимо прочего, можно отслеживать выставляемые счета. Можно также удалить ресурсы в виде набора, что очень удобно для тестирования развернутых служб. Присвойте понятные имена ресурсам, чтобы упростить поиск определенного ресурса и получить сведения о его роли. Дополнительные сведения см. в руководстве по рекомендуемым соглашениям об именовании ресурсов Azure.

Виртуальная машина

Виртуальную машину можно подготовить на основе списка опубликованных образов, пользовательского управляемого образа или файла виртуального жесткого диска (VHD), передав его в хранилище BLOB-объектов Azure.

В Azure доступны виртуальные машины разных размеров. Дополнительные сведения см. в статье Размеры виртуальных машин Windows в Azure.

При перемещении имеющейся рабочей нагрузки в Azure выберите начальный размер виртуальной машины, который точнее всего соответствует характеристикам локальных серверов. Затем измерьте производительность фактической рабочей нагрузки по таким показателям, как потребление ЦП, памяти и дисковых операций ввода-вывода в секунду, и при необходимости измените размер.

Обычно следует выбирать регион Azure, расположенный как можно ближе к внутренним пользователям или клиентам. Не во всех регионах доступны виртуальные машины всех размеров. См. дополнительные сведения о доступности служб в разных регионах. Чтобы получить список размеров виртуальных машин, доступных в определенном регионе, выполните следующую команду из Azure CLI:

az vm list-sizes --location <location>

Дополнительные сведения о том, как выбрать опубликованный образ виртуальной машины, см. в руководстве по поиску образов виртуальных машин Windows.

Диски

Чтобы обеспечить оптимальную производительность дисковых операций ввода-вывода, рекомендуем использовать хранилище класса Premium, в котором данные хранятся на твердотельных накопителях (SSD). Цена зависит от производительности подготовленного диска. Скорость выполнения операций ввода-вывода и пропускная способность также зависят от размера диска. Поэтому во время подготовки диска следует учитывать все эти факторы.

Мы также рекомендуем использовать Управляемые диски. Благодаря автоматической обработке хранилища управляемые диски упрощают процесс управления дисками. Управляемым дискам не требуется учетная запись хранения. Просто укажите размер и тип диска, и он будет развернут как высокодоступный ресурс.

Диск операционной системы — это диск VHD, расположенный в службе хранилища Azure, поэтому он работает, даже если хост-компьютер отключен. Кроме того, рекомендуем создать один или несколько дисков данных на постоянных виртуальных жестких дисках, которые используются для данных приложений. Если это возможно, устанавливайте приложения на диск данных, а не на диск операционной системы. Для работы некоторых устаревших приложений может потребоваться установить компоненты на диске С. В этом случае вы можете изменить размер диска ОС, используя PowerShell.

Виртуальная машина создается с временным диском (в Windows это диск D:). Временный диск хранится на физическом диске хост-компьютера. Он не хранится в службе хранилища Azure и может быть удален во время перезагрузки и других событий жизненного цикла виртуальной машины. Используйте этот диск только для временных данных, таких как данные страниц или файлы подкачки.

Сеть

Сетевые компоненты включают приведенные ниже ресурсы.

  • Виртуальная сеть. Каждая виртуальная машина развертывается в виртуальной сети, которую можно разделить на несколько подсетей.
  • Сетевой интерфейс (NIC). Сетевой адаптер обеспечивает взаимодействие виртуальной машины и виртуальной сети. Если для виртуальной машины требуется несколько сетевых адаптеров, имейте в виду, что для каждого размера виртуальной машиныопределяется максимальное число сетевых адаптеров.
  • Общедоступный IP-адрес. Общедоступный IP-адрес используется для обмена данными с виртуальной машиной — например, через удаленный рабочий стол. Общедоступный IP-адрес может быть динамическим или статическим. По умолчанию используется динамический IP-адрес.
  • Зарезервируйте статический IP-адрес, если вам нужен постоянный IP-адрес, например, для создания записи типа А в DNS или добавления IP-адреса в список надежных адресов.
  • Можно также создать полное доменное имя для IP-адреса. Затем вы сможете зарегистрировать в DNS запись CNAME, которая указывает на полное доменное имя. Дополнительные сведения см. в руководстве по созданию полного доменного имени на портале Azure.
  • Группа безопасности сетиГруппы безопасности сети используются для разрешения или запрета сетевого трафика для виртуальных машин. Группы безопасности сети могут быть связаны с подсетями или отдельными экземплярами виртуальных машин.

Все группы безопасности сети содержат набор правил по умолчанию, включая правило, которое блокирует весь входящий интернет-трафик. Правила по умолчанию нельзя удалить, но их можно переопределить другими правилами. Чтобы разрешить интернет-трафик, создайте правила, разрешающие входящий трафик для определенных портов, например, это может быть порт 80 для протокола HTTP. Чтобы включить доступ по протоколу RDP, добавьте правило группы безопасности сети, которое разрешает входящий трафик через TCP-порт 3389.

Operations

Диагностика. Включите мониторинг и диагностику, в том числе базовые метрики работоспособности, а также ведение журналов инфраструктуры диагностики и диагностику загрузки. Если виртуальную машину невозможно загрузить, для обнаружения неисправностей можно использовать диагностику загрузки. Создайте учетную запись службы хранилища Azure для хранения журналов. Учетной записи локально избыточного хранилища достаточно для хранения журналов диагностики. Дополнительные сведения см. в статье о включении мониторинга и диагностики.

Доступность. На виртуальную машину могут влиять действия планового обслуживания и внепланового простоя. Чтобы определить, вызвана ли перезагрузка плановым техническим обслуживанием, изучите журналы перезагрузки виртуальной машины. Для повышения доступности разверните несколько виртуальных машин в группе доступности. Эта конфигурация также позволяет использовать лучшее Соглашение об уровне обслуживания.

Резервные копии Для защиты от случайной потери данных используйте службу Azure Backup, чтобы архивировать виртуальные машины в геоизбыточное хранилище. Azure Backup обеспечивает согласование резервных копий с приложениями.

Остановка виртуальной машины. Azure различает состояния “Остановлена” и “Освобождена”. Вы оплачиваете использование остановленных виртуальных машин, но не оплачиваете освобожденные виртуальные машины. Также это можно сделать с помощью кнопки Прервать на портале Azure. Если вы войдете в виртуальную машину и завершите работу операционной системы, виртуальная машина будет остановлена, а не освобождена, поэтому с вас по-прежнему будет взиматься плата.

Удаление виртуальной машины. Если вы удалите виртуальную машину, виртуальные жесткие диски останутся. Это означает, что вы можете удалить виртуальную машину без потери данных. Тем не менее плата за хранение по-прежнему будет взиматься. Чтобы удалить виртуальный жесткий диск, удалите соответствующий файл из хранилища BLOB-объектов. Чтобы предотвратить случайное удаление, используйте блокировку ресурсов. Так вы сможете заблокировать всю группу или отдельные ресурсы (например, виртуальную машину).

Рекомендации по затратам

В зависимости от использования и рабочей нагрузки можно использовать различные параметры для размеров виртуальных машин. Этот диапазон включает наиболее экономичный вариант серии «BS» с новейшими виртуальными машинами GPU, оптимизированными для машинного обучения. сведения о доступных параметрах см. в статье цены на виртуальные машины Azure Windows.

Для рабочих нагрузок без прогнозируемого времени завершения или потребления ресурсов рассмотрите вариант ” Оплата по мере использования”.

Используйте резервирование Azure , если вы можете зафиксироваться на использовании виртуальной машины в течение одного или трех лет. Резервирование виртуальных машин позволяет сократить затраты до 72% по сравнению с ценами оплаты по мере использования.

Использование виртуальных машин Azure для запуска рабочих нагрузок может быть прервано и не требует завершения в рамках предварительно определенного периода или соглашения об уровне обслуживания. Azure развертывает плашечные виртуальные машины при наличии доступной емкости и пропуская способность, когда она нуждается в обратном объеме. Затраты, связанные с плашечными виртуальными машинами, значительно ниже. Рассмотрите возможность выявления виртуальных машин для этих рабочих нагрузок:

  • Сценарии высокопроизводительных вычислений, задания пакетной обработки или приложения визуальной визуализации.
  • Тестовые среды, включая рабочие нагрузки непрерывной интеграции и непрерывной поставки.
  • Крупномасштабные приложения без отслеживания состояния.

Используйте [калькулятор цен Azure] [Azure-ценовая-Calculator] для оценки затрат.

См. сведения о затратах на платформу Microsoft Azure с продуманной архитектурой.

Вопросы безопасности

Используйте защитник Майкрософт для облака , чтобы получить Центральное представление о состоянии безопасности ресурсов Azure. Защитник для облака отслеживает потенциальные проблемы безопасности и предоставляет исчерпывающую картину работоспособности системы безопасности развертывания. Защитник для облака настроен для каждой подписки Azure. Включите сбор данных безопасности, как описано в статье подключение подписки Azure к защитнику для облака Standard. Если сбор данных включен, защитник для облака автоматически проверяет все виртуальные машины, созданные в этой подписке.

Управление исправлениями. Если параметр включен, защитник в облаке проверяет наличие каких либо критических обновлений безопасности. Установите для виртуальной машины параметры групповой политики, разрешающие автоматическое обновление системы.

Защита от вредоносных программ. Если параметр включен, защитник для облака проверяет, установлено ли антивредоносное по. Вы также можете использовать защитник для облака, чтобы установить антивредоносное по из портал Azure.

Управление доступом. Используйте Управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к ресурсам Azure. Azure RBAC позволяет назначать роли авторизации участникам команды DevOps. Например, роль “Читатель” позволяет просматривать ресурсы Azure, но не позволяет создавать и удалять их или управлять ими. Некоторые разрешения относятся к типу ресурса Azure. Например, роль “Участник виртуальных машин” позволяет перезапустить виртуальную машину или отменить ее выделение, сбросить пароль администратора, создать новую виртуальную машину и т. д. К другим встроенным ролям , которые могут быть полезны для этой архитектуры, относится пользователь DevTest Labs и участник сети.

 Примечание

Azure RBAC не ограничивает действия, которые может выполнять пользователь, вошедший в виртуальную машину. Эти разрешения определяются типом учетной записи в гостевой ОС.

Журналы аудита. Просматривать действия по подготовке и другие события для виртуальной машины можно с помощью журналов аудита.

Шифрование данных. При необходимости шифровать диски ОС и диски данных используйте шифрование дисков Azure.

Рекомендации для DevOps

Используйте инфраструктуру как код (IaC) либо с помощью одного шаблона Azure Resource Manager для подготовки ресурсов Azure (декларативный подход), либо с помощью одного сценария PowerShell (императивный подход). поскольку все ресурсы находятся в одной и той же виртуальной сети, они изолированы в одной базовой рабочей нагрузке, что упрощает связывание ресурсов рабочей нагрузки с DevOps командой, чтобы группа могла независимо управлять всеми аспектами этих ресурсов. такая изоляция позволяет DevOpsным командам и службам выполнять непрерывную интеграцию и непрерывную доставку (CI/CD).

кроме того, вы можете использовать разные шаблоны Azure Resource Manager и интегрировать их с Azure DevOps Services для подготовки различных сред за несколько минут, например для репликации рабочих сред, таких как сценарии или нагрузочные среды тестирования, только при необходимости, экономя затраты.

для повышения уровня доступности см. Windows N-уровневого приложения в Azure с SQL Server, эталонная архитектура включает в себя несколько виртуальных машин и каждая виртуальная машина входит в группу доступности.

Мы рекомендуем использовать Azure Monitor для анализа и оптимизации производительности инфраструктуры, отслеживания и диагностики проблем с сетью без входа на виртуальные машины.