Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Виртуальные машины Azure — это тип вычислительной службы, которую можно использовать для создания и запуска виртуальных машин на платформе Azure. Она обеспечивает гибкость в разных номерах SKU, операционных системах и конфигурациях с различными моделями выставления счетов.
В этой статье предполагается, что в качестве архитектора вы рассмотрели дерево принятия решений компьютерное дерево принятия решений и выбрали Виртуальные машины в качестве вычислительной службы для рабочей нагрузки. В этой статье приведены рекомендации по архитектуре, сопоставленные с принципами Well-Architected платформы.
Область технологий
В этом обзоре рассматриваются взаимосвязанные решения для следующих Azure ресурсов:
Виртуальные машины
Azure Virtual Machine Scale Sets (Масштабируемые наборы виртуальных машин Azure)
Диски являются важной зависимостью для архитектур на основе виртуальных машин, но не рассматриваются в этой статье. Для получения дополнительной информации см. в разделе Рекомендации по архитектуре для Хранилище дисков Azure.
Reliability
Цель компонента надежности заключается в обеспечении непрерывной функциональности путем создания достаточной устойчивости и возможности быстрого восстановления после сбоев.
принципы проектирования надежности обеспечивают высокоуровневую стратегию проектирования, применяемую для отдельных компонентов, системных потоков и системы в целом.
Контрольный список разработки рабочей нагрузки
Начните стратегию проектирования на основе контрольного списка для проверки надежности. Определите их релевантность вашим бизнес-требованиям, учитывая идентификаторы SKU, особенности виртуальных машин и их зависимости. Расширьте стратегию, чтобы включить дополнительные подходы по мере необходимости.
Проверьте квоты и лимиты виртуальных машин, которые могут создавать ограничения в проектировании. Виртуальные машины имеют определенные ограничения и квоты, которые зависят от типа виртуальной машины или региона. Могут быть ограничения на подписку, например количество виртуальных машин на одну подписку или количество ядер на виртуальную машину. Если другие рабочие нагрузки используют вашу подписку совместно, ваша способность потреблять данные может быть уменьшена. Проверьте ограничения на виртуальные машины, масштабируемые наборы виртуальных машин и управляемые диски.
Выполните анализ режима сбоя , чтобы свести к минимуму точки сбоя, проанализировав взаимодействие виртуальной машины с компонентами сети и хранилища. Выберите конфигурации, такие как временные диски операционной системы ,чтобы локализовать доступ к диску и избежать сетевых прыжков. Добавьте подсистему балансировки нагрузки для повышения самосохранения путем распределения сетевого трафика между несколькими виртуальными машинами, что повышает доступность и надежность.
Рассчитайте составные цели уровня обслуживания (SLO) на основе соглашений об уровне обслуживания Azure. Убедитесь, что ваш уровень обслуживания не выше Azure SLA, чтобы избежать потенциальных проблем и нереалистичных ожиданий.
Учитывайте сложности, которые представляют зависимости. Например, некоторые компоненты, такие как виртуальные сети и сетевые интерфейсные карты (НИС), не имеют собственных соглашений об уровне обслуживания. Другие зависимости, такие как связанный диск данных, имеют соглашения об уровне обслуживания, которые интегрируются с соглашениями об уровне обслуживания виртуальных машин. Эти варианты следует учитывать, так как они могут повлиять на производительность и надежность виртуальной машины.
Учитывайте критические зависимости виртуальных машин от компонентов, таких как диски и сети. Если вы понимаете эти связи, то можно определить критически важные потоки, влияющие на надежность.
Создайте изоляцию состояния. Данные рабочей нагрузки должны находиться на отдельном диске данных, чтобы предотвратить помехи с диском ОС. Если виртуальная машина терпит сбой, можно создать новый диск операционной системы, используя тот же диск данных, что обеспечивает устойчивость и изоляцию неисправностей. Дополнительные сведения см. в разделе "Временные диски ОС".
Сделайте резервными для разных зон виртуальные машины и их зависимости. Если виртуальная машина выходит из строя, рабочая нагрузка должна продолжать функционировать благодаря избыточности. Включите зависимости в выбор избыточности. Например, используйте встроенные параметры избыточности, доступные с дисками. Используйте IP-адреса с зональной избыточностью, чтобы обеспечить сохранность данных и высокий уровень бесперебойной работы.
Избегайте проектирования рабочих нагрузок, зависящих от одной виртуальной машины, так как эта виртуальная машина не будет устойчивой к запланированным или незапланированным событиям обслуживания или надежности.
Будьте готовы к масштабированию вверх и масштабированию наружу чтобы предотвратить снижение уровня обслуживания и избежать сбоев. Масштабируемые наборы виртуальных машин имеют возможности автомасштабирования, которые создают новые экземпляры по мере необходимости и распределяют нагрузку между несколькими виртуальными машинами и зонами доступности.
Изучите параметры автоматического восстановления. Azure поддерживает мониторинг и самовосстановление работоспособности виртуальных машин. Например, масштабируемые наборы предоставляют автоматическое восстановление экземпляра. В более сложных сценариях самовосстановление включает использование Azure Site Recovery, пассивный резерв для переключения в случае сбоя, или повторное развертывание инфраструктуры как кода (IaC). Выбранный метод должен соответствовать бизнес-требованиям, операциям организации и поддерживать возможность проведения тренировок по восстановлению. Дополнительные сведения см. в статье о сбоях службы виртуальных машин.
Права на виртуальные машины и их зависимости. Поймите ожидаемую работу вашей виртуальной машины, чтобы убедиться, что она не слишком мала и может выдерживать максимальную нагрузку. Дополнительные ресурсы для смягчения сбоев.
Убедитесь, что всегда включенные виртуальные машины продолжают работать. Виртуальные машины в Azure могут быть выключены, что представляет собой другое состояние, чем удаление ресурса. Для виртуальных машин, предназначенных для поддержания работы, используйте
ReadOnlyблокировку ресурсов , чтобы предотвратить случайную остановку виртуальной машины. Это не предотвратит перезагрузку ОС при необходимости для обновлений, но предотвратит ошибку оператора через портал Azure или CLI.Создайте комплексный план аварийного восстановления. Подготовка к авариям включает создание комплексного плана и принятие решения о технологии восстановления.
Зависимости и компоненты с отслеживанием состояния, такие как подключенное хранилище, могут усложнить восстановление. Если диски идут вниз, то эта ошибка влияет на функционирование виртуальной машины. Включите четкий процесс для этих зависимостей в планы восстановления.
Распространение приложений между виртуальными машинами Например, в рабочей нагрузке N-уровня не помещайте приложения или службы хранилища из разных уровней на одни и те же виртуальные машины, а запустите каждый уровень на разных виртуальных машинах. Спроектируйте рабочую нагрузку, учитывая принцип единственной ответственности, что позволяет настроить характеристики надежности и стратегии восстановления для групп виртуальных машин.
Операции выполняются с тщательностью. Варианты проектирования надежности должны поддерживаться эффективными операциями на основе принципов мониторинга, тестирования устойчивости в рабочей среде, автоматического исправления виртуальных машин приложений и обновлений, а также согласованности развертываний. Сведения об операционных рекомендациях см. в разделе "Операционное превосходство".
Рекомендации по настройке
| Recommendation | Benefit |
|---|---|
| (Масштабируемый набор) Использовать Масштабируемые наборы виртуальных машин в режиме оркестрации Flexible для развертывания виртуальных машин. | Для обеспечения будущего масштабирования вашего приложения и использования преимуществ высокой доступности, которые обеспечиваются распространением виртуальных машин между отказоустойчивыми доменами в регионе или зоне доступности. |
| (виртуальные машины) Реализуйте конечные точки работоспособности , которые выдают состояния работоспособности экземпляра на виртуальных машинах. (Масштабируемый набор) Включите автоматическое восстановление в масштабируемом наборе, указав предпочтительное действие восстановления. Рассмотрите возможность настройки интервала времени, в течение которого автоматическое восстановление приостанавливается при изменении состояния виртуальной машины. |
Сохранять доступность даже в том случае, если экземпляр признан неработоспособным. Автоматическое восстановление начинается заменой неисправного экземпляра. Установка периода времени может препятствовать непреднамеренной или преждевременной операции восстановления. |
| (Масштабируемый набор) Включить избыточное резервирование в масштабируемых наборах. | Избыточное развертывание сокращает время развертывания и имеет экономический эффект, так как дополнительные виртуальные машины не тарифицируются. |
| (Масштабируемый набор) Предварительное размещение экземпляров, используя резервные пулы. | Резервные экземпляры пула остаются неактивными, но готовы взять на себя рабочие нагрузки, если произойдет сбой. Эта возможность повышает надежность системы. |
| (Масштабируемый набор) Позвольте гибкой оркестрации распространять экземпляры виртуальных машин по как можно большему числу доменов сбоя. | Этот параметр изолирует домены сбоя. В периоды обслуживания при обновлении одного домена сбоя экземпляры виртуальных машин доступны в других доменах сбоя. |
| (Масштабируемый набор) Развертывание между зонами доступности на масштабируемых наборах. Настройте по крайней мере два экземпляра в каждой зоне. Балансировка зон равномерно распределяет экземпляры по зонам. |
Экземпляры виртуальных машин подготавливаются в физически отдельных расположениях в каждом регионе Azure, которые терпимы к локальным сбоям. Помните, что в зависимости от доступности ресурсов количество экземпляров может быть неравномерным в разных зонах. Балансировка зон способствует доступности, гарантируя наличие достаточного количества ресурсов в других зонах в случае отключения одной из зон. Два экземпляра в каждой зоне предоставляют буфер во время обновления. |
| (Масштабируемый набор) Чтобы повысить время работы службы при сохранении контроля за затратами на обновление, включите MaxSurge. | Новые экземпляры создаются в пакетах с помощью последней модели масштабирования. После работоспособности новых экземпляров старые экземпляры удаляются в пакетах. Этот процесс продолжается до обновления всех экземпляров, что гарантирует отсутствие простоя во время обновлений. |
| (ВМ) Защитить ВМ, которые не могут быть легко перестроены из IaC и начальной конфигурации с помощью мгновенного восстановления Azure Backup. | Наличие моментальных снимков виртуальных машин в хранилище служб восстановления Azure позволяет реализовать требования RPO для восстановления состояния на дисках, подключенных к неисправной виртуальной машине. |
| (виртуальные машины) Воспользуйтесь функцией резервирования мощности. | Емкость зарезервирована для использования и доступна в пределах применимых соглашений об уровне обслуживания. Вы можете удалить резервирования емкости, если они больше не нужны, а выставление счетов производится на основании фактического потребления. |
Security
Цель компонента "Безопасность" — обеспечить конфиденциальности, целостности и доступности гарантии рабочей нагрузки.
Принципы проектирования Security обеспечивают высокоуровневую стратегию проектирования для достижения этих целей, применяя подходы к техническому проектированию Виртуальные машины.
Контрольный список разработки рабочей нагрузки
Начните стратегию проектирования, основываясь на контрольном списке проверки проектирования для безопасности, и выявляйте уязвимости и меры управления для улучшения состояния безопасности. Расширьте стратегию, чтобы включить дополнительные подходы по мере необходимости.
Просмотрите базовые настройки безопасности для виртуальных машин Linux и Windows, а также масштабируемых наборов виртуальных машин.
В рамках ваших базовых параметров технологий рассмотрите функции безопасности SKU виртуальных машин, поддерживающих рабочую нагрузку.
Обеспечение своевременной и автоматической установки обновлений безопасности и обновлений системы. Убедитесь, что обновления автоматически развертываются и проверяются с помощью четко определенного процесса. Используйте решение, например Cлужба автоматизации Azure для управления обновлениями ОС и обеспечения соответствия безопасности, выполняя критически важные обновления.
Определите виртуальные машины, удерживающие состояние. Убедитесь, что данные классифицируются в соответствии с метками конфиденциальности, которые предоставляет ваша организация. Защита данных с помощью мер безопасности, таких как соответствующие уровни шифрования данных в состоянии покоя и при передаче. Если у вас есть высокие требования к конфиденциальности, рекомендуется использовать такие средства управления высокой безопасностью, как двойное шифрование и Azure конфиденциальные вычисления для защиты данных в использовании.
Предоставьте сегментацию виртуальным машинам и масштабируемым наборам, задав границы сети и элементы управления доступом. Разместите виртуальные машины в группах ресурсов, которые используют один и тот же жизненный цикл.
Примените элементы управления доступом к удостоверениям , которые пытаются достичь виртуальных машин, а также к виртуальным машинам, которые достигают других ресурсов. Используйте Microsoft Entra ID для проверки подлинности и авторизации. Настройте надежные пароли, многофакторную аутентификацию и управление доступом на основе ролей (RBAC) для виртуальных машин и их зависимостей, таких как секреты, чтобы предоставить идентификаторам разрешение выполнять только те операции, которые соответствуют их ролям.
Ограничить доступ к ресурсам на основе условий с помощью Условный доступ Microsoft Entra. Определите условные политики на основе длительности и минимального набора необходимых разрешений.
Используйте сетевые элементы управления для ограничения входящего трафика и исходящего трафика. Изоляция виртуальных машин и масштабируемых наборов в Azure Virtual Network и определение групп безопасности сети для фильтрации трафика. Защита от распределенных атак типа "отказ в обслуживании" (DDoS). Используйте подсистемы балансировки нагрузки и правила брандмауэра для защиты от вредоносных атак трафика и кражи данных.
Используйте Бастион Azure для обеспечения более безопасного подключения к виртуальным машинам для оперативного доступа.
Обмен данными с виртуальными машинами и от них на решения платформы как услуги (PaaS) должен выполняться через частные конечные точки.
Уменьшите область атаки , заклинив образы ОС и удалив неиспользуемые компоненты. Используйте небольшие образы и удалите двоичные файлы, которые не требуются для выполнения рабочей нагрузки. Ужесточите конфигурации виртуальных машин, удаляя такие функции, как учетные записи и порты по умолчанию, которые вам не нужны.
Защита секретов , таких как сертификаты, необходимые для защиты передаваемых данных. Рассмотрите возможность использования расширения Azure Key Vault для Windows или Linux, которые автоматически обновляют сертификаты, хранящиеся в хранилище ключей. При обнаружении изменения сертификатов расширение извлекает и устанавливает соответствующие сертификаты.
Обнаружение угроз. Отслеживайте виртуальные машины для угроз и неправильной настройки. Используйте Defender для серверов для записи изменений виртуальной машины и ОС, а также для хранения журнала аудита доступа, новых учетных записей и изменений разрешений.
Предотвращение угроз. Защита от вредоносных атак и вредоносных субъектов путем реализации таких средств безопасности, как брандмауэры, антивирусное программное обеспечение и системы обнаружения вторжений. Определите, требуется ли доверенное окружение выполнения (TEE ).
Рекомендации по настройке
| Recommendation | Benefit |
|---|---|
| (Масштабируемый набор) Назначьте управляемое удостоверение масштабируемым наборам. Все виртуальные машины в масштабируемом наборе получают то же удостоверение через указанный профиль виртуальной машины. (виртуальные машины) Вы также можете назначить управляемое удостоверение отдельным виртуальным машинам при их создании, а затем добавить его в масштабируемый набор при необходимости. |
Когда виртуальные машины взаимодействуют с другими ресурсами, они пересекают границу доверия. Наборы масштабирования и виртуальные машины должны пройти аутентификацию, прежде чем будет разрешена связь. Microsoft Entra ID обрабатывает проверку подлинности с помощью управляемых удостоверений. |
| (Масштабируемый набор) Выберите SKU виртуальных машин с функциями безопасности. Например, некоторые номера SKU поддерживают шифрование BitLocker, а конфиденциальные вычисления обеспечивают шифрование используемых данных. Ознакомьтесь с функциями, чтобы понять ограничения. |
Azure предоставляемые функции основаны на сигналах, которые фиксируются во многих клиентах и могут защитить ресурсы лучше, чем пользовательские элементы управления. Вы также можете использовать политики для применения этих элементов управления. |
| (виртуальные машины, масштабируемый набор) Примените теги, рекомендуемые организацией в предоставленных ресурсах. | Теги — это распространенный способ сегментирования и упорядочения ресурсов и может иметь решающее значение во время управления инцидентами. Дополнительные сведения см. в разделе "Назначение именования и тегов". |
| (виртуальные машины, масштабируемый набор) Задайте профиль безопасности с функциями безопасности, которые необходимо включить в конфигурации виртуальной машины. Например, при указании шифрования на узле в профиле, данные, хранящиеся на узле виртуальной машины, шифруются в состоянии покоя, а потоки данных, которые отправляются в службу хранилища, шифруются. |
Функции в профиле безопасности автоматически включены при создании виртуальной машины. Для получения дополнительной информации см. базовую линию безопасности Azure для виртуальных машин с масштабируемыми наборами. |
| (Виртуальные машины, масштабируемый набор) Включите доверенный запуск на ваших виртуальных машинах.Доверенный запуск предоставляет аппаратные функции безопасности, включая безопасная загрузка и виртуальный доверенный платформенный модуль (vTPM) для повышения уровня безопасности без необходимости повторного развертывания инфраструктуры. Вы можете включить Trusted Launch для существующих Масштабируемые наборы виртуальных машин** с помощью функции обновления на месте. |
Улучшенная безопасность с помощью аппаратных возможностей безопасности, которые можно модернизировать в существующую инфраструктуру без нарушения работы службы, что позволяет организациям повысить уровень соответствия требованиям при сохранении непрерывности работы. |
| (виртуальные машины) Выберите безопасные параметры сети для сетевого профиля виртуальной машины. Не свяжите общедоступные IP-адреса с виртуальными машинами и не включите IP-пересылку. Убедитесь, что все интерфейсы виртуальной сети имеют связанную группу безопасности сети. |
Элементы управления сегментацией можно задать в профиле сети. Злоумышленники сканируют общедоступные IP-адреса. Это действие делает виртуальные машины уязвимыми к угрозам. |
| (виртуальные машины) Выберите параметры безопасного хранилища для профиля хранилища виртуальной машины. Включите шифрование дисков и шифрование неактивных данных по умолчанию. Отключите доступ к дискам виртуальной машины общедоступной сети. |
Отключение доступа к общедоступной сети помогает предотвратить несанкционированный доступ к данным и ресурсам. |
| (виртуальные машины и наборы масштабирования) Добавьте расширения в ваши виртуальные машины, которые защищают от угроз. Например — расширение Key Vault для Windows и Linux - Microsoft Entra ID аутентификация - Майкрософт Антивирус для облачных сервисов Azure и виртуальных машин — расширение Шифрование дисков Azure для Windows и Linux. |
Расширения используются для инициализации виртуальных машин с нужным программным обеспечением, которое защищает доступ к виртуальным машинам и от них. Майкрософт предоставляемые расширения часто обновляются, чтобы соответствовать изменяющимся стандартам безопасности. |
Оптимизация затрат
Оптимизация затрат фокусируется на обнаружении шаблонов расходов, приоритете инвестиций в критически важные области и оптимизации в других в соответствии с бюджетом организации при выполнении бизнес-требований.
Принципы проектирования оптимизации затрат предлагают стратегию на высоком уровне для достижения этих целей и выполнения необходимых компромиссов в техническом проектировании, связанном с виртуальными машинами и их окружением.
Контрольный список разработки рабочей нагрузки
Начните стратегию проектирования на основе контрольного списка оценки для оптимизации затрат при инвестициях. Настройте структуру, чтобы рабочая нагрузка соответствовала бюджету, выделенному для рабочей нагрузки. Проект должен использовать правильные Azure возможности, отслеживать инвестиции и находить возможности для оптимизации с течением времени.
Оцените реалистичные затраты. Используйте калькулятор цен для оценки затрат на виртуальные машины. Определите лучшую виртуальную машину для рабочей нагрузки с помощью селектора виртуальной машины. Дополнительные сведения см. в разделе Linux и Windows цены.
Реализуйте контроль затрат. Используйте политики управления для ограничения типов ресурсов, конфигураций и расположений. Используйте RBAC для блокировки действий, которые могут привести к перерасходу.
Выберите нужные ресурсы. Выбор размеров планов виртуальных машин и номеров SKU непосредственно влияет на общую стоимость. Выберите виртуальные машины на основе характеристик рабочей нагрузки. Является ли рабочая нагрузка интенсивной на ЦП или она выполняет прерываемые процессы? Каждый номер SKU имеет связанные параметры диска, влияющие на общую стоимость.
Выберите нужные возможности для зависимых ресурсов. Сократите затраты на хранилище резервных копий для стандартного уровня, используя хранилище Azure Backup с зарезервированной емкостью. Она предлагает скидку при фиксации резервирования в течение одного года или трех лет.
Уровень архива в служба хранилища Azure — это оффлайн уровень, оптимизированный для хранения объектов типа BLOB, к которым редко обращаются. Уровень архива предлагает самые низкие затраты на хранение, но более высокие затраты на получение данных и задержку по сравнению с горячими и холодными уровнями в Сети.
Рекомендуется использовать аварийное восстановление между зонами для виртуальных машин, чтобы восстановиться после отказа в работе сайта, при этом уменьшая сложность обеспечения доступности с помощью служб, избыточных между зонами. Может быть экономия благодаря снижению сложности операций.
Выберите правильную модель выставления счетов. Оцените, оптимизируют ли модели вычислений на основе обязательств затраты в зависимости от бизнес-требований рабочей нагрузки. Рассмотрим следующие варианты Azure:
-
Резервации Azure: оплата заранее за прогнозируемые нагрузки рабочих процессов для снижения затрат по сравнению с тарифами на основе потребления.
Important
Приобретите зарезервированные экземпляры, чтобы сократить затраты Azure на нагрузки со стабильным использованием. Управление использованием, чтобы убедиться, что вы не оплачиваете больше ресурсов, чем вы используете. Сохраняйте зарезервированные экземпляры простыми и сохраняйте затраты на управление низкими, чтобы снизить затраты.
- План экономии. Если вы собираетесь потратить фиксированную почасовую сумму на вычислительные службы в течение одного или трех лет, этот план может снизить затраты.
- Преимущество гибридного использования Azure: Экономьте при миграции ваших локальных виртуальных машин в Azure.
-
Резервации Azure: оплата заранее за прогнозируемые нагрузки рабочих процессов для снижения затрат по сравнению с тарифами на основе потребления.
Мониторинг использования. Непрерывно отслеживайте шаблоны использования и обнаруживайте неиспользуемые или недоиспользуемые виртуальные машины. Для таких случаев завершите работу экземпляров виртуальных машин, когда они не используются. Мониторинг является ключевым подходом к операционному превосходству. Дополнительные сведения см. в рекомендациях по операционному превосходству.
Ищите возможности для оптимизации. Некоторые стратегии включают выбор наиболее экономичного подхода между увеличением ресурсов в существующей системе или увеличением масштаба и добавлением дополнительных экземпляров этой системы или масштабированием. Вы можете отключить спрос, распределив его в другие ресурсы или сократить спрос, реализуя очереди приоритетов, разгрузку шлюза, буферизацию и ограничение скорости. Дополнительные сведения см. в рекомендациях по эффективности производительности.
Рекомендации по настройке
| Recommendation | Benefit |
|---|---|
| (виртуальные машины, масштабируемый набор) Выберите нужный размер плана виртуальной машины и номер SKU. Определите лучшие размеры виртуальных машин для рабочей нагрузки . Используйте селектор виртуальной машины, чтобы определить лучшую виртуальную машину для рабочей нагрузки. Цены на Windows и Linux. Для рабочих нагрузок, таких как задания обработки пакетной обработки с высокой параллелизмом, которые могут переносить некоторые прерывания, рекомендуется использовать Azure spot Виртуальные машины. Спотовые виртуальные машины хорошо подходят для экспериментов, разработки и тестирования крупномасштабных решений. |
Цены на SKU устанавливаются в соответствии с возможностями, которые они предлагают. Если вам не нужны расширенные возможности, не тратьте лишние средства на SKU. Точечные виртуальные машины используют преимущества избыточной емкости в Azure по более низкой стоимости. |
| (Масштабируемый набор) Смешайте обычные виртуальные машины с точечными виртуальными машинами. Гибкая оркестрация позволяет распределять точечные виртуальные машины на основе указанного процента. Используйте оценку размещения мест для принятия решений на основе данных о выборе лучших регионов и размеров виртуальных машин для повышения доступности и уменьшения сбоев, связанных с емкостью. |
Сокращение затрат на инфраструктуру вычислений путем применения глубоких скидок на точечные виртуальные машины. Оценка места размещения может помочь улучшить общую скорость успешного развертывания точечных виртуальных машин. |
| (Масштабируемый набор) Уменьшите количество экземпляров виртуальных машин при снижении спроса. Задайте политику масштабирования на основе критериев. |
Масштабирование ресурсов, когда они не используются, сокращает количество запущенных виртуальных машин в масштабируемом наборе, что снижает затраты. |
| (Виртуальные машины) Остановить виртуальные машины в нерабочее время. Вы можете использовать функцию Cлужба автоматизации Azure Start/Stop и настроить ее в соответствии с вашими бизнес-потребностями. | Функция запуска и остановки — это недорогой вариант автоматизации, который может значительно уменьшить затраты на неактивные экземпляры. |
| (Виртуальные машины), освободите ресурсы ЦП с помощью Azure Boost. | Разгрузка внутренних процессов виртуализации освобождает ресурсы ЦП для гостевых виртуальных машин. Эта оптимизация приводит к повышению производительности. Azure Ускорение доступно только на определенных виртуальных машинах, поэтому убедитесь, что вы также выбираете размеры виртуальных машин с включенной поддержкой Azure Boost. |
| (Виртуальные машины, масштабируемый набор) Воспользуйтесь преимуществами мобильности лицензий с помощью Преимущество гибридного использования Azure. Виртуальные машины имеют опцию лицензирования, позволяющую переносить свои локальные лицензии Windows Server ОС в Azure. Преимущество гибридного использования Azure также позволяет перенести определенные подписки Linux в Azure. |
Вы можете максимизировать локальные лицензии при получении преимуществ облака. |
пакетная служба Azure консолидировал виртуальные машины Low-Priority и Spot в единую инфраструктуру Spot, упрощая ценовую модель для вычислений с прерываниями. Если рабочая нагрузка использует пулы Batch с виртуальными машинами с низким приоритетом, миграция выполняется автоматически и не требует изменений кода. Убедитесь, что обработка точечных вытеснений выполняется, так как ставки вытеснения могут отличаться от прежней модели Low-Priority. Дополнительные сведения см. в статье "Использование точечных виртуальных машин с рабочими нагрузками пакетной службы".
Операционное превосходство
Операционное совершенство в основном сосредоточено на процедурах, касающихся практик разработки , наблюдаемости и управления релизами.
Принципы проектирования операционной эффективности обеспечивают высокоуровневую стратегию проектирования для достижения этих целей в соответствии с операционными требованиями рабочей нагрузки.
Контрольный список разработки рабочей нагрузки
Начните вашу стратегию проектирования на основе контрольного списка проектирования для достижения эксплуатационного совершенства, чтобы определить процессы наблюдения, тестирования и развертывания, связанные с виртуальными машинами и наборами масштабирования.
Отслеживайте экземпляры виртуальных машин. Сбор журналов и метрик из экземпляров виртуальных машин для мониторинга использования ресурсов и измерения работоспособности экземпляров. Некоторые распространенные метрики включают использование ЦП, количество запросов и задержку ввода-вывода (ввода-вывода). Настройте Azure Monitor alerts, чтобы получать уведомления о проблемах и обнаруживать изменения конфигурации в вашей среде.
Отслеживайте работоспособность виртуальных машин и их зависимостей.
Разверните компоненты мониторинга для сбора журналов и метрик, которые предоставляют комплексное представление виртуальных машин, гостевой ОС и данных диагностики загрузки. Масштабируемые наборы виртуальных машин агрегируют телеметрию, что позволяет вам просматривать метрики работоспособности как для каждой отдельной виртуальной машины, так и в агрегированном виде. Используйте Azure Monitor для просмотра этих данных для каждой виртуальной машины или агрегирования между несколькими виртуальными машинами. Дополнительные сведения см. в рекомендациях по агентам мониторинга.
Воспользуйтесь преимуществами сетевых компонентов, которые проверяют состояние работоспособности виртуальных машин. Например, Azure Load Balancer посылает запросы к ВМ для обнаружения неработоспособных ВМ и перенаправляет трафик соответствующим образом.
Настройте правила генерации оповещений Azure Monitor. Определите важные условия в данных мониторинга для выявления и устранения проблем, прежде чем они влияют на систему.
Создайте план обслуживания , включающий регулярное исправление системы в рамках обычных операций. Включите чрезвычайные процессы, позволяющие немедленно исправить приложение. Вы можете использовать пользовательские процессы для управления исправлениями или частично делегировать задачу Azure. Azure предоставляет функции для отдельного обслуживания VM. Вы можете настроить периоды обслуживания, чтобы свести к минимуму нарушения во время обновлений. Во время обновлений платформы рекомендации по домену сбоя являются ключевыми для устойчивости. Рекомендуется развернуть как минимум два экземпляра в зоне. Две виртуальные машины для каждой зоны гарантируют как минимум одну виртуальную машину в каждой зоне, так как одновременно обновляется только один домен сбоя в зоне. Таким образом, для трех зон обеспечьте по крайней мере шесть инстанций.
Автоматизация процессов начальной загрузки, выполнения скриптов и настройки виртуальных машин. Вы можете автоматизировать процессы с помощью расширений или пользовательских скриптов. Мы рекомендуем использовать следующие параметры:
Расширение виртуальной машины Key Vault автоматически обновляет сертификаты, хранящиеся в key vault.
Расширение пользовательских скриптов Azure для Windows и Linux загружает и выполняет скрипты на виртуальных машинах. Используйте это расширение для настройки после развертывания, установки программного обеспечения или любой другой задачи настройки или управления.
Используйте cloud-init, чтобы настроить среду запуска для виртуальных машин под управлением Linux.
Имеют процессы установки автоматических обновлений. Рекомендуется использовать автоматическое исправление гостевой виртуальной машины для своевременного развертывания критически важных исправлений и исправлений безопасности. Используйте Диспетчер обновлений Azure для управления обновлениями ОС для виртуальных машин Windows и Linux в Azure.
Создайте тестовую среду , которая тесно соответствует рабочей среде для тестирования обновлений и изменений перед развертыванием в рабочей среде. Для проверки обновлений системы безопасности, базовых показателей производительности и сбоев надежности имеются процессы. Воспользуйтесь преимуществами библиотек ошибок Azure Chaos Studio для внедрения и имитации условий ошибок. Дополнительные сведения см. в библиотеке ошибок и действий Azure Chaos Studio.
Управление квотой. Запланируйте уровень квоты рабочей нагрузки и регулярно просматривайте этот уровень по мере развития рабочей нагрузки. Если вам нужно увеличить или уменьшить квоту, запросить эти изменения рано.
Рекомендации по настройке
| Recommendation | Benefit |
|---|---|
| (Масштабируемый набор виртуальных машин) в режиме оркестрации гибкого управления поможет упростить развертывание и управление вашей рабочей нагрузкой. Например, можно легко управлять самовосстановлением с помощью автоматического ремонта. | Гибкая оркестрация может управлять экземплярами виртуальных машин в большом масштабе. Передача отдельных виртуальных машин добавляет операционные издержки. Например, при удалении экземпляров виртуальных машин можно удалить или сохранить связанные с виртуальными машинами диски и сетевые адаптеры. Экземпляры виртуальных машин могут распространяться по нескольким доменам сбоя, чтобы операции обновления не нарушали работу службы. При управлении экземплярами гибкой оркестрации можно использовать все стандартные API виртуальных машин. Виртуальные машины Linux и Windows могут находиться в одном гибком масштабируемом наборе, упрощая управление разнородными рабочими нагрузками. |
| (Масштабируемый набор) Подключение или отключение одного экземпляра виртуальной машины к или от Масштабируемые наборы виртуальных машин в режиме оркестрации Flexible позволяет гибко реагировать на операционные потребности без повторного развертывания инфраструктуры. | Присоединение виртуальных машин позволяет перенести существующие виртуальные машины под управлением VMSS Flex, что позволяет централизованно контролировать обновления, масштабирование и мониторинг. Отключение виртуальных машин от VMSS Flex позволяет изолировать виртуальную машину для устранения неполадок или специальной конфигурации, не нарушая остальную часть масштабируемого набора. |
| (Масштабируемый набор) Оставьте виртуальные машины в актуальном состоянии , задав политику обновления. Рекомендуется выполнить последовательное обновление. Однако если вам нужен детальный контроль, выберите обновление вручную. Для гибкой оркестрации можно использовать Диспетчер обновлений Azure. |
Безопасность является основной причиной обновления. Гарантии безопасности для экземпляров не должны ослабевать с течением времени. Последовательное обновление выполняется в пакетах. Такой подход гарантирует, что ни один экземпляр не будет отключен одновременно с другими. |
| (ВМ, масштабируемый набор) Автоматическое развертывание приложений виртуальных машин из Галереи служб вычислений Azure с определением приложений в профиле. | Виртуальные машины в масштабируемом наборе создаются и указанные приложения предварительно установлены, что упрощает управление. |
|
Установите предварительно созданные компоненты программного обеспечения в качестве расширений в рамках начальной загрузки. Azure поддерживает множество расширений, которые можно использовать для настройки, мониторинга, защиты и предоставления служебных приложений для виртуальных машин. Включите автоматическое обновление расширений. |
Расширения могут упростить установку программного обеспечения в масштабе без необходимости вручную устанавливать, настраивать или обновлять его на каждой виртуальной машине. |
| (виртуальные машины, масштабируемый набор) Отслеживайте и измеряйте работоспособность экземпляров виртуальной машины. Разверните расширение агента Monitor на виртуальных машинах для сбора данных мониторинга из гостевой ОС с использованием правил сбора данных, специфичных для конкретной операционной системы. Включите аналитику виртуальных машин для мониторинга работоспособности и производительности и просмотра тенденций из собранных данных. Используйте диагностику загрузки для получения сведений при загрузке виртуальных машин. Диагностика загрузки также диагностирует сбои загрузки. |
Данные мониторинга являются основой разрешения инцидентов. Полный стек мониторинга содержит сведения о том, как работают виртуальные машины и их состояние. Постоянно отслеживая экземпляры, вы можете быть подготовлены к сбоям или предотвратить их, таким как перегрузка системы и проблемы с надежностью. |
Эффективность производительности
Эффективность производительности заключается в поддержании пользовательского опыта даже в условиях увеличения нагрузки за счёт управления ресурсами. Стратегия включает масштабирование ресурсов, определение потенциальных узких мест и оптимизацию для достижения пиковой производительности.
Принципы проектирования эффективности производительности предлагают высокоуровневую стратегию для достижения этих целей по емкости с учетом ожидаемого использования.
Контрольный список разработки рабочей нагрузки
Начните стратегию проектирования на основе контрольного списка проектирования для эффективности производительности. Определите базовые показатели, основанные на ключевых показателях производительности, для виртуальных машин и масштабируемых наборов виртуальных машин.
Определите целевые показатели производительности. Определите метрики виртуальных машин для отслеживания и измерения показателей производительности в качестве времени отклика, использования ЦП и использования памяти, а также метрик рабочей нагрузки, таких как транзакции в секунду, одновременные пользователи и доступность и работоспособность.
Учитывайте профиль производительности виртуальных машин, масштабируемых наборов и конфигурацию дисков при планировании емкости. Каждый номер SKU имеет другой профиль памяти и ЦП и ведет себя по-разному в зависимости от типа рабочей нагрузки. Проводите пилотные проекты и доказательства концепции, чтобы понять поведение производительности в рамках конкретной рабочей нагрузки.
Настройка производительности виртуальной машины. Воспользуйтесь преимуществами оптимизации производительности и улучшения функций, необходимых рабочей нагрузке. Например, используйте локально подключенную неизменяемую память Express (NVMe) для высокопроизводительных вариантов использования и ускорения сети, а также используйте SSD класса Premium версии 2 для повышения производительности и масштабируемости.
Учитывайте зависимые сервисы. Зависимости рабочей нагрузки, такие как кэширование, сетевой трафик и сети доставки содержимого, которые взаимодействуют с виртуальными машинами, могут повлиять на производительность. Кроме того, рассмотрим географическое распределение, например зоны и регионы, которые могут добавить задержку.
Сбор данных о производительности. Следуйте рекомендациям по мониторингу и развертыванию соответствующих расширений, чтобы просмотреть метрики, отслеживающие показатели производительности.
Группы проксимального размещения. Используйте группы размещения близкого взаимодействия в рабочих нагрузках, где требуется минимальная задержка, для обеспечения физической близости виртуальных машин друг к другу.
Рекомендации по настройке
| Recommendation | Benefit |
|---|---|
| (виртуальные машины, масштабируемый набор) Выберите единицы SKU для виртуальных машин, которые соответствуют планированию ресурсов. У вас есть четкое представление о требованиях к рабочей нагрузке, включая количество ядер, памяти, хранилища и пропускной способности сети, чтобы вы могли исключить неподходящие SKU. |
Права на виртуальные машины — это основное решение, которое значительно влияет на производительность рабочей нагрузки. Без правильного количества соответствующих виртуальных машин можно столкнуться с проблемами с производительностью виртуальных машин, которые регулярно находятся в пиковой емкости или начисляют ненужные затраты за счет развертывания неиспользуемой емкости. |
| (виртуальные машины, набор горизонтального масштабирования) Развертывание чувствительных к задержке виртуальных машин с рабочей нагрузкой в группах размещения близкого взаимодействия. | Группы размещения с близким расположением уменьшают физическое расстояние между вычислительными ресурсами Azure, что может повысить производительность и уменьшить задержку сети между отдельными виртуальными машинами, виртуальными машинами в разных группах доступности или виртуальными машинами в нескольких масштабируемых наборах. |
| (виртуальные машины) Рассмотрите возможность включения ускоренной сети. | Обеспечивает виртуализацию ввода-вывода с единым корнем (SR-IOV) для виртуальной машины, что значительно повышает ее сетевую производительность. |
| (виртуальные машины, масштабируемый набор) Задайте правила автомасштабирования , чтобы увеличить или уменьшить количество экземпляров виртуальных машин в масштабируемом наборе по требованию. | При увеличении потребностей вашего приложения увеличивается нагрузка на экземпляры виртуальных машин в наборе масштабирования. Правила автомасштабирования гарантируют, что у вас достаточно ресурсов для удовлетворения спроса. |
политики Azure
Azure предоставляет широкий набор встроенных политик, связанных с Виртуальные машины и его зависимостями. Некоторые из предыдущих рекомендаций можно проверить с помощью Политика Azure. Например, можно проверить, можно ли:
Шифрование включено на уровне узла. Убедитесь, что шифрование включено на уровне узла, чтобы обеспечить дополнительную безопасность для данных виртуальной машины.
Развертываются расширения защиты от вредоносных программ. Убедитесь, что расширения защиты от вредоносных программ развертываются на виртуальных машинах, выполняющих Windows Server, и установите для автоматического обновления, чтобы обеспечить постоянную защиту.
Автоматическое исправление образа ОС включено. Убедитесь, что автоматическое исправление образа ОС включено в масштабируемых наборах, чтобы обеспечить обновление виртуальных машин с помощью исправлений системы безопасности.
Устанавливаются только утвержденные расширения виртуальной машины. Убедитесь, что на виртуальных машинах установлены только утвержденные расширения. Этот подход помогает свести к минимуму риск уязвимостей системы безопасности.
Активированы модули мониторинга и зависимостей. Убедитесь, что агент монитора и агенты зависимостей включены на всех новых виртуальных машинах для упрощения мониторинга и управления зависимостями.
Развёртываются только разрешённые SKU виртуальных машин. Убедитесь, что развернуты только утвержденные SKU виртуальных машин. Эта политика гарантирует соблюдение ограничений затрат и требований к ресурсам.
Частные конечные точки используются для доступа к диску. Убедитесь, что частные конечные точки используются для безопасного доступа к ресурсам диска. Этот подход помогает предотвратить воздействие общедоступных сетей.
Обнаружение уязвимостей включено. Включите обнаружение уязвимостей для виртуальных машин. Для Windows компьютеров настройте такие правила, как ежедневные проверки с помощью антивирусной программы Microsoft Defender для обнаружения потенциальных угроз.
Для комплексного управления ознакомьтесь со встроенными определениями Политика Azure для Виртуальные машины и других политик, которые могут повлиять на безопасность вычислительного слоя.
рекомендации Помощник по Azure
Помощник по Azure — это персонализированный облачный консультант, который поможет вам следовать рекомендациям по оптимизации Azure развертываний.
Дополнительные сведения см. в разделе Помощник по Azure.
Пример архитектуры
Базовая архитектура, демонстрирующая основные рекомендации: Виртуальные машины базовая архитектура.
Связанный контент
Рассмотрим следующие статьи как ресурсы, демонстрирующие рекомендации, выделенные в этой статье.
- Используйте следующие эталонные архитектуры в качестве примеров применения рекомендаций этой статьи к рабочей нагрузке:
- Архитектуры отдельных виртуальных машин: Linux VM и Windows vm
- Базовая архитектура, посвященная рекомендациям по инфраструктуре: Виртуальные машины базовая архитектура
- Создайте опыт реализации с помощью следующей документации по продукту: