Spuštění virtuálního počítače se systémem Linux v centru Azure Stack

Zřizování virtuálního počítače v Azure Stackovém centru, jako je Azure, vyžaduje některé další komponenty kromě samotného virtuálního počítače, včetně síťových prostředků a prostředků úložiště. Tento článek popisuje osvědčené postupy pro spuštění virtuálního počítače se systémem Linux v centru Azure Stack.

Architektura pro virtuální počítač se systémem Linux v centru Azure Stack

Skupina prostředků

Skupina prostředků je logický kontejner, který obsahuje související prostředky centra Azure Stack. Obecně je potřeba seskupit prostředky na základě jejich životního cyklu a spravovat je.

Do jedné skupiny prostředků byste měli umístit úzce související prostředky, které mají stejný životní cyklus. Skupiny prostředků umožňují nasadit a monitorovat prostředky jako skupinu a sledovat fakturační náklady podle skupin prostředků. Prostředky můžete také odstranit jako sadu, což je užitečné pro testovací nasazení. Přiřaďte prostředkům smysluplné názvy a zjednodušte tak vyhledání konkrétních prostředků a pochopení jejich rolí. Další informace najdete v tématu Doporučené zásady vytváření názvů pro prostředky Azure.

Virtuální počítač

Virtuální počítač můžete zřídit ze seznamu publikovaných imagí nebo z vlastního spravovaného Image nebo souboru virtuálního pevného disku (VHD), který se nahrál do úložiště objektů BLOB centra Azure Stack. centrum Azure Stack podporuje spouštění různých oblíbených distribucí systému Linux, včetně CentOS, Debian, Red Hat Enterprise, Ubuntu a SUSE. Další informace najdete v tématu Linux v centru Azure Stack. Můžete se také rozhodnout, že budete publikovat jednu z publikovaných imagí Linux, které jsou k dispozici na webu centra Azure Stack.

Centrum Azure Stack nabízí různé velikosti virtuálních počítačů z Azure. Další informace najdete v tématu velikosti pro virtuální počítače v centru Azure Stack. Pokud přesouváte existující úlohu do centra Azure Stack, začněte s velikostí virtuálního počítače, která je nejvhodnější pro vaše místní servery nebo Azure. Pak změřte výkon vaší skutečné úlohy z hlediska využití procesoru, paměti a diskových vstupně-výstupních operací za sekundu (IOPS) a podle potřeby upravte velikost.

Disky

Náklady závisí na kapacitě zřízeného disku. VSTUPNĚ-výstupní operace a propustnost (tj. přenos dat) závisí na velikosti virtuálního počítače, takže při zřizování disku Zvažte všechny tři faktory (kapacita, IOPS a propustnost).

Disk IOPS (vstupně-výstupní operace za sekundu) na rozbočovači Azure Stack je funkce velikosti virtuálního počítače místo typu disku. To znamená, že pro virtuální počítač s Standard_Fs Series bez ohledu na to, jestli pro daný typ disku zvolíte SSD nebo HDD, je limit IOPS pro jeden další datový disk 2300 IOPS. Stanovený limit IOPS je limit (maximální možný), aby se zabránilo sousedním sousedům. Nejedná se o záruku za IOPS, kterou získáte na konkrétní velikosti virtuálního počítače.

Doporučujeme také použít Managed disks. Spravované disky zjednodušují správu disků tím, že vám úložiště vycházejí. Spravované disky nevyžadují účet úložiště. Jednoduše zadáte velikost a typ disku a disk se potom nasadí jako prostředek s vysokou dostupností.

disk s operačním systémem je virtuální pevný disk uložený v Storage centra Azure Stack, takže zůstane i v případě, že je hostitelský počítač mimo provoz. Pro virtuální počítače se systémem Linux je disk s operačním systémem/dev/sda1.. Doporučujeme také vytvořit jeden nebo více datových disků, což jsou trvalé virtuální pevné disky používané pro data aplikací.

Když vytvoříte virtuální pevný disk, je neformátovaný. Přihlaste se k virtuálnímu počítači a disk naformátujte. V prostředí Linux se datové disky zobrazují jako/dev/sdc,/dev/SDD a tak dále. Můžete spustit lsblk a zobrazit tak seznam blokovaných zařízení, včetně disků. Pokud chcete použít datový disk, vytvořte oddíl a souborový systém a potom disk připojte. Příklad:

# Create a partition.
sudo fdisk /dev/sdc \# Enter 'n' to partition, 'w' to write the change.

# Create a file system.
sudo mkfs -t ext3 /dev/sdc1

# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1

Když přidáte datový disk, přiřadí se mu ID logické jednotky (LUN). Volitelně můžete zadat ID logické jednotky (LUN), například Pokud nahrazujete disk a chcete zachovat stejné ID logické jednotky (LUN), nebo máte aplikaci, která hledá konkrétní ID logické jednotky (LUN). Nezapomeňte ale, že hodnota LUN ID musí být pro každý disk jedinečná.

Virtuální počítač se vytvoří s dočasným diskem. Tento disk je uložený na dočasném svazku Azure Stack infrastruktury úložiště centra. Může se odstranit během restartování a dalších událostí životního cyklu virtuálního počítače. Tento disk používejte jenom pro dočasná data, jako jsou stránkovací nebo odkládací soubory. Pro virtuální počítače se systémem Linux je dočasný disk adresář/dev/sdb1 a je připojen k/mnt/Resource nebo/mnt.

Síť

Síťové komponenty zahrnují následující prostředky:

  • Virtuální síť: Každý virtuální počítač je nasazený do virtuální sítě, která se dá rozdělit do několika podsítí.

  • Síťové rozhraní (nic). Síťové rozhraní umožňuje virtuálnímu počítači komunikovat s virtuální sítí. Pokud pro virtuální počítač potřebujete více síťových rozhraní, uvědomte si, že pro jednotlivé velikosti virtuálních počítačůje definován maximální počet síťových adaptérů.

  • Veřejná IP adresa/VIP. Veřejná IP adresa je potřeba ke komunikaci s virtuálním počítačem – například prostřednictvím vzdálené plochy (RDP). Veřejná IP adresa může být dynamická nebo statická. Ve výchozím nastavení je dynamická. Pokud pro virtuální počítač potřebujete více síťových rozhraní, uvědomte si, že pro jednotlivé velikosti virtuálních počítačůje definován maximální počet síťových adaptérů.

  • Pro IP adresu můžete také vytvořit plně kvalifikovaný název domény (FQDN). Potom můžete v DNS zaregistrovat záznam CNAME, který na tento plně kvalifikovaný název odkazuje. Další informace najdete v tématu Vytvoření plně kvalifikovaného názvu domény v Azure Portal.

  • Skupina zabezpečení sítě (NSG). Skupiny zabezpečení sítě slouží k povolení nebo zamítnutí síťového provozu do virtuálních počítačů. Skupin zabezpečení sítě je možné přidružit buď k podsítím, nebo k jednotlivým instancím virtuálních počítačů.

Každá skupina zabezpečení sítě obsahuje sadu výchozích pravidel, včetně pravidla, které blokuje veškerou příchozí internetovou komunikaci. Výchozí pravidla nejde odstranit, ale ostatní pravidla je mohou potlačit. Pokud chcete povolit internetovou komunikaci, vytvořte pravidla, která povolí příchozí provoz na konkrétní porty – například port 80 pro protokol HTTP. Pokud chcete povolit SSH, přidejte pravidlo NSG, které povoluje příchozí přenosy na port TCP 22.

Operace

SSH. Než vytvoříte virtuální počítač s Linuxem, vygenerujte pár klíčů (veřejný a privátní) pomocí 2048bitového algoritmu RSA. Soubor veřejného klíče potom použijte při vytváření virtuálního počítače. Další informace najdete v tématu Použití SSH se systémem Linux v Azure.

Diagnostika. Povolte monitorování a diagnostiku, včetně základních metrik stavu, diagnostických protokolů infrastruktury a diagnostiky spouštění. Diagnostika spouštění vám pomůže zjistit chyby spouštění, pokud se virtuální počítač dostane do stavu, kdy ho nebude možné spustit. vytvořte účet Azure Storage pro ukládání protokolů. Pro diagnostické protokoly stačí standardní účet místně redundantního úložiště (LRS). Další informace najdete v tématu Povolení monitorování a diagnostiky.

Dostupnost. Váš virtuální počítač může být vystavený restartováním z důvodu plánované údržby, která je naplánována operátorem centra Azure Stack. Pro zajištění vyšší dostupnosti nasaďte několik virtuálních počítačů ve skupině dostupnosti.

Zálohy Doporučení k ochraně virtuálních počítačů IaaS ve službě Azure Stack hub najdete v tomto článku.

Zastavuje se virtuální počítač. Azure rozlišuje mezi tím, když je virtuální počítač zastavený a když má zrušené přidělení. Když se virtuální počítač v zastaveném stavu, fakturuje se vám, ale když má zrušené přidělení, tak ne. Na portálu Azure Stack hub zruší přidělení virtuálního počítače tlačítkem zastavit . Pokud virtuální počítač vypnete pomocí operačního systému, když jste přihlášení, zastaví se, ale neuvolní, takže se vám bude nadále účtovat.

Odstraňuje se virtuální počítač. Pokud odstraníte virtuální počítač, disky virtuálních počítačů se neodstraní. To znamená, že virtuální počítač můžete bezpečně odstranit bez obav ze ztráty dat. Bude se vám ale účtovat poplatek za úložiště. Disk virtuálního počítače odstraníte tak, že odstraníte objekt spravovaného disku. Pokud chcete zabránit neúmyslnému odstranění, použijte zámek prostředku a uzamkněte celou skupinu prostředků nebo jenom vybrané prostředky, jako je třeba virtuální počítač.

Důležité informace o zabezpečení

Připojení virtuálních Azure Security Center k získání centrálního přehledu o stavu zabezpečení vašich prostředků Azure. Security Center monitoruje potenciální potíže se zabezpečením a poskytuje ucelený přehled o stavu zabezpečení vašeho nasazení. Služba Security Center se konfiguruje na základě předplatného Azure. Povolte shromažďování dat zabezpečení podle popisu v článku Připojení předplatného Azure k Security Center Standard. Když je povolené shromažďování dat, Security Center automaticky prohledává všechny virtuální počítače vytvořené v rámci příslušného předplatného.

Správa oprav. Informace o konfiguraci správy oprav na virtuálním počítači najdete v tomto článku. Pokud je povolené centrum Security Center, kontroluje, jestli nechybí žádné aktualizace zabezpečení a důležité aktualizace. K povolení automatických aktualizací systému použijte nastavení zásad skupiny na virtuálním počítači.

Antimalware. Pokud je povolené centrum Security Center, kontroluje, jestli je nainstalovaný software ochrany před malwarem. Security Center můžete použít také k instalaci antimalwarového softwaru z portálu Azure Portal.

Řízení přístupu. Řízení přístupu k prostředkům Azure pomocí řízení přístupu na základě role (RBAC) RBAC umožňuje přiřazovat autorizační role jednotlivým členům vaše týmu DevOps. Třeba role čtenáře může zobrazovat prostředky Azure, ale nemůže je vytvářet, spravovat ani odstraňovat. Některá oprávnění jsou specifická pro typ prostředku Azure. Třeba role Přispěvatel virtuálních počítačů může restartovat nebo zrušit přidělení virtuálního počítače, resetovat heslo správce, vytvořit nový virtuální počítač a tak dále. Mezi další předdefinované role RBAC, které můžou být užitečné pro tuto referenční architekturu, patří role Uživatel služby DevTest Labs a Přispěvatel sítě.

Poznámka

RBAC neomezuje akce, které může uživatel přihlášený k virtuálnímu počítači provést. Tato oprávnění určuje typ účtu v hostovaném operačním systému.

Protokoly auditu. Pomocí protokolů aktivit můžete zobrazit akce zřizování a další události virtuálního počítače.

Šifrování dat: Azure Stack Hub chrání data uživatelů a infrastruktury na úrovni subsystému úložiště pomocí šifrování v klidových umístěních. Azure Stack Hub úložiště je zašifrovaný pomocí BitLockeru s 128bitovým šifrováním AES. Další podrobnosti najdete v tomto článku.

Další kroky