Spuštění virtuálního počítače s Linuxem ve službě Azure Stack Hub

  • Článek

Upozornění

Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu konce životnosti (EOL). Zvažte prosím použití a naplánujte podle toho. Další informace najdete v pokynech ke konci životnosti CentOS.

Zřízení virtuálního počítače ve službě Azure Stack Hub, jako je Azure, vyžaduje kromě samotného virtuálního počítače i další komponenty, včetně síťových prostředků a prostředků úložiště. Tento článek ukazuje osvědčené postupy pro spuštění virtuálního počítače s Linuxem ve službě Azure Stack Hub.

Architektura virtuálního počítače s Linuxem ve službě Azure Stack Hub

Skupina prostředků

Skupina prostředků je logický kontejner, který obsahuje související prostředky služby Azure Stack Hub. Obecně platí, že prostředky seskupují na základě jejich životnosti a toho, kdo je bude spravovat.

Do jedné skupiny prostředků byste měli umístit úzce související prostředky, které mají stejný životní cyklus. Skupiny prostředků umožňují nasadit a monitorovat prostředky jako skupinu a sledovat fakturační náklady podle skupin prostředků. Prostředky můžete také odstranit jako sadu, což je užitečné pro testovací nasazení. Přiřaďte prostředkům smysluplné názvy a zjednodušte tak vyhledání konkrétních prostředků a pochopení jejich rolí. Další informace najdete v tématu Doporučené zásady vytváření názvů pro prostředky Azure.

Virtuální počítač

Virtuální počítač můžete zřídit ze seznamu publikovaných imagí nebo ze souboru vlastní spravované image nebo virtuálního pevného disku (VHD) nahraného do úložiště objektů blob služby Azure Stack Hub. Azure Stack Hub podporuje spouštění různých oblíbených distribucí Linuxu, včetně CentOS, Debianu, Red Hat Enterprise, Ubuntu a SUSE. Další informace najdete v tématu Linux ve službě Azure Stack Hub. Můžete se také rozhodnout syndikovat jednu z publikovaných imagí Linuxu, které jsou k dispozici na Marketplace služby Azure Stack Hub.

Azure Stack Hub nabízí různé velikosti virtuálních počítačů z Azure. Další informace najdete v tématu Velikosti virtuálních počítačů ve službě Azure Stack Hub. Pokud přesouváte existující úlohu do služby Azure Stack Hub, začněte velikostí virtuálního počítače, která nejblíže odpovídá vašim místním serverům nebo Azure. Pak změřte výkon skutečné úlohy z hlediska procesoru, paměti a vstupně-výstupních operací disku za sekundu (IOPS) a podle potřeby upravte velikost.

Disky

Náklady závisí na kapacitě zřízeného disku. IOPS a propustnost (tj. rychlost přenosu dat) závisí na velikosti virtuálního počítače, takže při zřizování disku zvažte všechny tři faktory (kapacita, IOPS a propustnost).

IOPS disku (vstupně-výstupní operace za sekundu) ve službě Azure Stack Hub je funkce velikosti virtuálního počítače místo typu disku. To znamená, že pro virtuální počítač řady Standard_Fs bez ohledu na to, jestli jako typ disku zvolíte SSD nebo HDD, je limit IOPS pro jeden další datový disk 2300 IOPS. Uložený limit IOPS je limit (maximální možný), aby se zabránilo hlučným sousedům. Nejedná se o záruku IOPS, že získáte konkrétní velikost virtuálního počítače.

Doporučujeme také použít Spravované disky. Spravované disky zjednodušují správu disků tím, že úložiště zvládnou za vás. Spravované disky nevyžadují účet úložiště. Jednoduše zadáte velikost a typ disku a disk se potom nasadí jako prostředek s vysokou dostupností.

Disk s operačním systémem je virtuální pevný disk uložený ve službě Azure Stack Hub Storage, takže se zachová i v případě, že je hostitelský počítač mimo provoz. Pro virtuální počítače s Linuxem je disk s operačním systémem /dev/sda1. Doporučujeme také vytvořit jeden nebo více datových disků, což jsou trvalé virtuální pevné disky používané pro data aplikací.

Když vytvoříte virtuální pevný disk, je neformátovaný. Přihlaste se k virtuálnímu počítači a disk naformátujte. V prostředí Linuxu se datové disky zobrazují jako /dev/sdc, /dev/sdd atd. Pokud chcete zobrazit seznam blokových zařízení včetně disků, můžete spustit příkaz lsblk. Pokud chcete použít datový disk, vytvořte oddíl a souborový systém a potom disk připojte. Příklad:

# Create a partition.
sudo fdisk /dev/sdc \# Enter 'n' to partition, 'w' to write the change.

# Create a file system.
sudo mkfs -t ext3 /dev/sdc1

# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1

Když přidáte datový disk, přiřadí se mu ID logické jednotky (LUN). Volitelně můžete zadat ID logické jednotky – například pokud nahrazujete disk a chcete zachovat stejné ID logické jednotky nebo máte aplikaci, která hledá konkrétní ID logické jednotky. Nezapomeňte ale, že hodnota LUN ID musí být pro každý disk jedinečná.

Virtuální počítač se vytvoří s dočasným diskem. Tento disk je uložený na dočasném svazku v infrastruktuře úložiště služby Azure Stack Hub. Může se odstranit během restartování a dalších událostí životního cyklu virtuálního počítače. Tento disk používejte jenom pro dočasná data, jako jsou stránkovací nebo odkládací soubory. Pro virtuální počítače s Linuxem je dočasný disk /dev/sdb1 a je připojený na adrese /mnt/resource nebo /mnt.

Síť

Součástí síťových komponent jsou následující prostředky:

  • Virtuální síť: Každý virtuální počítač je nasazený ve virtuální síti, kterou je možné segmentovat do několika podsítí.

  • Síťové rozhraní( NIC) Síťové rozhraní umožňuje virtuálnímu počítači komunikovat s virtuální sítí. Pokud pro virtuální počítač potřebujete více síťových karet, mějte na paměti, že pro každou velikost virtuálního počítače je definovaný maximální počet síťových karet.

  • Veřejná IP adresa nebo virtuální IP adresa. Ke komunikaci s virtuálním počítačem je potřeba veřejná IP adresa – například přes vzdálenou plochu (RDP). Veřejná IP adresa může být dynamická nebo statická. Ve výchozím nastavení je dynamická. Pokud pro virtuální počítač potřebujete více síťových karet, mějte na paměti, že pro každou velikost virtuálního počítače je definovaný maximální počet síťových karet.

  • Pro IP adresu můžete také vytvořit plně kvalifikovaný název domény (FQDN). Potom můžete v DNS zaregistrovat záznam CNAME, který na tento plně kvalifikovaný název odkazuje. Další informace najdete v tématu Vytvoření plně kvalifikovaného názvu domény v Azure Portal.

  • Skupina zabezpečení sítě (NSG). Skupiny zabezpečení sítě slouží k povolení nebo odepření síťového provozu do virtuálních počítačů. Skupiny zabezpečení sítě je možné přidružit k podsítím nebo k jednotlivým instancím virtuálních počítačů.

Každá skupina zabezpečení sítě obsahuje sadu výchozích pravidel, včetně pravidla, které blokuje veškerou příchozí internetovou komunikaci. Výchozí pravidla nejde odstranit, ale ostatní pravidla je mohou potlačit. Pokud chcete povolit internetový provoz, vytvořte pravidla, která povolují příchozí provoz na konkrétních portech – například port 80 pro protokol HTTP. Pokud chcete povolit SSH, přidejte pravidlo NSG, které povoluje příchozí přenosy na port TCP 22.

Operace

SSH. Než vytvoříte virtuální počítač s Linuxem, vygenerujte pár klíčů (veřejný a privátní) pomocí 2048bitového algoritmu RSA. Soubor veřejného klíče potom použijte při vytváření virtuálního počítače. Další informace najdete v tématu Použití SSH s Linuxem v Azure.

Diagnostika. Povolte monitorování a diagnostiku, včetně základních metrik stavu, diagnostických protokolů infrastruktury a diagnostiky spouštění. Diagnostika spouštění vám pomůže zjistit chyby spouštění, pokud se virtuální počítač dostane do stavu, kdy ho nebude možné spustit. Vytvořte účet Azure Storage pro ukládání protokolů. Pro diagnostické protokoly stačí standardní účet místně redundantního úložiště (LRS). Další informace najdete v tématu Povolení monitorování a diagnostiky.

Dostupnost: Váš virtuální počítač může být restartován z důvodu plánované údržby naplánované operátorem služby Azure Stack Hub. Pro zajištění vyšší dostupnosti nasaďte několik virtuálních počítačů ve skupině dostupnosti.

Zálohy Doporučení k ochraně virtuálních počítačů IaaS ve službě Azure Stack Hub najdete v tomto článku.

Zastavení virtuálního počítače Azure rozlišuje mezi tím, když je virtuální počítač zastavený a když má zrušené přidělení. Když se virtuální počítač v zastaveném stavu, fakturuje se vám, ale když má zrušené přidělení, tak ne. Na portálu Azure Stack Hub tlačítko Zastavit zruší přidělení virtuálního počítače. Pokud virtuální počítač vypnete pomocí operačního systému, když jste přihlášení, zastaví se, ale neuvolní, takže se vám bude nadále účtovat.

Odstranění virtuálního počítače Pokud odstraníte virtuální počítač, disky virtuálního počítače se neodstraní. To znamená, že virtuální počítač můžete bezpečně odstranit bez obav ze ztráty dat. Bude se vám ale účtovat poplatek za úložiště. Pokud chcete disk virtuálního počítače odstranit, odstraňte objekt spravovaného disku. Pokud chcete zabránit neúmyslnému odstranění, použijte zámek prostředku a uzamkněte celou skupinu prostředků nebo jenom vybrané prostředky, jako je třeba virtuální počítač.

Důležité informace o zabezpečení

Připojte virtuální počítače k Azure Security Center, abyste získali centrální přehled o stavu zabezpečení vašich prostředků Azure. Security Center monitoruje potenciální potíže se zabezpečením a poskytuje ucelený přehled o stavu zabezpečení vašeho nasazení. Služba Security Center se konfiguruje na základě předplatného Azure. Povolte shromažďování dat zabezpečení, jak je popsáno v tématu Nasazení předplatného Azure do služby Security Center Standard. Když je povolené shromažďování dat, Security Center automaticky prohledává všechny virtuální počítače vytvořené v rámci příslušného předplatného.

Správa oprav. Informace o konfiguraci správy oprav na virtuálním počítači najdete v tomto článku. Pokud je povolené centrum Security Center, kontroluje, jestli nechybí žádné aktualizace zabezpečení a důležité aktualizace. K povolení automatických aktualizací systému použijte nastavení zásad skupiny na virtuálním počítači.

Antimalware. Pokud je povolené centrum Security Center, kontroluje, jestli je nainstalovaný software ochrany před malwarem. Security Center můžete použít také k instalaci antimalwarového softwaru z portálu Azure Portal.

Řízení přístupu. Řízení přístupu k prostředkům Azure pomocí řízení přístupu na základě role (RBAC). RBAC umožňuje přiřazovat autorizační role jednotlivým členům vaše týmu DevOps. Třeba role čtenáře může zobrazovat prostředky Azure, ale nemůže je vytvářet, spravovat ani odstraňovat. Některá oprávnění jsou specifická pro typ prostředku Azure. Třeba role Přispěvatel virtuálních počítačů může restartovat nebo zrušit přidělení virtuálního počítače, resetovat heslo správce, vytvořit nový virtuální počítač a tak dále. Mezi další předdefinované role RBAC, které můžou být užitečné pro tuto referenční architekturu, patří role Uživatel služby DevTest Labs a Přispěvatel sítě.

Poznámka

RBAC neomezuje akce, které může uživatel přihlášený k virtuálnímu počítači provést. Tato oprávnění určuje typ účtu v hostovaném operačním systému.

Protokoly auditu. Pomocí protokolů aktivit můžete zobrazit akce zřizování a další události virtuálních počítačů.

Šifrování dat: Azure Stack Hub chrání data uživatelů a infrastruktury na úrovni subsystému úložiště pomocí šifrování neaktivních uložených dat. Subsystém úložiště služby Azure Stack Hub se šifruje pomocí Nástroje BitLocker se 128bitovým šifrováním AES. Další podrobnosti najdete v tomto článku.

Další kroky