Spuštění virtuálního počítače se systémem Linux v AzureRun a Linux virtual machine on Azure

Zřizování virtuálního počítače v Azure vyžaduje některé další součásti kromě samotného virtuálního počítače, včetně síťových prostředků a prostředků úložiště.Provisioning a virtual machine (VM) in Azure requires some additional components besides the VM itself, including networking and storage resources. Tento článek popisuje osvědčené postupy pro spuštění virtuálního počítače se systémem Linux v Azure.This article shows best practices for running a Linux VM on Azure.

Virtuální počítač Linux v Azure

Skupina prostředkůResource group

Skupina prostředků je logický kontejner, který obsahuje související prostředky Azure.A resource group is a logical container that holds related Azure resources. Obecně je potřeba seskupit prostředky na základě jejich životního cyklu a spravovat je.In general, group resources based on their lifetime and who will manage them.

Do jedné skupiny prostředků byste měli umístit úzce související prostředky, které mají stejný životní cyklus.Put closely associated resources that share the same lifecycle into the same resource group. Skupiny prostředků umožňují nasadit a monitorovat prostředky jako skupinu a sledovat fakturační náklady podle skupin prostředků.Resource groups allow you to deploy and monitor resources as a group and track billing costs by resource group. Prostředky můžete také odstranit jako sadu, což je užitečné pro testovací nasazení.You can also delete resources as a set, which is useful for test deployments. Přiřaďte prostředkům smysluplné názvy a zjednodušte tak vyhledání konkrétních prostředků a pochopení jejich rolí.Assign meaningful resource names to simplify locating a specific resource and understanding its role. Další informace najdete v tématu Doporučené zásady vytváření názvů pro prostředky Azure.For more information, see Recommended Naming Conventions for Azure Resources.

Virtuální počítačVirtual machine

Virtuální počítač můžete zřídit ze seznamu publikovaných imagí nebo z vlastní spravované image nebo ze souboru virtuálního pevného disku (VHD) nahraného do Azure Blob Storage.You can provision a VM from a list of published images, or from a custom managed image or virtual hard disk (VHD) file uploaded to Azure Blob storage. Azure podporuje spouštění různých oblíbených linuxových distribucí, mezi které patří CentOS, Debian, Red Hat Enterprise, Ubuntu a FreeBSD.Azure supports running various popular Linux distributions, including CentOS, Debian, Red Hat Enterprise, Ubuntu, and FreeBSD. Další informace najdete v tématu Azure a Linux.For more information, see Azure and Linux.

Azure nabízí mnoho různých velikostí virtuálních počítačů.Azure offers many different virtual machine sizes. Další informace najdete v tématu velikosti pro virtuální počítače v Azure.For more information, see Sizes for virtual machines in Azure. Pokud přesouváte existující úlohy do Azure, začněte s velikostí virtuálního počítače, která nejvíce odpovídá vašim místním serverům.If you are moving an existing workload to Azure, start with the VM size that's the closest match to your on-premises servers. Pak změřte výkon vaší skutečné úlohy z hlediska využití procesoru, paměti a diskových vstupně-výstupních operací za sekundu (IOPS) a podle potřeby upravte velikost.Then measure the performance of your actual workload in terms of CPU, memory, and disk input/output operations per second (IOPS), and adjust the size as needed.

Obecně můžete zvolit oblast Azure, která je nejblíže vašim interním uživatelům nebo zákazníkům.Generally, choose an Azure region that is closest to your internal users or customers. Ne všechny velikosti virtuálních počítačů jsou dostupné ve všech oblastech.Not all VM sizes are available in all regions. Další informace najdete v tématu Služby v jednotlivých oblastech.For more information, see Services by region. Seznam velikostí virtuálních počítačů dostupných v určité oblasti získáte spuštěním následujícího příkazu v rozhraní příkazového řádku Azure CLI:For a list of the VM sizes available in a specific region, run the following command from the Azure CLI:

az vm list-sizes --location <location>

Informace o výběru publikované image virtuálního počítače najdete v tématu Vyhledání imagí virtuálních počítačů s Linuxem.For information about choosing a published VM image, see Find Linux VM images.

DiskyDisks

Pro zajištění nejlepšího výkonu diskových operací doporučujeme použít službu Premium Storage, která ukládá data na discích SSD (solid-state drive).For best disk I/O performance, we recommend Premium Storage, which stores data on solid-state drives (SSDs). Náklady závisí na kapacitě zřízeného disku.Cost is based on the capacity of the provisioned disk. Na velikosti disku závisí také vstupně-výstupní operace za sekundu a propustnost (to znamená rychlost přenosu dat). Proto při zřizování disku zvažte všechny tři faktory (kapacita, IOPS a propustnost).IOPS and throughput (that is, data transfer rate) also depend on disk size, so when you provision a disk, consider all three factors (capacity, IOPS, and throughput).

Doporučujeme také použít Managed disks.We also recommend using Managed Disks. Spravované disky zjednodušují správu disků tím, že vám úložiště vycházejí.Managed disks simplify disk management by handling the storage for you. Spravované disky nevyžadují účet úložiště.Managed disks do not require a storage account. Jednoduše zadáte velikost a typ disku a nasadíte ho jako vysoce dostupný prostředek.You simply specify the size and type of disk and it is deployed as a highly available resource

Disk operačního systému je virtuální pevný disk uložený v Azure Storage, takže dál funguje i pokud je hostitelský počítač mimo provoz.The OS disk is a VHD stored in Azure Storage, so it persists even when the host machine is down. Pro virtuální počítače s Linuxem, je disk operačního systému /dev/sda1.For Linux VMs, the OS disk is /dev/sda1. Doporučujeme také vytvořit jeden nebo více datových disků, což jsou trvalé virtuální pevné disky používané pro data aplikací.We also recommend creating one or more data disks, which are persistent VHDs used for application data.

Když vytvoříte virtuální pevný disk, je neformátovaný.When you create a VHD, it is unformatted. Přihlaste se k virtuálnímu počítači a disk naformátujte.Log into the VM to format the disk. V prostředí Linuxu se datové disky zobrazují jako /dev/sdc, /dev/sdd atd.In the Linux shell, data disks are displayed as /dev/sdc, /dev/sdd, and so on. Spuštěním příkazu lsblk můžete zobrazit seznam blokových zařízení, včetně těchto disků.You can run lsblk to list the block devices, including the disks. Pokud chcete použít datový disk, vytvořte oddíl a souborový systém a potom disk připojte.To use a data disk, create a partition and file system, and mount the disk. Příklad:For example:

# Create a partition.
sudo fdisk /dev/sdc     # Enter 'n' to partition, 'w' to write the change.

# Create a file system.
sudo mkfs -t ext3 /dev/sdc1

# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1

Když přidáte datový disk, přiřadí se mu ID logické jednotky (LUN).When you add a data disk, a logical unit number (LUN) ID is assigned to the disk. Volitelně můžete LUN ID zadat, třeba když vyměňujete disk a chcete zachovat stejné LUN ID nebo když máte aplikaci, která hledá konkrétní LUN ID.Optionally, you can specify the LUN ID — for example, if you're replacing a disk and want to retain the same LUN ID, or you have an application that looks for a specific LUN ID. Nezapomeňte ale, že hodnota LUN ID musí být pro každý disk jedinečná.However, remember that LUN IDs must be unique for each disk.

Možná budete chtít plánovač vstupně-výstupních operací změnit kvůli optimalizaci výkonu na jednotkách SSD, protože disky pro virtuální počítače s účty Premium Storage jsou právě disky SSD.You may want to change the I/O scheduler to optimize for performance on SSDs because the disks for VMs with premium storage accounts are SSDs. Běžně se pro SSD doporučuje používat plánovač NOOP, ale k monitorování výkonu V/V disku pro určitou úlohu byste měli použít nástroj, jako je iostat.A common recommendation is to use the NOOP scheduler for SSDs, but you should use a tool such as iostat to monitor disk I/O performance for your workload.

Virtuální počítač se vytvoří s dočasným diskem.The VM is created with a temporary disk. Tento disk je uložený na fyzické jednotce hostitelského počítače.This disk is stored on a physical drive on the host machine. Neukládá se v Azure Storage a při restartování nebo jiných událostech životního cyklu virtuálního počítače může dojít k jeho odstranění.It is not saved in Azure Storage and may be deleted during reboots and other VM lifecycle events. Tento disk používejte jenom pro dočasná data, jako jsou stránkovací nebo odkládací soubory.Use this disk only for temporary data, such as page or swap files. Dočasný disk pro virtuální počítač s Linuxem je /dev/sdb1. Je připojený k /mnt/resource nebo /mnt.For Linux VMs, the temporary disk is /dev/sdb1 and is mounted at /mnt/resource or /mnt.

SíťNetwork

Síťové komponenty zahrnují následující prostředky:The networking components include the following resources:

  • Virtuální síť:Virtual network. Každý virtuální počítač je nasazený do virtuální sítě, která se dá rozdělit do několika podsítí.Every VM is deployed into a virtual network that can be segmented into multiple subnets.

  • Síťové rozhraní (NIC):Network interface (NIC). Síťové rozhraní umožňuje virtuálnímu počítači komunikovat s virtuální sítí.The NIC enables the VM to communicate with the virtual network. Pokud pro virtuální počítač potřebujete více síťových rozhraní, uvědomte si, že pro jednotlivé velikosti virtuálních počítačůje definován maximální počet síťových adaptérů.If you need multiple NICs for your VM, be aware that a maximum number of NICs is defined for each VM size.

  • Veřejná IP adresa:Public IP address. Veřejná IP adresa je potřeba ke komunikaci s virtuálním počítačem, třeba přes vzdálenou plochu.A public IP address is needed to communicate with the VM — for example, via remote desktop (RDP). Veřejná IP adresa může být dynamická nebo statická.The public IP address can be dynamic or static. Ve výchozím nastavení je dynamická.The default is dynamic.

  • Rezervujte STATICKOU IP adresu, pokud potřebujete pevnou IP adresu, která se nemění — , třeba pokud potřebujete vytvořit záznam DNS ' a ' nebo přidat IP adresu do seznamu bezpečných adres.Reserve a static IP address if you need a fixed IP address that won't change — for example, if you need to create a DNS 'A' record or add the IP address to a safe list.

  • Pro IP adresu můžete také vytvořit plně kvalifikovaný název domény (FQDN).You can also create a fully qualified domain name (FQDN) for the IP address. Potom můžete v DNS zaregistrovat záznam CNAME, který na tento plně kvalifikovaný název odkazuje.You can then register a CNAME record in DNS that points to the FQDN. Další informace najdete v tématu Vytvoření plně kvalifikovaného názvu domény v Azure Portal.For more information, see Create a fully qualified domain name in the Azure portal.

  • Skupina zabezpečení sítě (NSG).Network security group (NSG). Skupiny zabezpečení sítě slouží k povolení nebo zamítnutí síťového provozu do virtuálních počítačů.Network security groups are used to allow or deny network traffic to VMs. Skupin zabezpečení sítě je možné přidružit buď k podsítím, nebo k jednotlivým instancím virtuálních počítačů.NSGs can be associated either with subnets or with individual VM instances.

Každá skupina zabezpečení sítě obsahuje sadu výchozích pravidel, včetně pravidla, které blokuje veškerou příchozí internetovou komunikaci.All NSGs contain a set of default rules, including a rule that blocks all inbound Internet traffic. Výchozí pravidla nejde odstranit, ale ostatní pravidla je mohou potlačit.The default rules cannot be deleted, but other rules can override them. Pokud chcete povolit internetovou komunikaci, vytvořte pravidla, která povolují příchozí provoz na konkrétních portech, třeba na portu 80 pro HTTP.To enable Internet traffic, create rules that allow inbound traffic to specific ports — for example, port 80 for HTTP. Pokud chcete povolit SSH, přidejte pravidlo NSG, které povoluje příchozí přenosy na port TCP 22.To enable SSH, add an NSG rule that allows inbound traffic to TCP port 22.

OperaceOperations

SSH.SSH. Než vytvoříte virtuální počítač s Linuxem, vygenerujte pár klíčů (veřejný a privátní) pomocí 2048bitového algoritmu RSA.Before you create a Linux VM, generate a 2048-bit RSA public-private key pair. Soubor veřejného klíče potom použijte při vytváření virtuálního počítače.Use the public key file when you create the VM. Další informace najdete v tématu Jak použít SSH se systémy Linux a Mac v Azure.For more information, see How to Use SSH with Linux and Mac on Azure.

Diagnostika.Diagnostics. Povolte monitorování a diagnostiku, včetně základních metrik stavu, diagnostických protokolů infrastruktury a diagnostiky spouštění.Enable monitoring and diagnostics, including basic health metrics, diagnostics infrastructure logs, and boot diagnostics. Diagnostika spouštění vám pomůže zjistit chyby spouštění, pokud se virtuální počítač dostane do stavu, kdy ho nebude možné spustit.Boot diagnostics can help you diagnose boot failure if your VM gets into a non-bootable state. Vytvořte účet Azure Storage pro ukládání protokolů.Create an Azure Storage account to store the logs. Pro diagnostické protokoly stačí standardní účet místně redundantního úložiště (LRS).A standard locally redundant storage (LRS) account is sufficient for diagnostic logs. Další informace najdete v tématu Povolení monitorování a diagnostiky.For more information, see Enable monitoring and diagnostics.

Dostupnost.Availability. Váš virtuální počítač může být ovlivněn plánovanou údržbou nebo neplánovanými výpadky.Your VM may be affected by planned maintenance or unplanned downtime. Ke zjištění toho, jestli restartování virtuálního počítače způsobila plánovaná údržba, můžete použít protokoly restartování virtuálního počítače.You can use VM reboot logs to determine whether a VM reboot was caused by planned maintenance. Pro zajištění vyšší dostupnosti nasaďte několik virtuálních počítačů ve skupině dostupnosti.For higher availability, deploy multiple VMs in an availability set. Tato konfigurace poskytuje vyšší smlouvu o úrovni služeb (SLA).This configuration provides a higher service level agreement (SLA).

Zálohy Pokud chcete chránit před náhodnou ztrátou dat, použijte službu Azure Backup k zálohování virtuálních počítačů do geograficky redundantního úložiště.Backups To protect against accidental data loss, use the Azure Backup service to back up your VMs to geo-redundant storage. Azure Backup poskytuje zálohy konzistentní s aplikací.Azure Backup provides application-consistent backups.

Zastavuje se virtuální počítač.Stopping a VM. Azure rozlišuje mezi tím, když je virtuální počítač zastavený a když má zrušené přidělení.Azure makes a distinction between "stopped" and "deallocated" states. Když se virtuální počítač v zastaveném stavu, fakturuje se vám, ale když má zrušené přidělení, tak ne.You are charged when the VM status is stopped, but not when the VM is deallocated. Virtuální počítač můžete uvolnit pomocí tlačítka Stop na webu Azure Portal.In the Azure portal, the Stop button deallocates the VM. Pokud virtuální počítač vypnete pomocí operačního systému, když jste přihlášení, zastaví se, ale neuvolní, takže se vám bude nadále účtovat.If you shut down through the OS while logged in, the VM is stopped but not deallocated, so you will still be charged.

Odstraňuje se virtuální počítač.Deleting a VM. Pokud odstraníte virtuální počítač, virtuální pevné disky se odstraní.If you delete a VM, the VHDs are not deleted. To znamená, že virtuální počítač můžete bezpečně odstranit bez obav ze ztráty dat.That means you can safely delete the VM without losing data. Bude se vám ale účtovat poplatek za úložiště.However, you will still be charged for storage. Pokud chcete odstranit virtuální pevný disku, odstraňte příslušný soubor z úložiště objektů blob.To delete the VHD, delete the file from Blob storage. Pokud chcete zabránit neúmyslnému odstranění, použijte zámek prostředku a uzamkněte celou skupinu prostředků nebo jenom vybrané prostředky, jako je třeba virtuální počítač.To prevent accidental deletion, use a resource lock to lock the entire resource group or lock individual resources, such as a VM.

Důležité informace o nákladechCost considerations

V závislosti na využití a zatížení jsou dostupné různé možnosti velikosti virtuálních počítačů.There are various options for VM sizes depending on the usage and workload. Tento rozsah zahrnuje největší úspornou možnost řady BS-Series až po nejnovější virtuální počítače GPU optimalizované pro strojové učení.The range includes most economical option of the Bs-series to the newest GPU VMs optimized for machine learning. Informace o dostupných možnostech najdete v tématu ceny za virtuální počítače Azure Linux.For information about the available options, see Azure Linux VM pricing.

Pro úlohy bez předvídatelné doby dokončení nebo spotřeby prostředků zvažte možnost platit podle toho, jak se dostanete .For workloads with no predictable time of completion or resource consumption, consider the Pay as you go option.

Zvažte použití Azure reservations , pokud se můžete pořídit pomocí virtuálního počítače po dobu jednoho nebo tří let.Consider using Azure Reservations if you can commit to using a virtual machine over a one-year or three-year term. Rezervace virtuálních počítačů můžou snížit náklady až do 72% ve srovnání s cenami průběžných plateb.VM reservations can reduce costs up to 72 % compared to pay-as-you-go prices.

Pomocí virtuálních počítačů Azure můžete spouštět úlohy, které je možné přerušit a nevyžadují dokončení v rámci předstanoveného časového období nebo smlouvy SLA.Use Azure Spot VMs to run workloads the can be interrupted and do not require completion within a predetermined timeframe or an SLA. Azure nasadí virtuální počítače na místě, pokud je dostupná kapacita a vyřadí se, když potřebuje kapacitu zpátky.Azure deploys Spot VMs if there is available capacity and evicts when it needs the capacity back. Náklady spojené s přímými virtuálními počítači jsou výrazně nižší.Costs associated with Spot virtual machines are significantly lower. Zvažte možnost vystavení virtuálních počítačů pro tyto úlohy:Consider Spot VMs for these workloads:

  • Vysoce výkonné výpočetní scénáře, úlohy dávkového zpracování nebo aplikace pro vizuální vykreslování.High-performance computing scenarios, batch processing jobs, or visual rendering applications.
  • Testovací prostředí, včetně úloh průběžná integrace a průběžného doručování.Test environments, including continuous integration and continuous delivery workloads.
  • Rozsáhlé bezstavové aplikace.Large-scale stateless applications.

K odhadování nákladů použijte cenovou kalkulačku Azure .Use the Azure Pricing Calculator to estimates costs.

Další informace najdete v části věnované nákladům v tématu Dobře navržená architektura Microsoft Azure.For more information, see the cost section in Microsoft Azure Well-Architected Framework.

Aspekty zabezpečeníSecurity considerations

K získání přehledu o stavu zabezpečení vašich prostředků Azure použijte službu Azure Security Center.Use Azure Security Center to get a central view of the security state of your Azure resources. Security Center monitoruje potenciální potíže se zabezpečením a poskytuje ucelený přehled o stavu zabezpečení vašeho nasazení.Security Center monitors potential security issues and provides a comprehensive picture of the security health of your deployment. Služba Security Center se konfiguruje na základě předplatného Azure.Security Center is configured per Azure subscription. Povolte shromažďování dat zabezpečení, jak je popsáno v tématu připojení předplatného Azure k Security Center Standard.Enable security data collection as described in Onboard your Azure subscription to Security Center Standard. Když je povolené shromažďování dat, Security Center automaticky prohledává všechny virtuální počítače vytvořené v rámci příslušného předplatného.When data collection is enabled, Security Center automatically scans any VMs created under that subscription.

Správa oprav.Patch management. Pokud je povolené centrum Security Center, kontroluje, jestli nechybí žádné aktualizace zabezpečení a důležité aktualizace.If enabled, Security Center checks whether any security and critical updates are missing. K povolení automatických aktualizací systému použijte nastavení zásad skupiny na virtuálním počítači.Use Group Policy settings on the VM to enable automatic system updates.

Antimalwarový software.Antimalware. Pokud je povolené centrum Security Center, kontroluje, jestli je nainstalovaný software ochrany před malwarem.If enabled, Security Center checks whether antimalware software is installed. Security Center můžete použít také k instalaci antimalwarového softwaru z portálu Azure Portal.You can also use Security Center to install antimalware software from inside the Azure portal.

Řízení přístupu.Access control. K řízení přístupu k prostředkům Azure použijte řízení přístupu na základě role (RBAC) .Use role-based access control (RBAC) to control access to Azure resources. RBAC umožňuje přiřazovat autorizační role jednotlivým členům vaše týmu DevOps.RBAC lets you assign authorization roles to members of your DevOps team. Třeba role čtenáře může zobrazovat prostředky Azure, ale nemůže je vytvářet, spravovat ani odstraňovat.For example, the Reader role can view Azure resources but not create, manage, or delete them. Některá oprávnění jsou specifická pro typ prostředku Azure.Some permissions are specific to an Azure resource type. Třeba role Přispěvatel virtuálních počítačů může restartovat nebo zrušit přidělení virtuálního počítače, resetovat heslo správce, vytvořit nový virtuální počítač a tak dále.For example, the Virtual Machine Contributor role can restart or deallocate a VM, reset the administrator password, create a new VM, and so on. Mezi další předdefinované role RBAC, které můžou být užitečné pro tuto referenční architekturu, patří role Uživatel služby DevTest Labs a Přispěvatel sítě.Other built-in RBAC roles that may be useful for this architecture include DevTest Labs User and Network Contributor.

Poznámka

RBAC neomezuje akce, které může uživatel přihlášený k virtuálnímu počítači provést.RBAC does not limit the actions that a user logged into a VM can perform. Tato oprávnění určuje typ účtu v hostovaném operačním systému.Those permissions are determined by the account type on the guest OS.

Protokoly auditu.Audit logs. Pomocí protokolů auditu můžete zjistit akce zřizování a další události virtuálního počítače.Use audit logs to see provisioning actions and other VM events.

Šifrování dat:Data encryption. Pokud potřebujete šifrovat operační systém a datové disky, použijte Azure Disk Encryption .Use Azure Disk Encryption if you need to encrypt the OS and data disks.

Důležité informace o DevOpsDevOps considerations

K zřizování prostředků Azure a jejích závislostí použijte jednu šablonu Azure Resource Manager .Use a single Azure Resource Manager template for provisioning the Azure resources and its dependencies. Vzhledem k tomu, že všechny prostředky jsou ve stejné virtuální síti, jsou izolované ve stejné základní úloze, která usnadňuje přidružení konkrétních prostředků ke DevOps týmu, aby tým mohl nezávisle spravovat všechny aspekty těchto prostředků.Since all the resources are in the same virtual network, they are isolated in the same basic workload, that makes it easier to associate the workload's specific resources to a DevOps team, so that the team can independently manage all aspects of those resources. Tato izolace umožňuje týmu DevOps provádět průběžnou integraci a průběžné doručování (CI/CD).This isolation enables the DevOps Team to perform continuous integration and continuous delivery (CI/CD).

Můžete také použít různé šablony Azure Resource Manager a integrovat je s Azure DevOps Services a zřídit si různá prostředí během několika minut, například replikovat produkční prostředí jako scénáře nebo zátěžové testování v případě potřeby, a ušetřit tak náklady.Also, you can use different Azure Resource Manager templates and integrate them with Azure DevOps Services to provision different environments in minutes, for example to replicate production like scenarios or load testing environments only when needed, saving cost.

V případě architektury vyšší dostupnosti se v Azure N-vrstvá aplikace v Azure s Apache Cassandrapoužívá referenční architektura, která zahrnuje víc než jeden virtuální počítač a každý virtuální počítač je součástí skupiny dostupnosti.For higher availability architecture see Linux N-tier application in Azure with Apache Cassandra, the reference architecture includes more than one VM and each VM is included in an availability set.

Zvažte použití služby Azure Monitor k analýze a optimalizaci výkonu infrastruktury a monitorování a diagnostice problémů se sítěmi bez protokolování na virtuálních počítačích.Consider using the Azure Monitor to Analyze and optimize the performance of your infrastructure, Monitor and diagnose networking issues without logging into your virtual machines.

Další informace najdete v části provozní přehledy v Microsoft Azure dobře navrženém rozhraní.For more information, see the Operational excellence section in Microsoft Azure Well-Architected Framework.

Další krokyNext steps