Spuštění linuxového virtuálního počítače v Azure

Backup
Blob Storage
Linux Virtual Machines
Storage
Virtual Machines

Zřizování virtuálního počítače v Azure vyžaduje některé další součásti kromě samotného virtuálního počítače, včetně síťových prostředků a prostředků úložiště. Tento článek popisuje osvědčené postupy pro spuštění virtuálního počítače se systémem Linux v Azure.

Virtuální počítač Linux v Azure

Skupina prostředků

Skupina prostředků je logický kontejner, který obsahuje související prostředky Azure. Obecně je potřeba seskupit prostředky na základě jejich životního cyklu a spravovat je.

Do jedné skupiny prostředků byste měli umístit úzce související prostředky, které mají stejný životní cyklus. Skupiny prostředků umožňují nasadit a monitorovat prostředky jako skupinu a sledovat fakturační náklady podle skupin prostředků. Prostředky můžete také odstranit jako sadu, což je užitečné pro testovací nasazení. Přiřaďte prostředkům smysluplné názvy a zjednodušte tak vyhledání konkrétních prostředků a pochopení jejich rolí. Další informace najdete v tématu Doporučené zásady vytváření názvů pro prostředky Azure.

Virtuální počítač

Virtuální počítač můžete zřídit ze seznamu publikovaných imagí nebo z vlastní spravované image nebo ze souboru virtuálního pevného disku (VHD) nahraného do Azure Blob Storage. Azure podporuje spouštění různých oblíbených linuxových distribucí, mezi které patří CentOS, Debian, Red Hat Enterprise, Ubuntu a FreeBSD. Další informace najdete v tématu Azure a Linux.

Azure nabízí mnoho různých velikostí virtuálních počítačů. Další informace najdete v tématu velikosti pro virtuální počítače v Azure. Pokud přesouváte existující úlohy do Azure, začněte s velikostí virtuálního počítače, která nejvíce odpovídá vašim místním serverům. Pak změřte výkon vaší skutečné úlohy z hlediska využití procesoru, paměti a diskových vstupně-výstupních operací za sekundu (IOPS) a podle potřeby upravte velikost.

Obecně můžete zvolit oblast Azure, která je nejblíže vašim interním uživatelům nebo zákazníkům. Ne všechny velikosti virtuálních počítačů jsou dostupné ve všech oblastech. Další informace najdete v tématu Služby v jednotlivých oblastech. Seznam velikostí virtuálních počítačů dostupných v určité oblasti získáte spuštěním následujícího příkazu v rozhraní příkazového řádku Azure CLI:

az vm list-sizes --location <location>

Informace o výběru publikované image virtuálního počítače najdete v tématu Vyhledání imagí virtuálních počítačů s Linuxem.

Disky

Pro zajištění nejlepšího výkonu diskových operací doporučujeme použít službu Premium Storage, která ukládá data na discích SSD (solid-state drive). Náklady závisí na kapacitě zřízeného disku. Na velikosti disku závisí také vstupně-výstupní operace za sekundu a propustnost (to znamená rychlost přenosu dat). Proto při zřizování disku zvažte všechny tři faktory (kapacita, IOPS a propustnost).

Doporučujeme také použít Managed disks. Spravované disky zjednodušují správu disků tím, že vám úložiště vycházejí. Spravované disky nevyžadují účet úložiště. Jednoduše zadáte velikost a typ disku a nasadíte ho jako vysoce dostupný prostředek.

Disk operačního systému je virtuální pevný disk uložený v Azure Storage, takže dál funguje i pokud je hostitelský počítač mimo provoz. Pro virtuální počítače s Linuxem, je disk operačního systému /dev/sda1. Doporučujeme také vytvořit jeden nebo více datových disků, což jsou trvalé virtuální pevné disky používané pro data aplikací.

Když vytvoříte virtuální pevný disk, je neformátovaný. Přihlaste se k virtuálnímu počítači a disk naformátujte. V prostředí Linuxu se datové disky zobrazují jako /dev/sdc, /dev/sdd atd. Spuštěním příkazu lsblk můžete zobrazit seznam blokových zařízení, včetně těchto disků. Pokud chcete použít datový disk, vytvořte oddíl a souborový systém a potom disk připojte. Příklad:

# Create a partition.
sudo fdisk /dev/sdc     # Enter 'n' to partition, 'w' to write the change.

# Create a file system.
sudo mkfs -t ext3 /dev/sdc1

# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1

Když přidáte datový disk, přiřadí se mu ID logické jednotky (LUN). Volitelně můžete LUN ID zadat, třeba když vyměňujete disk a chcete zachovat stejné LUN ID nebo když máte aplikaci, která hledá konkrétní LUN ID. Nezapomeňte ale, že hodnota LUN ID musí být pro každý disk jedinečná.

Možná budete chtít plánovač vstupně-výstupních operací změnit kvůli optimalizaci výkonu na jednotkách SSD, protože disky pro virtuální počítače s účty Premium Storage jsou právě disky SSD. Běžně se pro SSD doporučuje používat plánovač NOOP, ale k monitorování výkonu V/V disku pro určitou úlohu byste měli použít nástroj, jako je iostat.

Virtuální počítač se vytvoří s dočasným diskem. Tento disk je uložený na fyzické jednotce hostitelského počítače. Neukládá se v Azure Storage a při restartování nebo jiných událostech životního cyklu virtuálního počítače může dojít k jeho odstranění. Tento disk používejte jenom pro dočasná data, jako jsou stránkovací nebo odkládací soubory. Dočasný disk pro virtuální počítač s Linuxem je /dev/sdb1. Je připojený k /mnt/resource nebo /mnt.

Síť

Síťové komponenty zahrnují následující prostředky:

  • Virtuální síť: Každý virtuální počítač je nasazený do virtuální sítě, která se dá rozdělit do několika podsítí.

  • Síťové rozhraní (nic). Síťové rozhraní umožňuje virtuálnímu počítači komunikovat s virtuální sítí. Pokud pro virtuální počítač potřebujete více síťových rozhraní, uvědomte si, že pro jednotlivé velikosti virtuálních počítačůje definován maximální počet síťových adaptérů.

  • Veřejná IP adresa: Veřejná IP adresa je potřeba ke komunikaci s virtuálním počítačem, třeba přes vzdálenou plochu. Veřejná IP adresa může být dynamická nebo statická. Ve výchozím nastavení je dynamická.

  • Rezervujte STATICKOU IP adresu, pokud potřebujete pevnou IP adresu, která se nemění — , třeba pokud potřebujete vytvořit záznam DNS ' a ' nebo přidat IP adresu do seznamu bezpečných adres.

  • Pro IP adresu můžete také vytvořit plně kvalifikovaný název domény (FQDN). Potom můžete v DNS zaregistrovat záznam CNAME, který na tento plně kvalifikovaný název odkazuje. Další informace najdete v tématu Vytvoření plně kvalifikovaného názvu domény v Azure Portal.

  • Skupina zabezpečení sítě (NSG). Skupiny zabezpečení sítě slouží k povolení nebo zamítnutí síťového provozu do virtuálních počítačů. Skupin zabezpečení sítě je možné přidružit buď k podsítím, nebo k jednotlivým instancím virtuálních počítačů.

Každá skupina zabezpečení sítě obsahuje sadu výchozích pravidel, včetně pravidla, které blokuje veškerou příchozí internetovou komunikaci. Výchozí pravidla nejde odstranit, ale ostatní pravidla je mohou potlačit. Pokud chcete povolit internetovou komunikaci, vytvořte pravidla, která povolují příchozí provoz na konkrétních portech, třeba na portu 80 pro HTTP. Pokud chcete povolit SSH, přidejte pravidlo NSG, které povoluje příchozí přenosy na port TCP 22.

Operace

SSH. Než vytvoříte virtuální počítač s Linuxem, vygenerujte pár klíčů (veřejný a privátní) pomocí 2048bitového algoritmu RSA. Soubor veřejného klíče potom použijte při vytváření virtuálního počítače. Další informace najdete v tématu Jak použít SSH se systémy Linux a Mac v Azure.

Diagnostika. Povolte monitorování a diagnostiku, včetně základních metrik stavu, diagnostických protokolů infrastruktury a diagnostiky spouštění. Diagnostika spouštění vám pomůže zjistit chyby spouštění, pokud se virtuální počítač dostane do stavu, kdy ho nebude možné spustit. Vytvořte účet Azure Storage pro ukládání protokolů. Pro diagnostické protokoly stačí standardní účet místně redundantního úložiště (LRS). Další informace najdete v tématu Povolení monitorování a diagnostiky.

Dostupnost. Váš virtuální počítač může být ovlivněn plánovanou údržbou nebo neplánovanými výpadky. Ke zjištění toho, jestli restartování virtuálního počítače způsobila plánovaná údržba, můžete použít protokoly restartování virtuálního počítače. Pro zajištění vyšší dostupnosti nasaďte několik virtuálních počítačů ve skupině dostupnosti. Tato konfigurace poskytuje vyšší smlouvu o úrovni služeb (SLA).

Zálohy Pokud chcete chránit před náhodnou ztrátou dat, použijte službu Azure Backup k zálohování virtuálních počítačů do geograficky redundantního úložiště. Azure Backup poskytuje zálohy konzistentní s aplikací.

Zastavuje se virtuální počítač. Azure rozlišuje mezi tím, když je virtuální počítač zastavený a když má zrušené přidělení. Když se virtuální počítač v zastaveném stavu, fakturuje se vám, ale když má zrušené přidělení, tak ne. Virtuální počítač můžete uvolnit pomocí tlačítka Stop na webu Azure Portal. Pokud virtuální počítač vypnete pomocí operačního systému, když jste přihlášení, zastaví se, ale neuvolní, takže se vám bude nadále účtovat.

Odstraňuje se virtuální počítač. Pokud odstraníte virtuální počítač, virtuální pevné disky se odstraní. To znamená, že virtuální počítač můžete bezpečně odstranit bez obav ze ztráty dat. Bude se vám ale účtovat poplatek za úložiště. Pokud chcete odstranit virtuální pevný disku, odstraňte příslušný soubor z úložiště objektů blob. Pokud chcete zabránit neúmyslnému odstranění, použijte zámek prostředku a uzamkněte celou skupinu prostředků nebo jenom vybrané prostředky, jako je třeba virtuální počítač.

Důležité informace o nákladech

V závislosti na využití a zatížení jsou dostupné různé možnosti velikosti virtuálních počítačů. Tento rozsah zahrnuje největší úspornou možnost řady BS-Series až po nejnovější virtuální počítače GPU optimalizované pro strojové učení. Informace o dostupných možnostech najdete v tématu ceny za virtuální počítače Azure Linux.

Pro úlohy bez předvídatelné doby dokončení nebo spotřeby prostředků zvažte možnost platit podle toho, jak se dostanete .

Zvažte použití Azure reservations , pokud se můžete pořídit pomocí virtuálního počítače po dobu jednoho nebo tří let. Rezervace virtuálních počítačů můžou snížit náklady až do 72% ve srovnání s cenami průběžných plateb.

Pomocí virtuálních počítačů Azure můžete spouštět úlohy, které je možné přerušit a nevyžadují dokončení v rámci předstanoveného časového období nebo smlouvy SLA. Azure nasadí virtuální počítače na místě, pokud je dostupná kapacita a vyřadí se, když potřebuje kapacitu zpátky. Náklady spojené s přímými virtuálními počítači jsou výrazně nižší. Zvažte možnost vystavení virtuálních počítačů pro tyto úlohy:

  • Vysoce výkonné výpočetní scénáře, úlohy dávkového zpracování nebo aplikace pro vizuální vykreslování.
  • Testovací prostředí, včetně úloh průběžná integrace a průběžného doručování.
  • Rozsáhlé bezstavové aplikace.

K odhadování nákladů použijte cenovou kalkulačku Azure .

Další informace najdete v části věnované nákladům v tématu Dobře navržená architektura Microsoft Azure.

Důležité informace o zabezpečení

K získání přehledu o stavu zabezpečení vašich prostředků Azure použijte službu Azure Security Center. Security Center monitoruje potenciální potíže se zabezpečením a poskytuje ucelený přehled o stavu zabezpečení vašeho nasazení. Služba Security Center se konfiguruje na základě předplatného Azure. Povolte shromažďování dat zabezpečení, jak je popsáno v tématu připojení předplatného Azure k Security Center Standard. Když je povolené shromažďování dat, Security Center automaticky prohledává všechny virtuální počítače vytvořené v rámci příslušného předplatného.

Správa oprav. Pokud je povolené centrum Security Center, kontroluje, jestli nechybí žádné aktualizace zabezpečení a důležité aktualizace.

Antimalwarový software. Pokud je povolené centrum Security Center, kontroluje, jestli je nainstalovaný software ochrany před malwarem. Security Center můžete použít také k instalaci antimalwarového softwaru z portálu Azure Portal.

Řízení přístupu. K řízení přístupu k prostředkům Azure použijte řízení přístupu na základě role Azure (Azure RBAC) . Azure RBAC umožňuje přiřadit autorizační role členům týmu DevOps. Třeba role čtenáře může zobrazovat prostředky Azure, ale nemůže je vytvářet, spravovat ani odstraňovat. Některá oprávnění jsou specifická pro typ prostředku Azure. Třeba role Přispěvatel virtuálních počítačů může restartovat nebo zrušit přidělení virtuálního počítače, resetovat heslo správce, vytvořit nový virtuální počítač a tak dále. Mezi další předdefinované role , které můžou být užitečné pro tuto architekturu, patří uživatel DevTest Labs a Přispěvatel sítě.

Poznámka

Azure RBAC neomezuje akce, které může uživatel přihlášený k virtuálnímu počítači provést. Tato oprávnění určuje typ účtu v hostovaném operačním systému.

Protokoly auditu. Pomocí protokolů auditu můžete zjistit akce zřizování a další události virtuálního počítače.

Šifrování dat: Pokud potřebujete šifrovat operační systém a datové disky, použijte Azure Disk Encryption .

Důležité informace o DevOps

K zřizování prostředků Azure a jejích závislostí použijte jednu šablonu Azure Resource Manager . Vzhledem k tomu, že všechny prostředky jsou ve stejné virtuální síti, jsou izolované ve stejné základní úloze, která usnadňuje přidružení konkrétních prostředků ke DevOps týmu, aby tým mohl nezávisle spravovat všechny aspekty těchto prostředků. Tato izolace umožňuje týmu DevOps provádět průběžnou integraci a průběžné doručování (CI/CD).

Můžete také použít různé šablony Azure Resource Manager a integrovat je s Azure DevOps Services a zřídit si různá prostředí během několika minut, například replikovat produkční prostředí jako scénáře nebo zátěžové testování v případě potřeby, a ušetřit tak náklady.

V případě architektury vyšší dostupnosti se v Azure N-vrstvá aplikace v Azure s Apache Cassandrapoužívá referenční architektura, která zahrnuje víc než jeden virtuální počítač a každý virtuální počítač je součástí skupiny dostupnosti.

Zvažte použití služby Azure Monitor k analýze a optimalizaci výkonu infrastruktury a monitorování a diagnostice problémů se sítěmi bez protokolování na virtuálních počítačích.

Další informace najdete v části provozní výkon v Microsoft Azure Well-Architected Framework.

Další kroky