Perspective d’Azure Well-Architected Framework sur les Machines Virtuelles et les groupes identiques
Azure Machines Virtuelles est un type de service de calcul que vous pouvez utiliser pour créer et exécuter des machines virtuelles sur la plateforme Azure. Il offre une flexibilité dans différentes références SKU, systèmes d’exploitation et configurations avec différents modèles de facturation.
Cet article part du principe qu’en tant qu’architecte, vous avez passé en revue l’arborescence de décision de calcul et choisi Machines Virtuelles comme service de calcul pour votre charge de travail. Les conseils de cet article fournissent des recommandations architecturales qui sont mappées aux principes des piliers Azure Well-Architected Framework.
Important
Comment utiliser ce guide
Chaque section a une liste de contrôle de conception qui présente les domaines d’intérêt architecturaux ainsi que les stratégies de conception localisées en fonction de l’étendue de la technologie.
Sont également incluses des recommandations sur les capacités technologiques qui peuvent aider à matérialiser ces stratégies. Les recommandations ne représentent pas une liste exhaustive de toutes les configurations disponibles pour Machines Virtuelles et ses dépendances. Au lieu de cela, ils répertorient les recommandations clés mappées aux perspectives de conception. Utilisez les recommandations pour générer votre preuve de concept ou optimiser vos environnements existants.
Architecture de base qui illustre les recommandations clés : Machines Virtuelles architecture de base.
Étendue de la technologie
Cette révision se concentre sur les décisions liées entre elles pour les ressources Azure suivantes :
Machines Virtuelles
Groupes de machines virtuelles identiques Azure
Disques
Les disques sont une dépendance critique pour les architectures basées sur des machines virtuelles. Pour plus d’informations, consultez Disques et optimisation.
Fiabilité
L’objectif du pilier Fiabilité est de fournir des fonctionnalités continues en créant une résilience suffisante et la possibilité de récupérer rapidement après des défaillances.
Les principes de conception de fiabilité fournissent une stratégie de conception de haut niveau appliquée pour les composants individuels, les flux système et le système dans son ensemble.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la liste de contrôle de révision de la conception pour la fiabilité. Déterminez sa pertinence par rapport aux besoins de votre entreprise tout en gardant à l’esprit les références SKU et les fonctionnalités des machines virtuelles et leurs dépendances. Étendez la stratégie pour inclure d’autres approches si nécessaire.
Passez en revue Machines Virtuelles quotas et limites susceptibles de poser des restrictions de conception. Les machines virtuelles ont des limites et des quotas spécifiques, qui varient en fonction du type de machine virtuelle ou de la région. Il peut y avoir des restrictions d’abonnement, telles que le nombre de machines virtuelles par abonnement ou le nombre de cœurs par machine virtuelle. Si d’autres charges de travail partagent votre abonnement, votre capacité à consommer des données peut être réduite. Vérifiez les limites sur les machines virtuelles, les groupes de machines virtuelles identiques et les disques managés.
Effectuez une analyse du mode d’échec pour réduire les points de défaillance en analysant les interactions des machines virtuelles avec les composants réseau et de stockage. Choisissez des configurations telles que des disques de système d’exploitation éphémères pour localiser l’accès au disque et éviter les sauts réseau. Ajoutez un équilibreur de charge pour améliorer la conservation de soi en répartissant le trafic réseau sur plusieurs machines virtuelles, ce qui améliore la disponibilité et la fiabilité.
Calculez vos objectifs de niveau de service (SLO) composites en fonction des contrats de niveau de service (SLA) Azure. Assurez-vous que votre SLO n’est pas supérieur aux contrats SLA Azure pour éviter les attentes irréalistes et les problèmes potentiels.
Soyez conscient des complexités que les dépendances introduisent. Par exemple, certaines dépendances, comme les réseaux virtuels et les cartes d’interface réseau ,n’ont pas leurs propres contrats SLA. D’autres dépendances, telles qu’un disque de données associé, ont des contrats SLA qui s’intègrent aux contrats SLA de machine virtuelle. Vous devez tenir compte de ces variantes, car elles peuvent affecter les performances et la fiabilité des machines virtuelles.
Tenez compte des dépendances critiques des machines virtuelles sur des composants tels que les disques et les composants réseau. Si vous comprenez ces relations, vous pouvez déterminer les flux critiques qui affectent la fiabilité.
Créez une isolation d’état. Les données de charge de travail doivent se trouver sur un disque de données distinct pour éviter toute interférence avec le disque du système d’exploitation. En cas de défaillance d’une machine virtuelle, vous pouvez créer un disque de système d’exploitation avec le même disque de données, ce qui garantit la résilience et l’isolation des erreurs. Pour plus d’informations, consultez Disques de système d’exploitation éphémères.
Rendre les machines virtuelles et leurs dépendances redondantes entre les zones. En cas d’échec d’une machine virtuelle, la charge de travail doit continuer à fonctionner en raison de la redondance. Incluez des dépendances dans vos choix de redondance. Par exemple, utilisez les options de redondance intégrées disponibles avec les disques. Utilisez des adresses IP redondantes interzone pour garantir la disponibilité des données et une disponibilité élevée.
Soyez prêt à effectuer un scale-up et un scale-out pour empêcher la dégradation du niveau de service et éviter les défaillances. Virtual Machine Scale Sets disposent de fonctionnalités de mise à l’échelle automatique qui créent de nouvelles instances en fonction des besoins et répartissent la charge sur plusieurs machines virtuelles et zones de disponibilité.
Explorez les options de récupération automatique. Azure prend en charge la surveillance de la dégradation de l’intégrité et les fonctionnalités d’auto-réparation pour les machines virtuelles. Par exemple, les groupes identiques fournissent des réparations automatiques instance. Dans des scénarios plus avancés, l’autoréparation implique l’utilisation d’Azure Site Recovery, la mise en place d’une veille passive vers laquelle basculer ou le redéploiement à partir de l’infrastructure en tant que code (IaC). La méthode que vous choisissez doit s’aligner sur les exigences métier et les opérations de votre organisation. Pour plus d’informations, consultez Interruptions de service de machine virtuelle.
Droits des machines virtuelles et de leurs dépendances. Comprenez le travail attendu de votre machine virtuelle pour vous assurer qu’elle n’est pas sous-dimensionnée et qu’elle peut gérer la charge maximale. Disposer d’une capacité supplémentaire pour atténuer les défaillances.
Créez un plan de récupération d’urgence complet. La préparation aux catastrophes implique la création d’un plan complet et le choix d’une technologie de récupération.
Les dépendances et les composants avec état, tels que le stockage attaché, peuvent compliquer la récupération. Si les disques tombent en panne, cette défaillance affecte le fonctionnement de la machine virtuelle. Incluez un processus clair pour ces dépendances dans vos plans de récupération.
Exécutez des opérations avec rigueur. Les choix de conception de fiabilité doivent être pris en charge par des opérations efficaces basées sur les principes de surveillance, de test de résilience en production, de correctifs et de mises à niveau automatisés des machines virtuelles d’application, et de cohérence des déploiements. Pour obtenir des conseils opérationnels, consultez Excellence opérationnelle.
Recommandations
| Recommandation | Avantage |
|---|---|
| (Groupe identique) Utilisez Virtual Machine Scale Sets en mode d’orchestration flexible pour déployer des machines virtuelles. | Pérennisez votre application pour la mise à l’échelle et tirez parti des garanties de haute disponibilité qui répartissent les machines virtuelles entre les domaines d’erreur dans une région ou une zone de disponibilité. |
| (Machines virtuelles) Implémentez des points de terminaison de santé qui émettent des états d’intégrité instance sur les machines virtuelles. (Groupe identique) Activez les réparations automatiques sur le groupe identique en spécifiant l’action de réparation par défaut. Envisagez de définir une période pendant laquelle les réparations automatiques s’interrompent si l’état de la machine virtuelle change. |
Maintenir la disponibilité même si un instance est jugé défectueux. Les réparations automatiques déclenchent la récupération en remplaçant le instance défectueux. La définition d’une fenêtre de temps peut éviter les opérations de réparation accidentelles ou prématurées. |
| (Groupe identique) Activez le surprovisionnement sur les groupes identiques. | Le surprovisionnement réduit les temps de déploiement et présente un avantage sur le coût, car les machines virtuelles supplémentaires ne sont pas facturées. |
| (Groupe identique) Autoriser l’orchestration flexible pour répartir les instances de machine virtuelle sur autant de domaines d’erreur que possible. | Cette option isole les domaines d’erreur. Pendant les périodes de maintenance, lorsqu’un domaine d’erreur est mis à jour, les instances de machine virtuelle sont disponibles dans les autres domaines d’erreur. |
| (Groupe identique) Déployez sur des zones de disponibilité sur des groupes identiques. Configurez au moins deux instances dans chaque zone. L’équilibrage de zone répartit également les instances entre les zones. |
Les instances de machine virtuelle sont approvisionnées dans des emplacements physiquement distincts dans chaque région Azure qui sont tolérants aux défaillances locales. Gardez à l’esprit que, selon la disponibilité des ressources, il peut y avoir un nombre inégaux d’instances entre les zones. L’équilibrage de zone prend en charge la disponibilité en s’assurant que, si une zone est en panne, les autres zones ont suffisamment d’instances. Deux instances dans chaque zone fournissent une mémoire tampon pendant les mises à niveau. |
| (Machines virtuelles) Tirez parti de la fonctionnalité de réservations de capacité. | La capacité est réservée à votre utilisation et est disponible dans l’étendue des CONTRATs SLA applicables. Vous pouvez supprimer des réservations de capacité lorsque vous n’en avez plus besoin et que la facturation est basée sur la consommation. |
Conseil
Pour plus d’informations sur la fiabilité des machines virtuelles, consultez Fiabilité dans Machines Virtuelles.
Sécurité
L’objectif du pilier Sécurité est de fournir des garanties de confidentialité, d’intégrité et de disponibilité à la charge de travail.
Les principes de conception de la sécurité fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs en appliquant des approches à la conception technique de Machines Virtuelles.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour La sécurité. Identifier les vulnérabilités et les contrôles pour améliorer la posture de sécurité. Étendez la stratégie pour inclure d’autres approches en fonction des besoins.
Passez en revue les bases de référence de sécurité pour les machines virtuellesLinux et Windows et les Virtual Machine Scale Sets.
Dans le cadre de vos choix technologiques de base, tenez compte des fonctionnalités de sécurité des références SKU de machine virtuelle qui prennent en charge votre charge de travail.
Garantir des mises à niveau et des mises à jour correctives de sécurité rapides et automatisées. Assurez-vous que les mises à jour sont automatiquement déployées et validées à l’aide d’un processus bien défini. Utilisez une solution comme Azure Automation pour gérer les mises à jour du système d’exploitation et maintenir la conformité de la sécurité en effectuant des mises à jour critiques.
Identifiez les machines virtuelles qui contiennent l’état. Assurez-vous que les données sont classées en fonction des étiquettes de confidentialité fournies par votre organization. Protégez les données à l’aide de contrôles de sécurité tels que les niveaux appropriés de chiffrement au repos et en transit. Si vous avez des exigences de haute sensibilité, envisagez d’utiliser des contrôles de haute sécurité tels que le double chiffrement et l’informatique confidentielle Azure pour protéger les données en cours d’utilisation.
Fournissez la segmentation des machines virtuelles et des groupes identiques en définissant des limites réseau et des contrôles d’accès. Placez les machines virtuelles dans des groupes de ressources qui partagent le même cycle de vie.
Appliquez des contrôles d’accès aux identités qui tentent d’atteindre les machines virtuelles, ainsi qu’aux machines virtuelles qui atteignent d’autres ressources. Utilisez Microsoft Entra ID pour les besoins d’authentification et d’autorisation. Mettez en place des mots de passe forts, l’authentification multifacteur et le contrôle d’accès en fonction du rôle (RBAC) pour vos machines virtuelles et leurs dépendances, telles que les secrets, afin de permettre aux identités autorisées d’effectuer uniquement les opérations attendues de leurs rôles.
Limitez l’accès aux ressources en fonction des conditions en utilisant Microsoft Entra l’accès conditionnel. Définissez les stratégies conditionnelles en fonction de la durée et de l’ensemble minimal d’autorisations requises.
Utilisez des contrôles réseau pour limiter le trafic d’entrée et de sortie. Isolez les machines virtuelles et les groupes identiques dans Azure Réseau virtuel et définissez des groupes de sécurité réseau pour filtrer le trafic. Protégez-vous contre les attaques par déni de service distribué (DDoS). Utilisez des équilibreurs de charge et des règles de pare-feu pour vous protéger contre le trafic malveillant et les attaques d’exfiltration de données.
Utilisez Azure Bastion pour fournir une connectivité sécurisée aux machines virtuelles pour un accès opérationnel.
La communication entre les machines virtuelles et les solutions PaaS (Platform as a Service) doit se faire sur des points de terminaison privés.
Réduisez la surface d’attaque en durcissant les images du système d’exploitation et en supprimant les composants inutilisés. Utilisez des images plus petites et supprimez les fichiers binaires qui ne sont pas nécessaires pour exécuter la charge de travail. Renforcez les configurations de machine virtuelle en supprimant les fonctionnalités, telles que les comptes et les ports par défaut, dont vous n’avez pas besoin.
Protégez les secrets tels que les certificats dont vous avez besoin pour protéger les données en transit. Envisagez d’utiliser l’extension Azure Key Vault pour Windows ou Linux qui actualise automatiquement les certificats stockés dans un coffre de clés. Lorsqu’elle détecte une modification dans les certificats, l’extension récupère et installe les certificats correspondants.
Détection de menaces. Surveillez les machines virtuelles à la recherche de menaces et de configurations incorrectes. Utilisez Defender pour les serveurs pour capturer les modifications apportées aux machines virtuelles et au système d’exploitation, et tenir à jour une piste d’audit de l’accès, des nouveaux comptes et des modifications d’autorisations.
Prévention des menaces. Protégez-vous contre les attaques de programmes malveillants et les acteurs malveillants en implémentant des contrôles de sécurité tels que des pare-feu, des logiciels antivirus et des systèmes de détection des intrusions. Déterminez si un environnement d’exécution approuvé (TEE) est requis.
Recommandations
| Recommandation | Avantage |
|---|---|
| (Groupe identique) Attribuez une identité managée aux groupes identiques. Toutes les machines virtuelles du groupe identique obtiennent la même identité via le profil de machine virtuelle spécifié. (Machines virtuelles) Vous pouvez également affecter une identité managée à des machines virtuelles individuelles lorsque vous les créez, puis l’ajouter à un groupe identique si nécessaire. |
Lorsque les machines virtuelles communiquent avec d’autres ressources, elles franchissent une limite d’approbation. Les groupes identiques et les machines virtuelles doivent authentifier leur identité avant d’autoriser la communication. Microsoft Entra ID gère cette authentification à l’aide d’identités managées. |
| (Groupe identique) Choisissez des références SKU de machine virtuelle avec des fonctionnalités de sécurité. Par exemple, certaines références SKU prennent en charge le chiffrement BitLocker, et l’informatique confidentielle assure le chiffrement des données en cours d’utilisation. Passez en revue les fonctionnalités pour comprendre les limitations. |
Les fonctionnalités fournies par Azure sont basées sur des signaux capturés sur de nombreux locataires et peuvent mieux protéger les ressources que les contrôles personnalisés. Vous pouvez également utiliser des stratégies pour appliquer ces contrôles. |
| (Machines virtuelles, groupe identique) Appliquez organization balises recommandées dans les ressources approvisionnées. | L’étiquetage est un moyen courant de segmenter et d’organiser les ressources et peut être crucial lors de la gestion des incidents. Pour plus d’informations, consultez Objectif du nommage et de l’étiquetage. |
| (Machines virtuelles, groupe identique) Définissez un profil de sécurité avec les fonctionnalités de sécurité que vous souhaitez activer dans la configuration de la machine virtuelle. Par exemple, lorsque vous spécifiez le chiffrement au niveau de l’hôte dans le profil, les données stockées sur l’hôte de machine virtuelle sont chiffrées au repos et les flux sont chiffrés vers le service de stockage. |
Les fonctionnalités du profil de sécurité sont automatiquement activées lors de la création de la machine virtuelle. Pour plus d’informations, consultez Base de référence de sécurité Azure pour Virtual Machine Scale Sets. |
| (Machines virtuelles) Choisissez les options de mise en réseau sécurisées pour le profil réseau de votre machine virtuelle. N’associez pas directement des adresses IP publiques à vos machines virtuelles et n’activez pas le transfert IP. Vérifiez que toutes les interfaces réseau virtuelles ont un groupe de sécurité réseau associé. |
Vous pouvez définir des contrôles de segmentation dans le profil réseau. Les attaquants analysent les adresses IP publiques, ce qui rend les machines virtuelles vulnérables aux menaces. |
| (Machines virtuelles) Choisissez des options de stockage sécurisées pour le profil de stockage de votre machine virtuelle. Activez le chiffrement de disque et le chiffrement des données au repos par défaut. Désactivez l’accès réseau public aux disques de machine virtuelle. |
La désactivation de l’accès au réseau public permet d’empêcher tout accès non autorisé à vos données et ressources. |
| (Machines virtuelles, groupe identique) Incluez des extensions dans vos machines virtuelles qui protègent contre les menaces. Par exemple, - extension Key Vault pour Windows et Linux - Authentification Microsoft Entra ID - Microsoft Antimalware pour azure Services cloud et Machines Virtuelles - Extension Azure Disk Encryption pour Windows et Linux. |
Les extensions sont utilisées pour démarrer les machines virtuelles avec le logiciel approprié qui protège l’accès vers et depuis les machines virtuelles. Les extensions fournies par Microsoft sont fréquemment mises à jour pour suivre les normes de sécurité en constante évolution. |
Optimisation des coûts
L’optimisation des coûts se concentre sur la détection des modèles de dépenses, la hiérarchisation des investissements dans les domaines critiques et l’optimisation dans d’autres pour répondre au budget de l’organization tout en répondant aux besoins de l’entreprise.
Les principes de conception d’optimisation des coûts fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs et faire des compromis si nécessaire dans la conception technique liée à Machines Virtuelles et son environnement.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour l’optimisation des coûts pour les investissements. Ajustez la conception pour que la charge de travail soit alignée sur le budget alloué à la charge de travail. Votre conception doit utiliser les fonctionnalités Azure appropriées, surveiller les investissements et trouver des opportunités d’optimisation au fil du temps.
Estimer les coûts réalistes. Utilisez la calculatrice de prix pour estimer les coûts de vos machines virtuelles. Identifiez la machine virtuelle la mieux adaptée à votre charge de travail à l’aide du sélecteur de machine virtuelle. Pour plus d’informations, consultez Tarification Linux et Windows .
Implémenter des garde-fous de coût. Utilisez des stratégies de gouvernance pour restreindre les types de ressources, les configurations et les emplacements. Utilisez RBAC pour bloquer les actions susceptibles d’entraîner des dépenses excessives.
Choisissez les ressources appropriées. Votre sélection de tailles de plan de machine virtuelle et de références SKU affecte directement le coût global. Choisissez des machines virtuelles en fonction des caractéristiques de charge de travail. La charge de travail est-elle gourmande en processeur ou exécute-t-elle des processus interruptibles ? Chaque référence SKU a des options de disque associées qui affectent le coût global.
Choisissez les fonctionnalités appropriées pour les ressources dépendantes. Économisez sur les coûts de stockage de sauvegarde pour le niveau standard du coffre en utilisant Sauvegarde Azure stockage avec une capacité réservée. Il offre une remise lorsque vous vous engagez sur une réservation pour un an ou trois ans.
Le niveau archive dans Stockage Azure est un niveau hors connexion optimisé pour le stockage des données d’objets blob rarement accessibles. Le niveau archive offre les coûts de stockage les plus bas, mais des coûts de récupération des données et une latence plus élevés par rapport aux niveaux chaud et froid en ligne.
Envisagez d’utiliser la récupération d’urgence de zone à zone pour que les machines virtuelles récupèrent après une défaillance de site tout en réduisant la complexité de la disponibilité à l’aide de services redondants interzone. Une complexité opérationnelle réduite peut avoir des avantages en matière de coûts.
Choisissez le modèle de facturation approprié. Évaluez si les modèles basés sur l’engagement pour le calcul optimisent les coûts en fonction des exigences métier de la charge de travail. Tenez compte des options Azure suivantes :
- Réservations Azure : prépayez les charges de travail prévisibles afin de réduire les coûts par rapport à la tarification basée sur la consommation.
Important
Achetez des instances réservées pour réduire les coûts Azure pour les charges de travail qui ont une utilisation stable. Gérez l’utilisation pour vous assurer que vous ne payez pas pour plus de ressources que vous n’utilisez. Conservez la simplicité des instances réservées et réduisez la charge de gestion pour réduire les coûts.
- Plan d’économies : si vous vous engagez à dépenser un montant horaire fixe sur les services de calcul pendant un ou trois ans, ce plan peut réduire les coûts.
- Azure Hybrid Benefit : Enregistrez lorsque vous migrez vos machines virtuelles locales vers Azure.
- Réservations Azure : prépayez les charges de travail prévisibles afin de réduire les coûts par rapport à la tarification basée sur la consommation.
Surveiller l’utilisation. Surveillez en permanence les modèles d’utilisation et détectez les machines virtuelles inutilisées ou sous-utilisées. Pour ces instances, arrêtez les instances de machine virtuelle lorsqu’elles ne sont pas utilisées. Le monitoring est une approche clé de l’excellence opérationnelle. Pour plus d’informations, consultez les recommandations dans Excellence opérationnelle.
Recherchez des moyens d’optimiser. Certaines stratégies incluent le choix de l’approche la plus économique entre l’augmentation des ressources dans un système existant, ou la montée en puissance, et l’ajout d’instances supplémentaires de ce système, ou le scale-out. Vous pouvez décharger la demande en la distribuant à d’autres ressources, ou vous pouvez réduire la demande en implémentant des files d’attente prioritaires, le déchargement de passerelle, la mise en mémoire tampon et la limitation du débit. Pour plus d’informations, consultez les recommandations dans Efficacité des performances.
Recommandations
| Recommandation | Avantage |
|---|---|
| (Machines virtuelles, groupe identique) Choisissez la taille de plan de machine virtuelle et la référence SKU appropriées. Identifiez les meilleures tailles de machine virtuelle pour votre charge de travail. Utilisez le sélecteur de machine virtuelle pour identifier la meilleure machine virtuelle pour votre charge de travail. Consultez Tarification Windows et Linux . Pour les charges de travail telles que les travaux de traitement par lots hautement parallèles qui peuvent tolérer certaines interruptions, envisagez d’utiliser Azure Spot Machines Virtuelles. Les machines virtuelles Spot sont idéales pour expérimenter, développer et tester des solutions à grande échelle. |
Les références SKU sont facturées en fonction des fonctionnalités qu’elles offrent. Si vous n’avez pas besoin de fonctionnalités avancées, n’utilisez pas trop de références SKU. Les machines virtuelles Spot tirent parti de la capacité excédentaire dans Azure à moindre coût. |
| (Machines virtuelles, groupe identique) Évaluez les options de disque associées aux références SKU de votre machine virtuelle. Déterminez vos besoins en performances tout en gardant à l’esprit vos besoins en capacité de stockage et en tenant compte des modèles de charge de travail fluctuants. Par exemple, le disque AZURE Premium SSD v2 vous permet d’ajuster vos performances de manière granulaire, indépendamment de la taille du disque. |
Certains types de disques hautes performances offrent des fonctionnalités et des stratégies d’optimisation des coûts supplémentaires. La capacité d’ajustement du disque SSD Premium v2 peut réduire les coûts, car elle offre des performances élevées sans surprovisionnement, ce qui pourrait sinon entraîner des ressources sous-utilisées. |
| (Groupe identique) Mélangez des machines virtuelles standard avec des machines virtuelles spot. L’orchestration flexible vous permet de distribuer des machines virtuelles spot en fonction d’un pourcentage spécifié. |
Réduisez les coûts d’infrastructure de calcul en appliquant les remises approfondies des machines virtuelles spot. |
| (Groupe identique) Réduisez le nombre d’instances de machine virtuelle lorsque la demande diminue. Définissez une stratégie de mise à l’échelle en fonction de critères. Arrêtez les machines virtuelles pendant les heures creuses. Vous pouvez utiliser la fonctionnalité Démarrer/Arrêter Azure Automation et la configurer en fonction des besoins de votre entreprise. |
La mise à l’échelle ou l’arrêt des ressources lorsqu’elles ne sont pas utilisées réduit le nombre de machines virtuelles exécutées dans le groupe identique, ce qui réduit les coûts. La fonctionnalité Démarrer/Arrêter est une option d’automatisation à faible coût. |
| (Machines virtuelles, groupe identique) Tirez parti de la mobilité des licences à l’aide de Azure Hybrid Benefit. Les machines virtuelles disposent d’une option de licence qui vous permet d’apporter vos propres licences de système d’exploitation Windows Server locales à Azure. Azure Hybrid Benefit vous permet également d’apporter certains abonnements Linux à Azure. |
Vous pouvez optimiser vos licences locales tout en bénéficiant des avantages du cloud. |
Excellence opérationnelle
L’excellence opérationnelle se concentre principalement sur les procédures relatives aux pratiques de développement, à l’observabilité et à la gestion des mises en production.
Les principes de conception de l’excellence opérationnelle fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs pour les exigences opérationnelles de la charge de travail.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la liste de contrôle de révision de conception pour l’excellence opérationnelle pour définir les processus d’observabilité, de test et de déploiement liés aux Machines Virtuelles et aux groupes identiques.
Surveillez les instances de machine virtuelle. Collectez les journaux et les métriques des instances de machine virtuelle pour surveiller l’utilisation des ressources et mesurer l’intégrité des instances. Certaines métriques courantes incluent l’utilisation du processeur, le nombre de requêtes et la latence d’entrée/sortie (E/S). Configurez des alertes Azure Monitor pour être informé des problèmes et détecter les modifications de configuration dans votre environnement.
Surveillez l’intégrité des machines virtuelles et de leurs dépendances.
- Déployez des composants de supervision pour collecter des journaux et des métriques qui donnent une vue complète de vos machines virtuelles, de votre système d’exploitation invité et de vos données de démarrage diagnostics. Virtual Machine Scale Sets cumuler les données de télémétrie, ce qui vous permet d’afficher les métriques d’intégrité au niveau d’une machine virtuelle individuelle ou en tant qu’agrégat. Utilisez Azure Monitor pour afficher ces données par machine virtuelle ou agrégées sur plusieurs machines virtuelles. Pour plus d’informations, consultez Recommandations sur l’analyse des agents.
- Tirez parti des composants réseau qui case activée la status d’intégrité des machines virtuelles. Par exemple, Azure Load Balancer effectue un test ping sur les machines virtuelles pour détecter les machines virtuelles défectueuses et rediriger le trafic en conséquence.
- Configurez les règles d’alerte Azure Monitor. Déterminez les conditions importantes dans vos données de surveillance pour identifier et résoudre les problèmes avant qu’ils n’affectent le système.
Créez un plan de maintenance qui inclut une mise à jour corrective régulière du système dans le cadre des opérations de routine. Incluez les processus d’urgence qui permettent une application corrective immédiate. Vous pouvez avoir des processus personnalisés pour gérer la mise à jour corrective ou déléguer partiellement la tâche à Azure. Azure fournit des fonctionnalités pour la maintenance individuelle des machines virtuelles. Vous pouvez configurer des fenêtres de maintenance pour réduire les interruptions pendant les mises à jour. Lors des mises à jour de la plateforme, les considérations relatives au domaine d’erreur sont essentielles pour la résilience. Nous vous recommandons de déployer au moins deux instances dans une zone. Deux machines virtuelles par zone garantissent au moins une machine virtuelle dans chaque zone, car un seul domaine d’erreur dans une zone est mis à jour à la fois. Ainsi, pour trois zones, approvisionnez au moins six instances.
Automatisez les processus de démarrage, d’exécution de scripts et de configuration de machines virtuelles. Vous pouvez automatiser des processus à l’aide d’extensions ou de scripts personnalisés. Nous vous recommandons d’utiliser les options suivantes :
L’extension de machine virtuelle Key Vault actualise automatiquement les certificats stockés dans un coffre de clés.
L’extension de script personnalisé Azure pour Windows et Linux télécharge et exécute des scripts sur Machines Virtuelles. Utilisez cette extension pour la configuration post-déploiement, l’installation de logiciels ou toute autre tâche de configuration ou de gestion.
Utilisez cloud-init pour configurer l’environnement de démarrage pour les machines virtuelles Linux.
Avoir des processus d’installation des mises à jour automatiques. Envisagez d’utiliser la mise à jour corrective automatique des invités de machine virtuelle pour un déploiement rapide des correctifs critiques et des correctifs de sécurité. Utilisez Update Management dans Azure Automation pour gérer les mises à jour du système d’exploitation pour vos machines virtuelles Windows et Linux dans Azure.
Créez un environnement de test qui correspond étroitement à votre environnement de production pour tester les mises à jour et les modifications avant de les déployer en production. Mettez en place des processus pour tester les mises à jour de sécurité, les bases de référence de performances et les erreurs de fiabilité. Tirez parti des bibliothèques d’erreurs Azure Chaos Studio pour injecter et simuler des conditions d’erreur. Pour plus d’informations, consultez Bibliothèque d’erreurs et d’actions Azure Chaos Studio.
Gérez votre quota. Planifiez le niveau de quota requis par votre charge de travail et examinez ce niveau régulièrement à mesure que la charge de travail évolue. Si vous devez augmenter ou diminuer votre quota, demandez ces modifications tôt.
Recommandations
| Recommandation | Avantage |
|---|---|
| (Groupe identique) Virtual Machine Scale Sets en mode d’orchestration flexible peut vous aider à simplifier le déploiement et la gestion de votre charge de travail. Par exemple, vous pouvez facilement gérer la réparation automatique à l’aide de réparations automatiques. | L’orchestration flexible peut gérer les instances de machine virtuelle à grande échelle. La remise de machines virtuelles individuelles ajoute une surcharge opérationnelle. Par exemple, lorsque vous supprimez des instances de machine virtuelle, les disques et cartes réseau associés sont également automatiquement supprimés. Les instances de machine virtuelle sont réparties sur plusieurs domaines d’erreur afin que les opérations de mise à jour ne perturbent pas le service. |
| (Groupe identique) Maintenez vos machines virtuelles à jour en définissant une stratégie de mise à niveau. Nous recommandons des mises à niveau propagées. Toutefois, si vous avez besoin d’un contrôle granulaire, choisissez de mettre à niveau manuellement. Pour l’orchestration flexible, vous pouvez utiliser Update Management dans Azure Automation. |
La sécurité est la principale raison des mises à niveau. Les garanties de sécurité pour les instances ne doivent pas se dégrader au fil du temps. Les mises à niveau propagées sont effectuées par lots, ce qui garantit que toutes les instances ne sont pas en panne en même temps. |
| (Machines virtuelles, groupe identique) Déployez automatiquement des applications de machine virtuelle à partir d’Azure Compute Gallery en définissant les applications dans le profil. | Les machines virtuelles du groupe identique sont créées et les applications spécifiées sont préinstallées, ce qui facilite la gestion. |
| Installez les composants logiciels prédéfinis en tant qu’extensions dans le cadre de l’amorçage. Azure prend en charge de nombreuses extensions qui peuvent être utilisées pour configurer, surveiller, sécuriser et fournir des applications utilitaires pour vos machines virtuelles. Activez les mises à niveau automatiques sur les extensions. |
Les extensions peuvent vous aider à simplifier l’installation logicielle à grande échelle sans que vous ayez à l’installer, à le configurer ou à le mettre à niveau manuellement sur chaque machine virtuelle. |
| (Machines virtuelles, groupe identique) Surveillez et mesurez l’intégrité des instances de machine virtuelle. Déployez l’extension de l’agent Monitor sur vos machines virtuelles pour collecter des données de surveillance à partir du système d’exploitation invité avec des règles de collecte de données spécifiques au système d’exploitation. Activez VM Insights pour surveiller l’intégrité et les performances et afficher les tendances à partir des données collectées. Utilisez diagnostics de démarrage pour obtenir des informations au démarrage des machines virtuelles. Le démarrage diagnostics également diagnostiquer les échecs de démarrage. |
La surveillance des données est au cœur de la résolution des incidents. Une pile de supervision complète fournit des informations sur les performances des machines virtuelles et leur intégrité. En surveillant en permanence les instances, vous pouvez être prêt pour les défaillances telles que la surcharge de performances et les problèmes de fiabilité. |
Efficacité des performances
L’efficacité des performances consiste à maintenir l’expérience utilisateur même en cas d’augmentation de la charge en gérant la capacité. La stratégie comprend la mise à l’échelle des ressources, l’identification et l’optimisation des goulots d’étranglement potentiels et l’optimisation pour des performances maximales.
Les principes de conception d’efficacité des performances fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs de capacité par rapport à l’utilisation attendue.
Check-list pour la conception
Démarrez votre stratégie de conception en fonction de la liste de contrôle de révision de la conception pour l’efficacité des performances. Définissez une base de référence basée sur des indicateurs de performances clés pour les Machines Virtuelles et les groupes identiques.
Définissez des objectifs de performances. Identifiez les métriques de machine virtuelle pour suivre et mesurer les indicateurs de performances tels que le temps de réponse, l’utilisation du processeur et l’utilisation de la mémoire, ainsi que les métriques de charge de travail telles que les transactions par seconde, les utilisateurs simultanés et la disponibilité et l’intégrité.
Tenez compte du profil de performances des machines virtuelles, des groupes identiques et de la configuration de disque dans votre planification de capacité. Chaque référence SKU a un profil de mémoire et de processeur différent et se comporte différemment en fonction du type de charge de travail. Effectuez des pilotes et des preuves de concept pour comprendre le comportement des performances dans le cadre de la charge de travail spécifique.
Optimisation des performances des machines virtuelles. Tirez parti de l’optimisation des performances et de l’amélioration des fonctionnalités requises par la charge de travail. Par exemple, utilisez une mémoire express non volatile (NVMe) attachée localement pour des cas d’usage hautes performances et une mise en réseau accélérée, et utilisez SSD Premium v2 pour améliorer les performances et la scalabilité.
Prenez en compte les services dépendants. Les dépendances de charge de travail, telles que la mise en cache, le trafic réseau et les réseaux de distribution de contenu, qui interagissent avec les machines virtuelles peuvent affecter les performances. Tenez également compte de la distribution géographique, comme les zones et les régions, qui peut ajouter une latence.
Collecter des données de performances. Suivez les meilleures pratiques d’excellence opérationnelle pour la surveillance et le déploiement des extensions appropriées pour afficher les métriques qui effectuent un suivi par rapport aux indicateurs de performance.
Groupes de placement de proximité. Utilisez des groupes de placement de proximité dans les charges de travail où une faible latence est requise pour garantir que les machines virtuelles sont physiquement situées à proximité les unes des autres.
Recommandations
| Recommandation | Avantage |
|---|---|
| (Machines virtuelles, groupe identique) Choisissez des références SKU pour les machines virtuelles qui s’alignent sur votre planification de capacité. Ayez une bonne compréhension des exigences de votre charge de travail, notamment le nombre de cœurs, la mémoire, le stockage et la bande passante réseau afin de pouvoir filtrer les références SKU non adaptées. |
L’optimisation de vos machines virtuelles est une décision fondamentale qui affecte considérablement les performances de votre charge de travail. Sans l’ensemble de machines virtuelles approprié, vous risquez de rencontrer des problèmes de performances et d’accumuler des coûts inutiles. |
| (Machines virtuelles, groupe identique) Déployez des machines virtuelles de charge de travail sensibles à la latence dans des groupes de placement de proximité. | Les groupes de placement de proximité réduisent la distance physique entre les ressources de calcul Azure, ce qui peut améliorer les performances et réduire la latence réseau entre des machines virtuelles autonomes, des machines virtuelles dans plusieurs groupes à haute disponibilité ou des machines virtuelles dans plusieurs groupes identiques. |
| (Machines virtuelles, groupe identique) Définissez le profil de stockage en analysant les performances du disque des charges de travail existantes et la référence SKU de machine virtuelle. Utilisez des disques SSD Premium pour les machines virtuelles de production. Ajustez les performances des disques avec ssd Premium v2. Utilisez des appareils NVMe attachés localement. |
Les disques SSD Premium offrent une prise en charge des machines virtuelles sur disque hautes performances et à faible latence avec des charges de travail gourmandes en E/S. Ssd Premium v2 ne nécessite pas de redimensionnement du disque, ce qui permet des performances élevées sans surprovisionnement et réduit le coût de la capacité inutilisée. Lorsqu’elles sont disponibles sur les références SKU de machine virtuelle, les NMV ou les appareils similaires attachés localement peuvent offrir des performances élevées, en particulier pour les cas d’usage qui nécessitent des opérations d’entrée/sortie élevées par seconde (IOPS) et une faible latence. |
| (Machines virtuelles) Envisagez d’activer la mise en réseau accélérée. | Il permet une virtualisation d’E/S racine unique (SR-IOV) sur une machine virtuelle, ce qui améliore considérablement ses performances réseau. |
| (Machines virtuelles, groupe identique) Définissez des règles de mise à l’échelle automatique pour augmenter ou diminuer le nombre d’instances de machine virtuelle dans votre groupe identique en fonction de la demande. | Si la demande de votre application augmente, la charge sur les instances de machine virtuelle dans votre groupe identique augmente. Les règles de mise à l’échelle automatique garantissent que vous disposez de suffisamment de ressources pour répondre à la demande. |
Stratégies Azure
Azure fournit un ensemble complet de stratégies intégrées liées à Machines Virtuelles et à ses dépendances. Certaines des recommandations précédentes peuvent être auditées via Azure Policy. Par exemple, vous pouvez case activée si :
- Le chiffrement sur l’hôte est activé.
- Les extensions anti-programme malveillant sont déployées et activées pour les mises à jour automatiques sur les machines virtuelles qui exécutent Windows Server.
- La mise à jour corrective automatique des images de système d’exploitation sur les groupes identiques est activée.
- Seules les extensions de machine virtuelle approuvées sont installées.
- L’agent Monitor et les agents de dépendance sont activés sur les nouvelles machines virtuelles de votre environnement Azure.
- Seules les références SKU de machine virtuelle autorisées sont déployées pour limiter les tailles en fonction des contraintes de coût.
- Les points de terminaison privés sont utilisés pour accéder aux ressources de disque.
- La détection des vulnérabilités est activée. Il existe des règles spécialisées pour les machines Windows. Par exemple, vous pouvez planifier Windows Defender à analyser tous les jours.
Pour une gouvernance complète, passez en revue les définitions intégrées Azure Policy pour Machines Virtuelles et d’autres stratégies susceptibles d’affecter la sécurité de la couche de calcul.
Recommandations Azure Advisor
Azure Advisor est un conseiller cloud personnalisé qui vous aide à suivre les bonnes pratiques pour optimiser vos déploiements Azure. Voici quelques recommandations qui peuvent vous aider à améliorer la fiabilité, la sécurité, la rentabilité, les performances et l’excellence opérationnelle de Machines Virtuelles.
Étapes suivantes
Considérez les articles suivants comme des ressources qui illustrent les recommandations mises en évidence dans cet article.
- Utilisez les architectures de référence suivantes comme exemples d’application des conseils de cet article à une charge de travail :
- Architectures de machine virtuelle unique : machine virtuelle Linux et machine virtuelle Windows
- Architecture de base qui se concentre sur les recommandations d’infrastructure : Machines Virtuelles architecture de base
- Créez une expertise en implémentation à l’aide de la documentation produit suivante :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour