Linux rendszerű virtuális gép futtatása a Azure Stack Hub

Egy virtuális gép (VM) üzembe Azure Stack Hub, például az Azure-ban, további összetevőkre van szükség magán a virtuális gépen kívül, beleértve a hálózati és tárolási erőforrásokat. Ez a cikk a Linux rendszerű virtuális gépeken való futtatásának ajánlott Azure Stack Hub.

Linux rendszerű virtuális gépek architektúrája Azure Stack Hub

Erőforráscsoport

Az erőforráscsoport egy logikai tároló, amely kapcsolódó Azure Stack Hub található. Az erőforrásokat általában az élettartamuk és a kezelésük alapján csoportosítják.

A szorosan összekapcsolt, azonos életciklusú erőforrásokat helyezze egy erőforráscsoportba. Az erőforráscsoportok segítségével csoportosan helyezhet üzembe és monitorozhat erőforrásokat, és a számlázási költségeket erőforráscsoportonként követheti. Az erőforrásokat csoportként is törölheti, ami teszttelepítések esetén lehet hasznos. Jelentéssel bíró erőforrásneveket adjon meg, hogy egyszerűbben megkereshesse és azonosíthassa az egyes erőforrásokat és azok szerepkörét. További információ: Az Azure-erőforrások ajánlott elnevezési konvenciói.

Virtuális gép

A virtuális gépet kiépítheti a közzétett rendszerképek listájából, vagy a Blob Storage-be feltöltött egyénileg felügyelt rendszerképből vagy virtuális merevlemezből (VHD) Azure Stack Hub is. Azure Stack Hub linuxos disztribúciók, például a CentOS, a Debian, a Red Hat Enterprise, az Ubuntu és a SUSE futtatását támogatja. További információ: Linux on Azure Stack Hub. Dönthet úgy is, hogy kiveszi az egyik közzétett Linux-rendszerképet, amely elérhető a Azure Stack Hub Marketplace-en.

Azure Stack Hub Azure-tól eltérő virtuálisgép-méreteket kínál. További információ: Virtuális gépek méretei a Azure Stack Hub. Ha egy meglévő számítási feladatot a Azure Stack Hub, kezdje azzal a virtuálisgép-mérettel, amely a legközelebb áll a helyszíni kiszolgálókhoz/Azure-hoz. Ezután mérje meg a tényleges számítási feladat teljesítményét a processzor, a memória és a lemez másodpercenkénti bemeneti/kimeneti műveletei (IOPS) szempontjából, és szükség szerint módosítsa a méretet.

Lemezek

A költség az üzembe helyezett lemez kapacitásától függően változik. Az IOPS és az átviteli sebesség (vagyis az adatátviteli sebesség) a virtuális gép méretétől függ, ezért a lemez kiépítésekor vegye figyelembe mindhárom tényezőt (kapacitás, IOPS és átviteli sebesség).

Lemez IOPS (bemeneti/kimeneti műveletek másodpercenként) a Azure Stack Hub lemeztípus helyett a virtuális gép méretének függvénye. Ez azt jelenti, hogy egy Standard_Fs sorozatú virtuális gép esetén, függetlenül attól, hogy SSD-t vagy HDD-t választ a lemez típusaként, egyetlen további adatlemez IOPS-korlátja 2300 IOPS. A kiszabott IOPS-korlát egy korlát (lehetséges maximális érték), amely megakadályozza a zajos szomszédokat. Nem az IOPS egy adott virtuálisgép-méretre vonatkozó garanciája.

Javasoljuk továbbá a Managed Disks. A felügyelt lemezek egyszerűbbé teszik a lemezkezelést a tárterület kezelésével. A felügyelt lemezek nem igényelnek tárfiókot. Egyszerűen adja meg a méretet és a lemez típusát, és az magas rendelkezésre állású erőforrásként lesz üzembe helyezve.

Az operációsrendszer-lemez egy, a Azure Stack Hub Storage tároltVHD, így akkor is megmarad, ha a gazdagép nem áll le. Linux rendszerű virtuális gépek esetén az operációsrendszer-lemez a /dev/sda1. Javasoljuk továbbá, hogy hozzon létre egy vagy többadatlemezt, amelyek az alkalmazásadatokhoz használt állandó VHD-k.

A létrehozott VHD-k nincsenek formázva. A lemez formázásához jelentkezzen be a virtuális gépre. A Linux rendszerhéjban az adatlemezek /dev/sdc, /dev/sdd stb. ként jelennek meg. Az lsblk futtatásával listába foglalhatja a blokkeszközöket, beleértve a lemezeket is. Adatlemez használatához hozzon létre egy partíciót és egy fájlrendszert, majd csatlakoztassa a lemezt. Például:

# Create a partition.
sudo fdisk /dev/sdc \# Enter 'n' to partition, 'w' to write the change.

# Create a file system.
sudo mkfs -t ext3 /dev/sdc1

# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1

Adatlemez hozzáadásakor a rendszer hozzárendel egy logikaiegység-szám (LUN) azonosítót a lemezhez. Megadhatja a LUN-azonosítót is – például ha egy lemezt cserél le, és meg szeretné tartani ugyanazt a LUN-azonosítót, vagy ha olyan alkalmazása van, amely egy adott LUN-azonosítót keres. Ne feledje azonban, hogy az egyes lemezek LUN azonosítóinak egyedinek kell lenniük.

A VM egy ideiglenes lemezzel jön létre. Ez a lemez egy ideiglenes köteten van tárolva a Azure Stack Hub tárolóinfra infrastruktúrájában. Előfordulhat, hogy az újraindítások és a virtuális gépek életciklusának egyéb eseményei során törlődik. Ez a lemez csak ideiglenes adatokat, például lapozófájlokat tárol. Linux rendszerű virtuális gépek esetén az ideiglenes lemez a /dev/sdb1, és a /mnt/resource vagy /mnt meghajtóhoz van csatlakoztatva.

Hálózat

A hálózati összetevők a következő erőforrásokat tartalmazzák:

  • Virtuális hálózat. Minden virtuális gép egy virtuális hálózatba van telepítve, amely több alhálózatra szegmentálható.

  • Hálózati adapter (NIC). A hálózati adapter teszi lehetővé a virtuális gép számára a virtuális hálózattal való kommunikációt. Ha több NIC-t is meg kell határoznia a virtuális géphez, vegye figyelembe, hogy minden virtuálisgép-mérethez meg van határozva a maximális számú NIC.

  • Nyilvános IP-cím/VIP. A virtuális gépekkel való kommunikációhoz nyilvános IP-címre van szükség, például távoli asztalon (RDP) keresztül. A nyilvános IP-cím lehet dinamikus vagy statikus. Alapértelmezés szerint dinamikus. Ha több NIC-t is meg kell határoznia a virtuális géphez, vegye figyelembe, hogy minden virtuálisgép-mérethez meg van határozva a maximális számú NIC.

  • Létrehozhat egy teljes tartománynevet (FQDN) is az IP-címhez. Ezután a DNS-ben regisztrálhat egy, az FQDN-re mutató CNAME rekordot. További információért tekintse meg a Teljes tartománynév létrehozása az Azure Portalon szakaszt.

  • Hálózati biztonsági csoport (NSG). A hálózati biztonsági csoportokkal engedélyezheti vagy tilthatja le a virtuális gépekre való hálózati forgalmat. Az NSG-k alhálózatokhoz vagy egyes virtuálisgép-példányokhoz társíthatóak.

Minden NSG tartalmaz egy alapértelmezett szabálykészletet, amelyben szerepel egy minden bejövő internetes forgalmat blokkoló szabály. Az alapértelmezett szabályok nem törölhetők, azonban más szabályokkal felülírhatók. Az internetes forgalom engedélyezéséhez hozzon létre olyan szabályokat, amelyek engedélyezik a bejövő forgalmat adott portokra , például a 80-as portot a HTTP-hez. Az SSH engedélyezéséhez adjon hozzá egy NSG-szabályt, amely engedélyezi a bejövő forgalmat a 22-es TCP-porton.

Üzemeltetés

SSH. Linux virtuális gép létrehozása előtt hozzon létre egy 2048 bites RSA nyilvános-titkos kulcspárt. A virtuális gép létrehozásakor használja a nyilvánoskulcs-fájlt. További információ: How to Use SSH with Linux on Azure (Az SSH használata Linuxszal az Azure-ban).

Diagnosztika. Engedélyezze a megfigyelést és a diagnosztikát, beleértve az alapvető állapotmetrikákat, a diagnosztikai infrastruktúra naplófájljait és a rendszerindítási diagnosztikát. A rendszerindítási diagnosztika segít diagnosztizálni a rendszerindítási hibát, ha a virtuális gép nem indítható állapotba kerül. Hozzon létre egy Azure Storage-fiókot a naplók tárolására. Egy standard helyileg redundáns tárolási (LRS) fiók elegendő a diagnosztikai naplókhoz. További információkat a megfigyelés és a diagnosztika engedélyezésével kapcsolatos szakaszban találhat.

Rendelkezésre állás. Előfordulhat, hogy a virtuális gép újraindul a tervezett karbantartás miatt, amelyet a Azure Stack Hub ütemez. A magasabb rendelkezésre álláshoz több virtuális gép üzembe helyezése egy rendelkezésre állási készletben.

Biztonsági másolatok Az IaaS virtuális gépek védelmére Azure Stack Hub ebben a cikkben talál javaslatokat.

Virtuális gép leállítása. Az Azure különbséget tesz a „leállított” és a „felszabadított” állapot között. A leállított virtuális gépek után fizetni kell, a felszabadítottak után azonban nem. A Azure Stack Hub a Leállítás gomb felszabadítja a virtuális gépet. Ha az operációs rendszerből állítja le, amikor be van jelentkezve, azzal a virtuális gépet leállítja, de nem szabadítja fel, tehát továbbra is fizetnie kell a díját.

Virtuális gép törlése. Ha töröl egy virtuális gépet, a virtuálisgép-lemezek nem törlődnek. Ez azt jelenti, hogy biztonságosan törölheti a virtuális gépet anélkül, hogy adatot vesztene. A tárolásért azonban továbbra is díjat kell fizetnie. A virtuálisgép-lemez törléséhez törölje a felügyelt lemez objektumot. A véletlen törlés megelőzése érdekében használjon erőforrászárat. Ezzel zárolhat egy egész erőforráscsoportot, vagy egyes erőforrásokat, például egy virtuális gépet.

Biztonsági szempontok

A virtuális gépek Azure Security Center az Azure-erőforrások biztonsági állapotának központi megtekintéséhez. A Security Center monitorozza a potenciális biztonsági problémákat, és átfogó képet nyújt az üzemi környezet biztonsági állapotáról. A Security Center Azure-előfizetésenként külön konfigurálandó. Engedélyezze a biztonsági adatok gyűjtését az Azure-előfizetés a Standard Security Center leírtak szerint. Az adatgyűjtés engedélyezése esetén a Security Center automatikusan figyeli az előfizetés alatt létrehozott összes virtuális gépet.

Javításkezelés. A Patch Management virtuális gépen való konfigurálásról ebben a cikkben olvashat. Ha engedélyezve van, a Security Center ellenőrzi, hogy a biztonsági és kritikus frissítések hiányoznak-e. Használjon Csoportszabályzat-beállításokat a virtuális gépen az automatikus rendszerfrissítések engedélyezéséhez.

Kártevőirtó. Ha engedélyezve van, a Security Center ellenőrzi, hogy van-e telepítve kártevőirtó szoftver. A Security Center segítségével telepíthet is kártevőirtó szoftvert az Azure Portalon belülről.

Hozzáférés-vezérlés. Szerepköralapú hozzáférés-vezérléssel (RBAC) szabályozhatja az Azure-erőforrásokhoz való hozzáférést. Az RBAC lehetővé teszi, hogy engedélyezési szerepköröket rendeljen a fejlesztő és üzemeltető csapata tagjaihoz. Az Olvasó szerepkör például áttekintheti az Azure-erőforrásokat, de nem hozhatja létre, nem kezelheti és nem törölheti őket. Egyes engedélyek egy Adott Azure-erőforrástípusra vonatkoznak. A Virtuális gépek közreműködője szerepkör például újraindíthat vagy felszabadíthat egy virtuális gépet, alaphelyzetbe állíthatja a rendszergazdai jelszót, létrehozhat egy új virtuális gépet, stb. Ehhez az architektúrához hasznos lehet még a DevTest Labs-felhasználó és a Hálózati közreműködőbeépített RBAC-szerepkör.

Megjegyzés

Az RBAC nem korlátozza a virtuális gépre bejelentkezett felhasználó által végezhető műveleteket. Azokat az engedélyeket a vendég operációs rendszeren lévő fiók típusa határozza meg.

Auditnaplók. A tevékenységnaplók segítségével láthatja a kiépítési műveleteket és más virtuálisgép-eseményeket.

Adattitkosítás. Azure Stack Hub a felhasználói és infrastruktúra-adatokat a tárolóalrendszer szintjén, titkosítással védi. Azure Stack Hub tárolóalrendszere 128 bites AES-titkosítással van titkosítva a BitLocker használatával. További részleteket ebben a cikkben talál.

Következő lépések