Virtuális gép Windows futtatása a Azure Stack Hub

A virtuális gép (VM) üzembe Azure Stack Hub virtuális gépen kívül további összetevőkre is szükség van, beleértve a hálózati és tárolási erőforrásokat. Ez a cikk a virtuális gépek Azure-ban Windows ajánlott eljárásokat mutatja be.

A virtuális gépek Windows architektúrája Azure Stack Hub

Erőforráscsoport

Az erőforráscsoport egy logikai tároló, amely kapcsolódó erőforrásokat Azure Stack Hub tárolja. Az erőforrásokat általában az élettartamuk és a kezelésük alapján csoportosítja.

A szorosan összekapcsolt, azonos életciklusú erőforrásokat helyezze egy erőforráscsoportba. Az erőforráscsoportok segítségével csoportosan helyezhet üzembe és monitorozhat erőforrásokat, és a számlázási költségeket erőforráscsoportonként követheti. Az erőforrásokat csoportként is törölheti, ami teszttelepítések esetén lehet hasznos. Jelentéssel bíró erőforrásneveket adjon meg, hogy egyszerűbben megkereshesse és azonosíthassa az egyes erőforrásokat és azok szerepkörét. További információ: Az Azure-erőforrások ajánlott elnevezési konvenciói.

Virtuális gép

A virtuális gépet kiépítheti a közzétett rendszerképek listájából, vagy a Blob Storage-be feltöltött egyénileg felügyelt rendszerképből vagy virtuális merevlemezből (VHD- Azure Stack Hub).

Azure Stack Hub Azure-tól eltérő virtuálisgép-méreteket kínál. További információ: Virtuális gépek méretei a Azure Stack Hub. Ha egy meglévő számítási feladatot a Azure Stack Hub, kezdje azzal a virtuálisgép-mérettel, amely a legközelebb áll a helyszíni kiszolgálókhoz/Azure-hoz. Ezután mérje meg a tényleges számítási feladat teljesítményét a processzor, a memória és a lemez másodpercenkénti bemeneti/kimeneti műveletei (IOPS) szempontjából, és szükség szerint módosítsa a méretet.

Lemezek

A költség az üzembe helyezett lemez kapacitásától függően változik. Az IOPS és az átviteli sebesség (vagyis az adatátviteli sebesség) a virtuális gép méretétől függ, ezért a lemez kiépítésekor vegye figyelembe mindhárom tényezőt (kapacitás, IOPS és átviteli sebesség).

A lemez IOPS (bemeneti/kimeneti műveletek másodpercenkénti száma) Azure Stack Hub lemeztípus helyett a virtuális gép méretének függvénye. Ez azt jelenti, hogy egy Standard_Fs-sorozatú virtuális gép esetén, függetlenül attól, hogy SSD-t vagy HDD-t választ lemeztípusként, egyetlen további adatlemez IOPS-korlátja 2300 IOPS. A megszabott IOPS-korlát egy korlát (maximálisan lehetséges) a zajos szomszédok elkerülése érdekében. Nem az IOPS egy adott virtuálisgép-méretre vonatkozó garanciája.

Javasoljuk továbbá aManaged Disks. A felügyelt lemezek leegyszerűsítik a lemezkezelést a tárterület kezelésével. A felügyelt lemezek nem igényelnek tárfiókot. Egyszerűen adja meg a méretet és a lemez típusát, és az magas rendelkezésre állású erőforrásként lesz üzembe helyezve.

Az operációsrendszer-lemez egy blobtárolóban Azure Stack Hub virtuális merevlemez, így akkor is megmarad, ha a gazdagép nem áll le. Javasoljuk továbbá, hogy hozzon létre egy vagy többadatlemezt, amelyek az alkalmazásadatokhoz használt állandó VHD-k. Ha lehetséges, az alkalmazásokat adatlemezre telepítse, ne az operációs rendszer lemezére. Előfordulhat, hogy néhány örökölt alkalmazásnak összetevőket kell telepítenie a C: meghajtóra. Ebben az esetben az operációsrendszer-lemezt átméretezheti a PowerShell használatával.

A virtuális gép egy ideiglenes lemezzel is létrejön (a D: meghajtó a Windows). Ez a lemez egy ideiglenes köteten van tárolva a Azure Stack Hub tárolóinfra infrastruktúrájában. Előfordulhat, hogy az újraindítások és a virtuális gépek egyéb életciklus-eseményei során törlődik. Ez a lemez csak ideiglenes adatokat, például lapozófájlokat tárol.

Hálózat

A hálózati összetevők a következő erőforrásokat tartalmazzák:

  • Virtuális hálózat. Minden virtuális gép egy virtuális hálózatba van telepítve, amely több alhálózatra szegmentálható.

  • Hálózati adapter (NIC). A hálózati adapter teszi lehetővé a virtuális gép számára a virtuális hálózattal való kommunikációt. Ha több NIC-t kell a virtuális géphez, vegye figyelembe, hogy minden virtuálisgép-mérethez meg van adva a maximális számú NIC.

  • Nyilvános IP-cím/VIP. A virtuális gépekkel való kommunikációhoz nyilvános IP-címre van szükség, például távoli asztalon (RDP) keresztül. A nyilvános IP-cím lehet dinamikus vagy statikus. Alapértelmezés szerint dinamikus.

  • Akkor foglal le statikus IP-címet, ha olyan rögzített IP-címre van szüksége, amely nem változik – például ha létre kell hoznia egy "A" DNS-rekordot, vagy hozzá kell adni az IP-címet egy biztonságos listához.

  • Létrehozhat egy teljes tartománynevet (FQDN) is az IP-címhez. Ezután a DNS-ben regisztrálhat egy, az FQDN-re mutató CNAME rekordot. További információért tekintse meg a Teljes tartománynév létrehozása az Azure Portalon szakaszt.

  • Hálózati biztonsági csoport (NSG). Az NSG-k a virtuális gépekre való hálózati forgalmat engedélyezik vagy tiltják le. Az NSG-k alhálózatokhoz vagy egyéni virtuálisgép-példányokhoz társíthatóak.

Minden NSG tartalmaz egy alapértelmezett szabálykészletet, amelyben szerepel egy minden bejövő internetes forgalmat blokkoló szabály. Az alapértelmezett szabályok nem törölhetők, azonban más szabályokkal felülírhatók. Az internetes forgalom engedélyezéséhez hozzon létre olyan szabályokat, amelyek engedélyezik a bejövő forgalmat adott portokra , például a 80-as portot a HTTP-hez. Az RDP engedélyezéséhez adjon hozzá egy NSG-szabályt, amely engedélyezi a bejövő forgalmat a 3389-es TCP-porton.

Üzemeltetés

Diagnosztika. Engedélyezze a megfigyelést és a diagnosztikát, beleértve az alapvető állapotmetrikákat, a diagnosztikai infrastruktúra naplófájljait és a rendszerindítási diagnosztikát. A rendszerindítási diagnosztika segít diagnosztizálni a rendszerindítási hibát, ha a virtuális gép nem indítható állapotba kerül. Hozzon létre egy Azure Storage-fiókot a naplók tárolására. Egy standard helyileg redundáns tárolási (LRS) fiók elegendő a diagnosztikai naplókhoz. További információkat a megfigyelés és a diagnosztika engedélyezésével kapcsolatos szakaszban találhat.

Rendelkezésre állás. Előfordulhat, hogy a virtuális gép újraindul a tervezett karbantartás miatt, amelyet a Azure Stack Hub ütemez. Az Azure-beli több virtuális gépből álló éles rendszerek magas rendelkezésre állása érdekében a virtuális gépek egy rendelkezésre állási csoportban vannak elhelyezve, amely több tartalék és frissítési tartomány között elterjed. A rendelkezésre állási csoportban Azure Stack Hub kisebb méretekben a rendelkezésre állási csoportban található tartalék tartomány a skálázható egység egyetlen csomópontjaként van definiálva.

Bár a Azure Stack Hub infrastruktúrája már ellenáll a hibáknak, a mögöttes technológia (feladatátvételi fürtszolgáltatás) továbbra is állásidőt okozhat az érintett fizikai kiszolgálók virtuális gépei számára hardverhiba esetén. Azure Stack Hub támogatja a legfeljebb három tartalék tartományból álló rendelkezésre állási készletet, hogy az konzisztens legyen az Azure-ral.

Tartalék tartományok

A rendelkezésre állási csoportban elhelyezett virtuális gépek fizikailag el lesznek különítve egymástól azáltal, hogy a lehető legnagyobb mértékben el vannak helyezve több tartalék tartományon (Azure Stack Hub csomóponton). Hardverhiba esetén a meghibásodott tartalék tartomány virtuális gépei más tartalék tartományokban újraindulnak. Ezek a többi virtuális géptől különböző tartalék tartományokban lesznek, de ha lehetséges, ugyanabban a rendelkezésre állási készletben lesznek. Amikor a hardver újra online állapotba kerül, a rendszer újra egyensúlyba állítja a virtuális gépeket a magas rendelkezésre állás fenntartása érdekében.

Frissítési tartományok

A frissítési tartományok egy másik módja annak, hogy az Azure magas rendelkezésre állást biztosít a rendelkezésre állási készletekben. A frissítési tartomány az alapul szolgáló hardverek logikai csoportja, amely egyidejűleg karbantartáson eshet át. Az ugyanabban a frissítési tartományban található virtuális gépek a tervezett karbantartás során együtt indulnak újra. Amikor a bérlők virtuális gépeket hoznak létre egy rendelkezésre állási csoportban, az Azure platform automatikusan elosztja a virtuális gépeket a frissítési tartományok között.

Ebben Azure Stack Hub virtuális gépeket a rendszer élőben migrálja a fürt többi online gazdagépe között a mögöttes gazdagép frissítése előtt. Mivel a gazdagép frissítése során nincs bérlői állásidő, a frissítés tartományának frissítése funkció Azure Stack Hub csak az Azure-ral való sablonkompatibilitás érdekében létezik. A rendelkezésre állási csoportban található virtuális gépek frissítési tartományszáma a 0 lesz a portálon.

Biztonsági másolatok Az IaaS virtuális gépek védelmére Azure Stack Hub A virtuális gépek védelme a Azure Stack Hub.

Virtuális gép leállítása. Az Azure különbséget tesz a „leállított” és a „felszabadított” állapot között. A leállított virtuális gépek után fizetni kell, a felszabadítottak után azonban nem. A Azure Stack Hub a Leállítás gomb felszabadítja a virtuális gépet. Ha az operációs rendszerből állítja le, amikor be van jelentkezve, azzal a virtuális gépet leállítja, de nem szabadítja fel, tehát továbbra is fizetnie kell a díját.

Virtuális gép törlése. Ha töröl egy virtuális gépet, a virtuálisgép-lemezek nem törlődnek. Ez azt jelenti, hogy biztonságosan törölheti a virtuális gépet anélkül, hogy adatot vesztene. A tárolásért azonban továbbra is díjat kell fizetnie. A virtuálisgép-lemez törléséhez törölje a felügyelt lemez objektumot. A véletlen törlés megelőzése érdekében használjon erőforrászárat. Ezzel zárolhat egy egész erőforráscsoportot, vagy egyes erőforrásokat, például egy virtuális gépet.

Biztonsági szempontok

A virtuális gépek Azure Security Center az Azure-erőforrások biztonsági állapotának központi megtekintéséhez. A Security Center monitorozza a potenciális biztonsági problémákat, és átfogó képet nyújt az üzemi környezet biztonsági állapotáról. A Security Center Azure-előfizetésenként külön konfigurálandó. Engedélyezze a biztonsági adatok gyűjtését az Azure-előfizetés a Standard Security Center leírtak szerint. Az adatgyűjtés engedélyezése esetén a Security Center automatikusan figyeli az előfizetés alatt létrehozott összes virtuális gépet.

Javításkezelés. A Patch Management virtuális gépen való konfigurálásról ebben a cikkben olvashat. Ha engedélyezve van, a Security Center ellenőrzi, hogy a biztonsági és kritikus frissítések hiányoznak-e. Használjon Csoportszabályzat-beállításokat a virtuális gépen az automatikus rendszerfrissítések engedélyezéséhez.

Kártevőirtó. Ha engedélyezve van, a Security Center ellenőrzi, hogy van-e telepítve kártevőirtó szoftver. A Security Center segítségével telepíthet is kártevőirtó szoftvert az Azure Portalon belülről.

Hozzáférés-vezérlés. Szerepköralapú hozzáférés-vezérléssel (RBAC) szabályozhatja az Azure-erőforrásokhoz való hozzáférést. Az RBAC lehetővé teszi, hogy engedélyezési szerepköröket rendeljen a fejlesztő és üzemeltető csapata tagjaihoz. Az Olvasó szerepkör például áttekintheti az Azure-erőforrásokat, de nem hozhatja létre, nem kezelheti és nem törölheti őket. Egyes engedélyek egy Adott Azure-erőforrástípusra vonatkoznak. A Virtuális gépek közreműködője szerepkör például újraindíthat vagy felszabadíthat egy virtuális gépet, alaphelyzetbe állíthatja a rendszergazdai jelszót, létrehozhat egy új virtuális gépet, stb. Ehhez az architektúrához hasznos lehet még a DevTest Labs-felhasználó és a Hálózati közreműködőbeépített RBAC-szerepkör.

Megjegyzés

Az RBAC nem korlátozza a virtuális gépre bejelentkezett felhasználó által végezhető műveleteket. Azokat az engedélyeket a vendég operációs rendszeren lévő fiók típusa határozza meg.

Auditnaplók. A tevékenységnaplók segítségével láthatja a kiépítési műveleteket és más virtuálisgép-eseményeket.

Adattitkosítás. Azure Stack Hub BitLocker 128 bites AES-titkosítást használ a táralrendszerben a felhasználói és infrastruktúraadatok védelmére. További információ: Adattitkosításaz Azure Stack Hub.

Következő lépések