Menjalankan mesin virtual Linux di Azure Stack Hub

Penyediaan mesin virtual (VM) di Azure Stack Hub, seperti Azure, memerlukan beberapa komponen tambahan selain VM itu sendiri, termasuk sumber daya jaringan dan penyimpanan. Artikel ini menunjukkan praktik terbaik untuk menjalankan VM Linux di Azure Stack Hub.

Architecture for Linux VM on Azure Stack Hub

Grup sumber daya

Grup sumber daya adalah kontainer logis yang menyimpan sumber daya Azure Stack Hub yang terkait. Secara umum, sumber daya dikelompokkan berdasarkan masa hidupnya dan siapa yang akan mengelolanya.

Masukkan sumber daya yang terkait erat, yang memiliki siklus hidup yang sama ke dalam grup sumber daya yang sama. Grup sumber daya memungkinkan Anda untuk menyebarkan dan memantau sumber daya sebagai grup dan melacak biaya tagihan berdasarkan grup sumber daya. Anda juga dapat menghapus sumber daya sebagai satu set, yang berguna untuk penyebaran pengujian. Tetapkan nama sumber daya yang bermakna untuk menyederhanakan penempatan sumber daya tertentu dan memahami perannya. Untuk informasi selengkapnya, lihat Konvensi Penamaan yang Direkomendasikan untuk Sumber Daya Azure.

Mesin virtual

Anda dapat menyediakan VM dari daftar gambar yang dipublikasikan, atau dari gambar yang dikelola khusus atau file hard disk virtual (VHD) yang diunggah ke penyimpanan Azure Stack Hub Blob. Azure Stack Hub mendukung menjalankan berbagai distribusi Linux populer, termasuk CentOS, Debian, Red Hat Enterprise, Ubuntu, dan SUSE. Untuk informasi selengkapnya, lihat Linux di Azure Stack Hub. Anda juga dapat memilih untuk melakukan sindikasi salah satu Gambar Linux yang diterbitkan yang tersedia di Azure Stack Hub Marketplace.

Azure Stack Hub menawarkan ukuran mesin virtual yang berbeda dari Azure. Untuk informasi lebih lanjut, lihat Ukuran mesin virtual di Azure Stack Hub. Jika Anda memindahkan beban kerja yang sudah ada ke Azure Stack Hub, mulailah dengan ukuran mesin virtual yang paling cocok dengan server lokal/Azure Anda. Kemudian ukur performa beban kerja Anda yang sebenarnya dalam hal CPU, memori, dan operasi I/O disk per detik (IOPS), dan sesuaikan ukurannya sesuai kebutuhan.

Disk

Biaya didasarkan pada kapasitas disk yang disediakan. IOPS dan throughput (yaitu, kecepatan transfer data) tergantung pada ukuran mesin virtual, jadi ketika Anda menentukan disk, pertimbangkan ketiga faktor tersebut (kapasitas, IOPS, dan throughput).

IOPS Disk (Operasi Input/Output Per Detik) pada Azure Stack Hub adalah fungsi ukuran mesin virtual, bukan jenis disk. Ini berarti bahwa untuk VM Standard_Fs series, terlepas dari apakah Anda memilih SSD atau HDD untuk jenis disk, batas IOPS untuk satu disk data tambahan adalah 2300 IOPS. Batas IOPS yang dikenakan adalah batas tertinggi (maksimum) untuk mencegah tetangga yang bising. Ini bukan jaminan IOPS bahwa Anda akan mendapatkan ukuran VM tertentu.

Kami juga merekomendasikan menggunakan Disk Terkelola. Disk terkelola menyederhanakan manajemen disk dengan menangani penyimpanan untuk Anda. Disk terkelola tidak memerlukan akun penyimpanan. Anda cukup menentukan ukuran dan jenis disk dan itu digunakan sebagai sumber daya yang sangat tersedia.

Disk OS adalah VHD yang disimpan di Penyimpanan Azure Stack Hub, sehingga tetap ada bahkan saat mesin host mati. Untuk VM Linux, disk OS adalah /dev/sda1. Kami juga menyarankan untuk membuat satu atau beberapa disk data, yang merupakan VHD persisten yang digunakan untuk data aplikasi.

Saat Anda membuat VHD, VHD tidak diformat. Masuk ke mesin virtual untuk memformat disk. Di shell Linux, disk data ditampilkan sebagai /dev/sdc, /dev/sdd, dan seterusnya. Anda dapat menjalankan lsblk untuk membuat daftar perangkat blok, termasuk disk. Untuk menggunakan disk data, buat partisi dan sistem file, dan pasang disk. Contohnya:

# Create a partition.
sudo fdisk /dev/sdc \# Enter 'n' to partition, 'w' to write the change.

# Create a file system.
sudo mkfs -t ext3 /dev/sdc1

# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1

Saat Anda menambahkan disk data, ID nomor unit logis (LUN) ditetapkan ke disk. Secara opsional, Anda dapat menentukan ID LUN -- misalnya, jika Anda mengganti disk dan ingin mempertahankan ID LUN yang sama, atau Anda memiliki aplikasi yang mencari ID LUN tertentu. Tetapi, perlu diingat bahwa ID LUN harus unik untuk setiap disk.

Mesin virtual dibuat dengan disk sementara. Disk ini disimpan pada volume sementara di infrastruktur penyimpanan Azure Stack Hub. Ini dapat dihapus selama boot ulang dan peristiwa siklus hidup VM lainnya. Gunakan disk ini hanya untuk data sementara, seperti halaman atau file pertukaran. Untuk VM Linux, disk sementara adalah /dev/sdb1 dan dipasang di /mnt/resource atau /mnt.

Jaringan

Komponen jaringan meliputi sumber daya berikut:

  • Jaringan virtual. Setiap VM disebarkan ke dalam jaringan virtual yang dapat tersegmentasi ke dalam beberapa subnet.

  • Antarmuka jaringan (NIC). NIC memungkinkan VM untuk berkomunikasi dengan jaringan virtual. Jika Anda memerlukan beberapa NIC untuk VM Anda, ketahuilah bahwa jumlah maksimum NIC ditentukan untuk setiap ukuran VM.

  • Alamat IP publik/VIP. Alamat IP publik diperlukan untuk berkomunikasi dengan mesin virtual — misalnya, melalui desktop jarak jauh (RDP). Alamat IP publik bisa dinamis atau statis. Defaultnya adalah dinamis. Jika Anda memerlukan beberapa NIC untuk VM Anda, ketahuilah bahwa jumlah maksimum NIC ditentukan untuk setiap ukuran VM.

  • Anda juga dapat membuat nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk alamat IP. Anda kemudian dapat mendaftarkan data CNAME di DNS yang mengarah ke FQDN. Untuk informasi selengkapnya, lihat Membuat nama domain yang sepenuhnya memenuhi syarat di portal Azure.

  • Grup Keamanan Jaringan (NSG) . Grup Keamanan Jaringan digunakan untuk mengizinkan atau menolak lalu lintas jaringan ke VM. NSG dapat dikaitkan baik dengan subnet atau dengan instans VM individu.

Semua NSG berisi serangkaian aturan default, termasuk aturan yang memblokir semua lalu lintas Internet masuk. Aturan default tidak dapat dihapus, tetapi aturan lain dapat menimpanya. Untuk mengaktifkan lalu lintas Internet, buat aturan yang mengizinkan lalu lintas masuk ke port tertentu -- misalnya, port 80 untuk HTTP. Untuk mengaktifkan SSH, tambahkan aturan NSG yang mengizinkan lalu lintas masuk ke port TCP 22.

Operasional

SSH. Sebelum Anda membuat mesin virtual Linux, buat pasangan kunci umum-privat RSA 2048-bit. Gunakan file kunci umum saat Anda membuat mesin virtual. Untuk informasi selengkapnya, lihat Cara Menggunakan SSH dengan Linux di Azure.

Diagnostik. Aktifkan pemantauan dan diagnostik, termasuk metrik kesehatan dasar, log infrastruktur diagnostik, dan diagnostik boot. Diagnostik boot dapat membantu Anda mendiagnosis kegagalan boot jika VM Anda berada dalam status tidak dapat di-boot. Buat akun Azure Storage untuk menyimpan log. Akun penyimpanan redundan lokal standar (LRS) cukup untuk log diagnostik. Untuk informasi selengkapnya, lihat Mengaktifkan pemantauan dan diagnostik.

Ketersediaan. VM Anda mungkin mengalami boot ulang karena pemeliharaan terencana seperti yang dijadwalkan oleh operator Azure Stack Hub. Untuk ketersediaan yang lebih tinggi, sebarkan beberapa VM dalam set ketersediaan.

Cadangan Untuk rekomendasi tentang melindungi VM IaaS Azure Stack Hub Anda, lihat artikel ini.

Menghentikan VM. Azure membuat perbedaan antara status "dihentikan" dan "batal dialokasikan". Anda akan dikenakan biaya saat status VM dihentikan, tetapi tidak saat VM dibatalkan alokasinya. Di portal Azure Stack Hub, tombol Stop membatalkan alokasi mesin virtual. Jika Anda mematikan melalui OS saat masuk, VM dihentikan tetapi tidak dibatalkan alokasinya, jadi Anda tetap akan dikenakan biaya.

Menghapus VM. Jika Anda menghapus sebuah mesin virtual, disk mesin virtual tidak akan dihapus. Itu berarti Anda dapat menghapus VM dengan aman tanpa kehilangan data. Namun, Anda masih akan dikenakan biaya penyimpanan. Untuk menghapus disk mesin virtual, hapus objek disk terkelola. Untuk mencegah penghapusan yang tidak disengaja, gunakan kunci sumber daya untuk mengunci seluruh grup sumber daya atau mengunci sumber daya individu, seperti VM.

Pertimbangan keamanan

Onboard mesin virtual Anda ke Azure Security Center untuk mendapatkan tampilan terpusat atas status keamanan sumber daya Azure Anda. Security Center memantau potensi masalah keamanan dan memberikan citraan yang komprehensif mengenai kesehatan keamanan penyebaran Anda. Security Center dikonfigurasikan per langganan Azure. Aktifkan pengumpulan data keamanan seperti yang dijelaskan dalam Onboard langganan Azure Anda ke Standar Security Center. Saat pengumpulan data diaktifkan, Security Center secara otomatis memindai mesin virtual apa pun yang dibuat di langganan tersebut.

Manajemen patch. Untuk mengonfigurasikan manajemen Patch pada mesin virtual Anda, lihat artikel ini. Jika diaktifkan, Security Center akan memeriksa apakah ada pembaruan keamanan dan penting yang hilang. Gunakan Pengaturan Kebijakan Grup pada VM untuk mengaktifkan pembaruan sistem otomatis.

Antimalware. Jika diaktifkan, Security Center akan memeriksa apakah perangkat lunak antimalware telah diinstal. Anda juga dapat menggunakan Security Center untuk menginstal perangkat lunak antimalware dari dalam portal Azure.

Kontrol akses. Gunakan kontrol akses berbasis peran (RBAC) untuk mengontrol akses ke sumber daya Azure. RBAC memungkinkan Anda menetapkan peran otorisasi kepada anggota tim Azure DevOps Anda. Misalnya, peran Pembaca dapat melihat sumber daya Azure tetapi tidak membuat, mengelola, atau menghapusnya. Beberapa izin bersifat khusus untuk jenis sumber daya Azure. Misalnya, peran Kontributor Mesin Virtual dapat memulai ulang atau membatalkan alokasi VM, mengatur ulang sandi administrator, membuat VM baru, dan sebagainya. Peran RBAC bawaan lainnya yang mungkin berguna untuk arsitektur ini termasuk Pengguna DevTest Labs dan Kontributor Jaringan.

Catatan

RBAC tidak membatasi tindakan yang dapat dilakukan pengguna yang masuk ke mesin virtual. Izin tersebut ditentukan oleh jenis akun di OS tamu.

Log audit. Gunakan log aktivitas untuk melihat tindakan provisi dan kejadian mesin virtual lainnya.

Enkripsi data. Azure Stack Hub melindungi data pengguna dan infrastruktur di tingkat subsistem penyimpanan menggunakan enkripsi saat tidak aktif. Subsistem penyimpanan Azure Stack Hub dienkripsi menggunakan BitLocker dengan enkripsi AES 128-bit. Lihat artikel ini untuk detail selengkapnya.

Langkah berikutnya