Menyediakan mesin virtual (VM) di Azure memerlukan beberapa komponen tambahan selain mesin virtual itu sendiri, termasuk jaringan dan sumber daya penyimpanan. Artikel ini menampilkan praktik terbaik untuk menjalankan Windows VM di Azure.
Arsitektur
Unduh file Visio arsitektur ini.
Alur kerja
Grup sumber daya
Grup sumber daya adalah kontainer logis yang menyimpan sumber daya Azure terkait. Secara umum, mengelompokkan sumber daya berdasarkan masa pakai dan siapa yang akan mengelola sumber daya.
Tempatkan sumber daya yang terkait yang memiliki siklus hidup yang sama ke dalam grup sumber daya yang sama. Grup sumber daya memungkinkan Anda untuk menyebarkan dan memantau sumber daya sebagai grup dan melacak biaya tagihan berdasarkan grup sumber daya. Anda juga dapat menghapus sumber daya sebagai satu set, yang sangat berguna untuk penyebaran pengujian. Tetapkan nama sumber daya yang bermakna untuk menyederhanakan penempatan sumber daya tertentu dan memahami perannya. Untuk informasi selengkapnya, lihat Konvensi Penamaan yang Disarankan untuk Sumber Daya Azure.
Komputer virtual
Anda dapat menyediakan mesin virtual dari daftar gambar yang diterbitkan, atau dari gambar terkelola kustom atau file hard disk virtual (VHD) yang diunggah ke penyimpanan Blob Azure.
Azure menawarkan banyak ukuran mesin virtual yang berbeda. Untuk informasi selengkapnya, lihat Ukuran untuk mesin virtual di Azure. Jika Anda memindahkan beban kerja yang ada ke Azure, mulai dengan ukuran mesin virtual yang paling cocok dengan server lokal. Kemudian ukur performa beban kerja Anda yang sebenarnya dalam hal CPU, memori, dan operasi I/O disk per detik (IOPS), dan sesuaikan ukurannya sesuai kebutuhan.
Umumnya, pilih wilayah Azure yang paling dekat dengan pengguna atau pelanggan internal Anda. Tidak semua ukuran VM tersedia di semua wilayah. Untuk informasi selengkapnya, lihat Layanan berdasarkan wilayah. Untuk daftar ukuran mesin virtual yang tersedia di wilayah tertentu, jalankan perintah berikut dari Azure CLI:
az vm list-sizes --location <location>
Untuk informasi tentang memilih gambar VM yang diterbitkan, lihat Menemukan gambar Windows VM.
Disk
Untuk performa I/O disk terbaik, kami menyarankan Storage Premium, yang menyimpan data pada drive solid-state (SSD). Biaya didasarkan pada kapasitas disk yang tersedia. IOPS dan throughput juga bergantung pada ukuran disk, jadi saat Anda menentukan disk, pertimbangkan ketiga faktor tersebut (kapasitas, IOPS, dan throughput). Penyimpanan premium juga dilengkapi dengan bursting gratis, dikombinasikan dengan pemahaman tentang pola beban kerja, menawarkan pemilihan SKU yang efektif dan strategi pengoptimalan biaya untuk infrastruktur IaaS, memungkinkan performa tinggi tanpa provisi berlebihan dan meminimalkan biaya kapasitas yang tidak digunakan.
Disk Terkelola menyederhanakan manajemen disk dengan menangani penyimpanan untuk Anda. Disk terkelola menyederhanakan manajemen disk dengan menangani penyimpanan untuk Anda. Disk terkelola tidak memerlukan akun penyimpanan. Anda cukup menentukan ukuran dan jenis disk dan disk tersebut disebarkan sebagai sumber daya yang sangat tersedia. Disk terkelola juga menawarkan pengoptimalan biaya dengan memberikan performa yang diinginkan tanpa perlu provisi berlebihan, memperhitungkan pola beban kerja yang berfluktuasi, dan meminimalkan kapasitas yang disediakan yang tidak digunakan.
Disk OS adalah VHD yang disimpan di Azure Storage, sehingga tetap ada bahkan saat mesin host tidak aktif. Kami juga menyarankan untuk membuat satu atau beberapa disk data, yang merupakan VHD persisten yang digunakan untuk data aplikasi.
Disk sementara memberikan performa yang baik tanpa biaya tambahan, tetapi dilengkapi dengan kelemahan yang signifikan karena tidak persisten, memiliki kapasitas terbatas, dan dibatasi hanya untuk OS dan penggunaan disk sementara. Jika memungkinkan, instal aplikasi pada disk data, alih-alih disk OS. Beberapa aplikasi warisan mungkin perlu menginstal komponen pada drive C:; dalam hal ini, Anda dapat mengubah ukuran disk OS menggunakan PowerShell.
VM juga dibuat dengan disk sementara (drive D: di Windows). Disk ini disimpan pada drive fisik pada mesin host. Disk tidak disimpan di Azure Storage dan dapat dihapus selama boot ulang dan peristiwa siklus hidup mesin virtual lainnya. Gunakan disk ini hanya untuk data sementara, seperti halaman atau file pertukaran.
Jaringan
Komponen jaringan mencakup sumber daya berikut:
Jaringan virtual. Setiap mesin virtual disebarkan ke dalam jaringan virtual yang dapat disegmentasi menjadi beberapa subnet.
Antarmuka jaringan (NIC). NIC memungkinkan mesin virtual berkomunikasi dengan jaringan virtual. Jika Anda memerlukan beberapa NIC untuk mesin virtual Anda, perlu diketahui bahwa jumlah maksimum NIC ditentukan untuk setiap ukuran mesin virtual.
Alamat IP publik. Alamat IP publik diperlukan untuk berkomunikasi dengan mesin virtual — misalnya, melalui desktop jarak jauh (RDP). Alamat IP publik dapat berupa dinamis atau statik. Alamat IP default adalah dinamis.
Cadangan alamat IP statik jika Anda memerlukan alamat IP tetap yang tidak akan berubah — misalnya, jika Anda perlu membuat catatan 'A' DNS atau menambahkan alamat IP ke daftar aman.
Anda juga dapat membuat nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk alamat IP. Anda kemudian dapat mendaftarkan data CNAME di DNS yang mengarah ke FQDN. Untuk informasi selengkapnya, lihat Membuat nama domain yang sepenuhnya memenuhi syarat di portal Microsoft Azure.
Grup Keamanan Jaringan (NSG). Kelompok keamanan jaringan digunakan untuk mengizinkan atau menolak lalu lintas ke mesin virtual. NSG dapat dikaitkan baik dengan subnet atau dengan masing-masing instans mesin virtual.
Semua NSG berisi serangkaian aturan default, termasuk aturan yang memblokir semua lalu lintas Internet masuk. Aturan default tidak dapat dihapus, tetapi aturan lain dapat menimpa aturan default. Untuk mengaktifkan lalu lintas Internet, buat aturan yang mengizinkan lalu lintas masuk ke port tertentu — misalnya, port 80 untuk HTTP. Untuk mengaktifkan RDP, tambahkan aturan NSG yang memungkinkan lalu lintas masuk ke port TCP 3389.
Operasional
Diagnostik. Aktifkan pemantauan dan diagnostik, termasuk metrik kesehatan dasar, log infrastruktur diagnostik, dan diagnostik boot. Diagnostik boot dapat membantu Anda mendiagnosis kegagalan boot jika mesin virtual masuk ke status tidak dapat melakukan boot. Buat akun Azure Storage untuk menyimpan log. Akun penyimpanan redundan lokal (LRS) standar sudah cukup untuk log diagnostik. Untuk informasi selengkapnya, lihat Mengaktifkan pemantauan dan diagnostik.
Ketersediaan. Mesin virtual Anda mungkin terpengaruh oleh pemeliharaan terencana atau waktu henti tidak terencana. Anda dapat menggunakan log boot ulang mesin virtual untuk menentukan apakah boot ulang mesin virtual disebabkan oleh pemeliharaan terencana. Untuk ketersediaan yang lebih tinggi, sebarkan beberapa mesin virtual dalam set ketersediaan. Konfigurasi ini memberikan perjanjian tingkat layanan (SLA) yang lebih tinggi.
Cadangan Untuk melindungi dari kehilangan data yang tidak disengaja, gunakan layanan Azure Backup untuk mencadangkan mesin virtual Anda ke penyimpanan geo-redundan. Azure Backup menyediakan pencadangan yang konsisten dengan aplikasi.
Menghentikan mesin virtual. Azure membuat perbedaan antara status "dihentikan" dan "tidak dialokasikan". Anda dikenakan biaya saat status mesin virtual dihentikan, tetapi tidak saat mesin virtual tidak dialokasikan. Di portal Microsoft Azure, tombol Hentikan membatalkan alokasi mesin virtual. Jika Anda mematikan melalui OS saat masuk, mesin virtual dihentikan tetapi tidak batal dialokasikan, jadi Anda tetap akan dikenakan biaya.
Menghapus mesin virtual. Jika Anda menghapus mesin virtual, VHD tidak akan dihapus. Hal ini berarti Anda dapat menghapus mesin virtual dengan aman tanpa kehilangan data. Tetapi, Anda tetap akan dikenakan biaya untuk penyimpanan. Untuk menghapus VHD, hapus file dari penyimpanan Blob. Untuk mencegah penghapusan yang tidak disengaja, gunakan penguncian sumber daya untuk mengunci seluruh grup sumber daya atau mengunci masing-masing sumber daya, seperti mesin virtual.
Pertimbangan
Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.
Pengoptimalan biaya
Optimalisasi biaya adalah tentang mencari cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat Gambaran umum pilar pengoptimalan biaya.
Ada berbagai opsi untuk besaran VM tergantung pada penggunaan dan beban kerja. Rentang ini mencakup opsi paling ekonomis dari seri Bs hingga VM GPU terbaru yang dioptimalkan untuk pembelajaran mesin. Untuk informasi tentang opsi yang tersedia, lihat Harga Azure Windows VM.
Untuk beban kerja yang dapat diprediksi, gunakan Reservasi Azure dan paket penghematan Azure untuk komputasi dengan kontrak satu tahun atau tiga tahun dan terima penghematan yang signifikan dari harga bayar sesuai pemakaian. Untuk beban kerja tanpa waktu penyelesaian atau konsumsi sumber daya yang dapat diprediksi, pertimbangkan opsi Prabayar.
Gunakan Azure Spot Virtual Machines untuk menjalankan beban kerja yang dapat diinterupsi dan tidak memerlukan penyelesaian dalam jangka waktu yang telah ditentukan atau SLA. Azure menyebarkan Mesin Virtual Spot jika ada kapasitas yang tersedia dan mengeluarkannya saat membutuhkan kembali kapasitas tersebut. Biaya yang terkait dengan mesin virtual Spot jauh lebih rendah. Pertimbangkan Mesin Virtual Spot untuk beban kerja berikut:
- Skenario komputasi dengan performa tinggi, pekerjaan pemrosesan batch, atau aplikasi perenderan visual.
- Lingkungan pengujian, termasuk integrasi berkelanjutan dan beban kerja pengiriman berkelanjutan.
- Aplikasi tanpa status berskala besar.
Gunakan Kalkulator Harga Azure untuk memperkirakan biaya.
Untuk informasi selengkapnya, lihat bagian biaya di Microsoft Azure Well-Architected Framework.
Keamanan
Keamanan memberikan jaminan terhadap serangan yang disukai dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keamanan.
Gunakan Microsoft Defender untuk Cloud untuk mendapatkan tampilan terpusat dari status keamanan sumber daya Azure Anda. Defender untuk Cloud memantau potensi masalah keamanan dan memberikan gambaran komprehensif tentang kesehatan keamanan penyebaran Anda. Defender untuk Cloud dikonfigurasi per langganan Azure. Aktifkan kumpulan data keamanan seperti yang dijelaskan dalam Memasukkan langganan Azure Anda ke Standar Defender untuk Cloud. Saat pengumpulan data diaktifkan, Defender untuk Cloud secara otomatis memindai semua VM yang dibuat pada bagian langganan tersebut.
Manajemen patch. Jika diaktifkan, Defender untuk Cloud memeriksa apakah ada pembaruan keamanan dan kritis yang tidak ada. Gunakan Pengaturan Kebijakan Grup pada VM untuk mengaktifkan pembaruan sistem otomatis.
Antimalware. Jika diaktifkan, Defender untuk Cloud akan memeriksa apakah perangkat lunak antimalware telah diinstal. Anda juga dapat menggunakan Defender untuk Cloud untuk menginstal perangkat lunak antimalware dari dalam portal Microsoft Azure.
Kontrol akses. Gunakan kontrol akses berbasis peran Azure (RBAC Azure) untuk mengontrol akses ke sumber daya Azure. RBAC Azure memungkinkan Anda menetapkan peran otorisasi kepada anggota tim DevOps. Misalnya, peran Pembaca dapat melihat sumber daya Azure tetapi tidak membuat, mengelola, atau menghapusnya. Beberapa izin khusus untuk jenis sumber daya Azure. Misalnya, peran Kontributor Mesin Virtual dapat menghidupkan ulang atau membatalkan alokasi mesin virtual, mengatur ulang kata sandi administrator, membuat mesin virtual baru, dan seterusnya. Peran bawaan lainnya yang mungkin berguna untuk arsitektur ini termasuk Pengguna DevTest Labs dan Kontributor Jaringan.
Catatan
RBAC Azure tidak membatasi tindakan yang dapat dilakukan pengguna yang masuk ke mesin virtual. Izin tersebut ditentukan oleh jenis akun pada OS tamu.
Log audit. Gunakan log audit untuk melihat tindakan penyediaan dan peristiwa mesin virtual lainnya.
Enkripsi data. Gunakan Azure Disk Encryption jika Anda perlu mengenkripsi OS dan disk data.
Keunggulan operasional
Keunggulan operasional mencakup proses operasi yang menyebarkan aplikasi dan membuatnya tetap berjalan dalam produksi. Untuk informasi selengkapnya, lihat Gambaran umum pilar keunggulan operasional.
Gunakan infrastruktur sebagai Kode (IaC) baik dengan menggunakan satu templat Azure Resource Manager untuk menyediakan sumber daya Azure (pendekatan deklaratif) atau dengan menggunakan satu skrip PowerShell (pendekatan imperatif). Karena semua sumber daya berada dalam jaringan virtual yang sama, sumber daya tersebut diisolasi dalam beban kerja dasar yang sama. Itu memudahkan untuk mengaitkan sumber daya khusus beban kerja ke tim DevOps, sehingga tim dapat mengelola semua aspek sumber daya tersebut secara independen. Isolasi ini memungkinkan Tim dan Layanan DevOps untuk melakukan integrasi berkelanjutan dan penyediaan berkelanjutan (CI/CD).
Selain itu, Anda dapat menggunakan template Azure Resource Manager yang berbeda dan mengintegrasikannya dengan Azure DevOps Services untuk menyediakan lingkungan yang berbeda dalam hitungan menit, misalnya untuk mereplikasi produksi seperti skenario atau memuat lingkungan pengujian hanya jika diperlukan untuk menghemat biaya.
Pertimbangkan untuk menggunakan Azure Monitor untuk Menganalisis dan mengoptimalkan performa infrastruktur Anda, Memantau dan mendiagnosis masalah jaringan tanpa masuk ke mesin virtual Anda.
Langkah berikutnya
- Untuk membuat VM Windows, lihat Mulai Cepat: Membuat komputer virtual Windows di portal Azure
- Untuk menginstal driver NVIDIA pada VM Windows, lihat Menginstal driver GPU NVIDIA pada VM seri N yang menjalankan Windows
- Untuk menginstal driver AMD pada VM Windows, lihat Menginstal driver GPU AMD pada VM seri N yang menjalankan Windows
- Untuk menyediakan Windows VM, lihat Membuat dan Mengelola Windows VM dengan Azure PowerShell