Azure Stack 허브에서 Windows 가상 컴퓨터 실행Run a Windows virtual machine on Azure Stack Hub

Azure Stack 허브에서 VM (가상 머신)을 프로 비전 하려면 네트워킹 및 저장소 리소스를 포함 하 여 VM 자체 외에 몇 가지 추가 구성 요소가 필요 합니다.Provisioning a virtual machine (VM) in Azure Stack Hub requires some additional components besides the VM itself, including networking and storage resources. 이 문서에서는 Azure에서 Windows VM을 실행하는 모범 사례를 보여줍니다.This article shows best practices for running a Windows VM on Azure.

Azure Stack Hub의 Windows VM에 대 한 아키텍처

리소스 그룹Resource group

리소스 그룹 은 관련 Azure Stack 허브 리소스를 보유 하는 논리적 컨테이너입니다.A resource group is a logical container that holds related Azure Stack Hub resources. 일반적으로 리소스의 수명 및 관리하는 주체에 따라 리소스를 그룹화합니다.In general, group resources based on their lifetime and who will manage them.

동일한 수명 주기를 공유하는 긴밀하게 연결된 리소스를 동일한 리소스 그룹에 배치합니다.Put closely associated resources that share the same lifecycle into the same resource group. 리소스 그룹을 사용하여 리소스를 그룹 단위로 배포 및 모니터링하고, 리소스 그룹별로 청구 비용을 추적할 수 있습니다.Resource groups allow you to deploy and monitor resources as a group and track billing costs by resource group. 리소스를 하나의 집합으로 삭제할 수도 있습니다. 이러한 기능은 테스트 배포에서 유용합니다.You can also delete resources as a set, which is useful for test deployments. 의미 있는 리소스 이름을 할당하면 간단하게 특정 리소스를 찾고 해당 역할을 이해할 수 있습니다.Assign meaningful resource names to simplify locating a specific resource and understanding its role. 자세한 내용은 Azure 리소스에 대 한 권장 명명 규칙을 참조 하세요.For more information, see Recommended Naming Conventions for Azure Resources.

가상 머신Virtual machine

게시 된 이미지 목록에서 VM을 프로 비전 하거나, 사용자 지정 관리 이미지 또는 VHD (가상 하드 디스크) 파일을 Azure Stack 허브 Blob 저장소로 업로드 하 여 프로 비전 할 수 있습니다.You can provision a VM from a list of published images, or from a custom-managed image or virtual hard disk (VHD) file uploaded to Azure Stack Hub Blob storage.

Azure Stack 허브는 Azure에서 다양 한 가상 컴퓨터 크기를 제공 합니다.Azure Stack Hub offers different virtual machine sizes from Azure. 자세한 내용은 Azure Stack Hub의 가상 컴퓨터 크기를 참조 하세요.For more information, see Sizes for virtual machines in Azure Stack Hub. 기존 작업을 Azure Stack 허브로 이동 하는 경우 온-프레미스 서버/Azure와 가장 일치 하는 VM 크기부터 시작 합니다.If you are moving an existing workload to Azure Stack Hub, start with the VM size that's the closest match to your on-premises servers/Azure. 그런 다음, CPU, 메모리, 디스크 IOPS(초당 입력/출력 작업 수)에 따라 실제 워크로드의 성능을 측정하고 필요에 따라 크기를 조정합니다.Then measure the performance of your actual workload in terms of CPU, memory, and disk input/output operations per second (IOPS), and adjust the size as needed.

디스크Disks

비용은 프로비전된 디스크 용량을 기준으로 산정됩니다.Cost is based on the capacity of the provisioned disk. IOPS 및 처리량 (즉, 데이터 전송 속도)은 VM 크기에 따라 달라 지므로 디스크를 프로 비전 할 때 세 가지 요소 (용량, IOPS 및 처리량)를 모두 고려 합니다.IOPS and throughput (that is, data transfer rate) depend on VM size, so when you provision a disk, consider all three factors (capacity, IOPS, and throughput).

Azure Stack 허브의 디스크 IOPS (초당 입력/출력 작업)는 디스크 유형이 아닌 VM 크기 의 기능입니다.Disk IOPS (Input/Output Operations Per Second) on Azure Stack Hub is a function of VM size instead of the disk type. 즉, Standard_Fs 시리즈 VM의 경우 디스크 유형에 대해 SSD 또는 HDD를 선택 하는지 여부에 관계 없이 단일 추가 데이터 디스크에 대 한 IOPS 제한은 2300 IOPS입니다.This means that for a Standard_Fs series VM, regardless of whether you choose SSD or HDD for the disk type, the IOPS limit for a single additional data disk is 2300 IOPS. 잡음이 있는 이웃을 방지 하기 위해 적용 되는 IOPS 제한은 상한 (가능한 최대)입니다.The IOPS limit imposed is a cap (maximum possible) to prevent noisy neighbors. 특정 VM 크기에 대해 얻을 수 있는 IOPS의 보증은 아닙니다.It isn't an assurance of IOPS that you'll get on a specific VM size.

또한 관리되는 디스크를 사용하는 것이 좋습니다.We also recommend using Managed Disks. Managed Disks는 스토리지를 처리하여 디스크 관리를 단순화합니다.Managed disks simplify disk management by handling the storage for you. 관리 디스크는 스토리지 계정이 필요하지 않습니다.Managed disks do not require a storage account. 디스크의 크기와 유형을 지정하기만 하면 고가용성 리소스로 배포됩니다.You simply specify the size and type of disk and it is deployed as a highly available resource.

OS 디스크는 Azure Stack 허브 blob 저장소에 저장 된 VHD 이므로 호스트 컴퓨터가 다운 된 경우에도 지속 됩니다.The OS disk is a VHD stored in Azure Stack Hub blob storage, so it persists even when the host machine is down. 또한 애플리케이션 데이터에 사용되는 영구 VHD인 데이터 디스크를 하나 이상 만드는 것이 좋습니다.We also recommend creating one or more data disks, which are persistent VHDs used for application data. 가능한 경우 OS 디스크가 아닌 데이터 디스크에 애플리케이션을 설치합니다.When possible, install applications on a data disk, not the OS disk. 일부 기존 애플리케이션은 C: 드라이브에 구성 요소를 설치해야 할 수 있습니다. 이 경우 PowerShell을 사용하여 OS 디스크 크기를 조정할 수 있습니다.Some legacy applications might need to install components on the C: drive; in that case, you can resize the OS disk using PowerShell.

또한 VM은 임시 디스크 (Windows의 D: 드라이브)를 사용 하 여 만들어집니다.The VM is also created with a temporary disk (the D: drive on Windows). 이 디스크는 Azure Stack Hub 저장소 인프라의 임시 볼륨에 저장 됩니다.This disk is stored on a temporary volume in the Azure Stack Hub storage infrastructure. 다시 부팅 하는 동안 또는 다른 VM 수명 주기 이벤트에서 삭제 될 수 있습니다.It may be deleted during reboots and other VM lifecycle events. 페이지 또는 스왑 파일과 같은 임시 데이터에 대해서만 이 디스크를 사용합니다.Use this disk only for temporary data, such as page or swap files.

네트워크Network

네트워킹 구성 요소에는 다음 리소스가 포함됩니다.The networking components include the following resources:

  • 가상 네트워크.Virtual network. 모든 VM은 가상 네트워크에 배포되어 여러 서브넷으로 분할될 수 있습니다.Every VM is deployed into a virtual network that can be segmented into multiple subnets.

  • NIC(네트워크 인터페이스).Network interface (NIC). NIC를 통해 VM을 가상 네트워크와 통신하도록 할 수 있습니다.The NIC enables the VM to communicate with the virtual network. VM에 대해 여러 Nic가 필요한 경우 각 vm 크기에 대해 최대 nic 수가 정의 되어 있어야 합니다.If you need multiple NICs for your VM, be aware that a maximum number of NICs is defined for each VM size.

  • 공용 IP 주소/VIPPublic IP address/ VIP. 공용 IP 주소는 VM과 통신 하는 데 필요 합니다 (예: RDP (원격 데스크톱)을 통해).A public IP address is needed to communicate with the VM — for example, via remote desktop (RDP). 이 공용 IP 주소는 동적 또는 정적일 수 있습니다.The public IP address can be dynamic or static. 기본값은 동적입니다.The default is dynamic.

  • 변경 되지 않는 고정 IP 주소가 필요한 경우 (예: DNS ' A ' 레코드를 만들거나 안전 목록에 IP 주소를 추가 해야 하는 경우) 고정 ip 주소를 예약 합니다.Reserve a static IP address if you need a fixed IP address that won't change — for example, if you need to create a DNS 'A' record or add the IP address to a safe list.

  • IP 주소의 FQDN(정규화된 도메인 이름)을 만들 수도 있습니다.You can also create a fully qualified domain name (FQDN) for the IP address. 그런 후 FQDN을 가리키는 DNS에 CNAME 레코드를 등록할 수 있습니다.You can then register a CNAME record in DNS that points to the FQDN. 자세한 내용은 Azure Portal에서 정규화된 도메인 이름 만들기를 참조하세요.For more information, see Create a fully qualified domain name in the Azure portal.

  • NSG (네트워크 보안 그룹).Network security group (NSG). NSGs는 Vm에 대 한 네트워크 트래픽을 허용 하거나 거부 하는 데 사용 됩니다.NSGs are used to allow or deny network traffic to VMs. NSG는 서브넷 또는 개별 VM 인스턴스로 연결할 수 있습니다.NSGs can be associated either with subnets or with individual VM instances.

모든 NSG에는 모든 인바운드 인터넷 트래픽을 차단하는 규칙을 포함하여 기본 규칙 집합이 있습니다.All NSGs contain a set of default rules, including a rule that blocks all inbound Internet traffic. 기본 규칙은 삭제할 수 없으나 다른 규칙으로 재정의할 수 있습니다.The default rules cannot be deleted, but other rules can override them. 인터넷 트래픽을 사용 하도록 설정 하려면 특정 포트 (예: HTTP의 경우 포트 80)로의 인바운드 트래픽을 허용 하는 규칙을 만듭니다.To enable Internet traffic, create rules that allow inbound traffic to specific ports — for example, port 80 for HTTP. RDP를 사용하도록 설정하려면 TCP 포트 3389에 인바운드 트래픽을 허용하는 NSG 규칙을 추가합니다.To enable RDP, add an NSG rule that allows inbound traffic to TCP port 3389.

작업Operations

진단.Diagnostics. 기본 상태 메트릭, 진단 인프라 로그 및 부팅 진단을포함 하 여 모니터링 및 진단을 사용 하도록 설정 합니다.Enable monitoring and diagnostics, including basic health metrics, diagnostics infrastructure logs, and boot diagnostics. 부팅 진단은 VM이 부팅할 수 없는 상태로 전환되는 경우 부팅 오류를 진단하는 데 도움이 될 수 있습니다.Boot diagnostics can help you diagnose boot failure if your VM gets into a non-bootable state. 로그를 저장할 Azure Storage 계정을 만듭니다.Create an Azure Storage account to store the logs. 표준 LRS(로컬 중복 스토리지) 계정은 진단 로그에 충분합니다.A standard locally redundant storage (LRS) account is sufficient for diagnostic logs. 자세한 내용은 모니터링 및 진단 사용을 참조하세요.For more information, see Enable monitoring and diagnostics.

가용성.Availability. Azure Stack Hub 운영자에 의해 예약 된 계획 된 유지 관리로 인해 VM이 다시 부팅 될 수 있습니다.Your VM may be subject to a reboot due to planned maintenance as scheduled by the Azure Stack Hub operator. Azure에서 다중 VM 프로덕션 시스템의 고가용성을 위해 Vm은 여러 장애 도메인 및 업데이트 도메인에 분산 되는 가용성 집합 에 배치 됩니다.For high availability of a multi-VM production system in Azure, VMs are placed in an availability set that spreads them across multiple fault domains and update domains. Azure Stack 허브의 작은 규모에서 가용성 집합의 장애 도메인은 배율 단위의 단일 노드로 정의 됩니다.In the smaller scale of Azure Stack Hub, a fault domain in an availability set is defined as a single node in the scale unit.

Azure Stack 허브의 인프라는 오류에 대 한 복원 력이 이미 있지만 하드웨어 오류가 발생 하는 경우 기본 기술 (장애 조치 (failover) 클러스터링)에서 영향을 받는 물리적 서버의 Vm에 대 한 가동 중지 시간이 여전히 발생 합니다.While the infrastructure of Azure Stack Hub is already resilient to failures, the underlying technology (failover clustering) still incurs some downtime for VMs on an impacted physical server if there's a hardware failure. Azure Stack 허브는 Azure와 일치 하는 최대 3 개의 장애 도메인을 포함 하는 가용성 집합을 지원 합니다.Azure Stack Hub supports having an availability set with a maximum of three fault domains to be consistent with Azure.

장애 도메인Fault domains 가용성 집합에 배치 된 Vm은 여러 장애 도메인 (Azure Stack 허브 노드)에서 최대한 균등 하 게 분산 하 여 서로 물리적으로 격리 됩니다.VMs placed in an availability set will be physically isolated from each other by spreading them as evenly as possible over multiple fault domains (Azure Stack Hub nodes). 하드웨어 오류가 발생 하는 경우 실패 한 장애 도메인의 Vm이 다른 장애 도메인에서 다시 시작 됩니다.If there's a hardware failure, VMs from the failed fault domain will be restarted in other fault domains. 이러한 Vm은 다른 Vm의 개별 장애 도메인에 보관 되지만 가능 하면 동일한 가용성 집합에 보관 됩니다.They'll be kept in separate fault domains from the other VMs but in the same availability set if possible. 하드웨어가 다시 온라인 상태가 되 면 Vm은 고가용성을 유지 하기 위해 균형 됩니다.When the hardware comes back online, VMs will be rebalanced to maintain high availability.
업데이트 도메인Update domains 업데이트 도메인은 Azure에서 가용성 집합의 고가용성을 제공 하는 또 다른 방법입니다.Update domains are another way that Azure provides high availability in availability sets. 업데이트 도메인은 동시에 유지 관리를 수행할 수 있는 기본 하드웨어의 논리적 그룹입니다.An update domain is a logical group of underlying hardware that can undergo maintenance at the same time. 동일한 업데이트 도메인에 있는 Vm은 계획 된 유지 관리 중에 함께 다시 시작 됩니다.VMs located in the same update domain will be restarted together during planned maintenance. 테 넌 트가 가용성 집합 내에서 Vm을 만들 때 Azure 플랫폼은 이러한 업데이트 도메인에 Vm을 자동으로 분산 합니다.As tenants create VMs within an availability set, the Azure platform automatically distributes VMs across these update domains.
Azure Stack 허브에서 Vm은 기본 호스트를 업데이트 하기 전에 클러스터의 다른 온라인 호스트에서 실시간으로 마이그레이션됩니다.In Azure Stack Hub, VMs are live migrated across the other online hosts in the cluster before their underlying host is updated. 호스트를 업데이트 하는 동안 테 넌 트의 가동 중지 시간이 없기 때문에 Azure Stack 허브에서 도메인 업데이트 기능은 Azure와의 템플릿 호환성에 대해서만 존재 합니다.Since there's no tenant downtime during a host update, the update domain feature on Azure Stack Hub only exists for template compatibility with Azure. 가용성 집합의 Vm에는 포털의 업데이트 도메인 번호로 0이 표시 됩니다.VMs in an availability set will show 0 as their update domain number on the portal.

백업 Azure Stack Hub IaaS Vm 보호에 대 한 권장 사항은 Azure Stack hub에 배포 된 Vm 보호를 참조 하세요.Backups For recommendations on protecting your Azure Stack Hub IaaS VMs, reference Protect VMs deployed on Azure Stack Hub.

VM 중지Stopping a VM. Azure에서는 "중지됨"과 "할당 취소됨" 상태를 구분합니다.Azure makes a distinction between "stopped" and "deallocated" states. VM 상태가 중지되면 요금이 청구되지만 VM 할당이 취소되면 청구되지 않습니다.You are charged when the VM status is stopped, but not when the VM is deallocated. Azure Stack 허브 포털에서 중지 단추는 VM의 할당을 취소 합니다.In the Azure Stack Hub portal, the Stop button deallocates the VM. 로그인한 상태에서 OS를 통해 종료하면 VM은 중지되지만 할당 취소되지 않으므로 비용이 계속 청구됩니다.If you shut down through the OS while logged in, the VM is stopped but not deallocated, so you will still be charged.

VM 삭제.Deleting a VM. VM을 삭제 해도 VM 디스크는 삭제 되지 않습니다.If you delete a VM, the VM disks are not deleted. 즉, 데이터 손실 없이 안전하게 VM을 삭제할 수 있습니다.That means you can safely delete the VM without losing data. 그러나 스토리지에 대한 비용은 계속 청구됩니다.However, you will still be charged for storage. VM 디스크를 삭제 하려면 관리 디스크 개체를 삭제 합니다.To delete the VM disk, delete the managed disk object. 실수로 삭제하지 않도록 하려면 리소스 잠금 을 사용하여 전체 리소스 그룹을 잠그거나 VM과 같은 개별 리소스를 잠급니다.To prevent accidental deletion, use a resource lock to lock the entire resource group or lock individual resources, such as a VM.

보안 고려 사항Security considerations

Vm을 Azure Security Center 에 등록 하 여 Azure 리소스의 보안 상태를 중앙에서 확인 하세요.Onboard your VMs to Azure Security Center to get a central view of the security state of your Azure resources. Security Center는 잠재적인 보안 문제를 모니터링하고 배포의 보안 상태에 대한 종합적인 그림을 제공합니다.Security Center monitors potential security issues and provides a comprehensive picture of the security health of your deployment. 보안 센터는 각 Azure 구독을 기준으로 구성됩니다.Security Center is configured per Azure subscription. Security Center 표준에 Azure 구독 온보딩에서 설명된 대로 보안 데이터 컬렉션을 활성화합니다.Enable security data collection as described in Onboard your Azure subscription to Security Center Standard. 데이터 수집이 사용되도록 설정되면 보안 센터는 해당 구독에서 만든 모든 VM을 자동으로 검색합니다.When data collection is enabled, Security Center automatically scans any VMs created under that subscription.

패치 관리.Patch management. VM에서 패치 관리를 구성 하려면 문서를 참조 하세요.To configure Patch management on your VM, refer to this article. 이 기능이 설정된 경우 Security Center는 보안 및 중요 업데이트 누락 여부를 확인합니다.If enabled, Security Center checks whether any security and critical updates are missing. VM의 그룹 정책 설정을 사용하여 자동 시스템 업데이트를 사용하도록 설정합니다.Use Group Policy settings on the VM to enable automatic system updates.

맬웨어 방지.Antimalware. 이 기능이 설정되면 보안 센터는 맬웨어 방지 소프트웨어 설치 여부를 확인합니다.If enabled, Security Center checks whether antimalware software is installed. 또한 보안 센터를 사용하여 Azure 포털 내에서 맬웨어 방지 소프트웨어를 설치할 수도 있습니다.You can also use Security Center to install antimalware software from inside the Azure portal.

액세스 제어.Access control. RBAC(역할 기반 액세스 제어)를 사용하여 Azure 리소스에 대한 액세스를 제어합니다.Use role-based access control (RBAC) to control access to Azure resources. RBAC를 통해 DevOps 팀의 구성원에게 권한 역할을 할당할 수 있습니다.RBAC lets you assign authorization roles to members of your DevOps team. 예를 들어 읽기 권한자 역할은 Azure 리소스를 볼 수 있지만 만들거나 관리하거나 삭제할 수는 없습니다.For example, the Reader role can view Azure resources but not create, manage, or delete them. 일부 권한은 Azure 리소스 형식에 적용됩니다.Some permissions are specific to an Azure resource type. 예를 들어 Virtual Machine Contributor 역할은 VM을 다시 시작하거나 할당을 취소하고, 관리자 암호를 재설정하고, 새 VM을 만드는 등의 작업을 수행할 수 있습니다.For example, the Virtual Machine Contributor role can restart or deallocate a VM, reset the administrator password, create a new VM, and so on. 이 아키텍처에 유용할 수 있는 기타 기본 제공 RBAC 역할에는 DevTest Labs 사용자네트워크 참가자가 포함됩니다.Other built-in RBAC roles that may be useful for this architecture include DevTest Labs User and Network Contributor.

참고

RBAC는 VM에 로그온한 사용자가 수행할 수 있는 작업을 제한하지 않습니다.RBAC does not limit the actions that a user logged into a VM can perform. 이러한 사용 권한은 게스트 OS의 계정 유형에 따라 결정됩니다.Those permissions are determined by the account type on the guest OS.

감사 로그.Audit logs. 활동 로그 를 사용 하 여 프로 비전 동작 및 기타 VM 이벤트를 확인 합니다.Use activity logs to see provisioning actions and other VM events.

데이터 암호화.Data encryption. Azure Stack 허브는 BitLocker 128 비트 AES 암호화를 사용 하 여 저장소 하위 시스템의 미사용 사용자 및 인프라 데이터를 보호 합니다.Azure Stack Hub uses BitLocker 128-bit AES encryption to protect user and infrastructure data at rest in the storage subsystem. 자세한 내용은 Azure Stack Hub의 미사용 데이터 암호화를 참조 하세요.For more information, see Data at rest encryption in Azure Stack Hub.

다음 단계Next steps