Een virtuele Linux-machine uitvoeren in Azure Stack Hub
Waarschuwing
Dit artikel verwijst naar CentOS, een Linux-distributie die de EOL-status (End Of Life) nadert. Overweeg uw gebruik en plan dienovereenkomstig. Zie de richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.
Voor het inrichten van een virtuele machine (VM) in Azure Stack Hub, zoals Azure, zijn naast de VM zelf enkele extra onderdelen vereist, waaronder netwerk- en opslagresources. Dit artikel bevat aanbevolen procedures voor het uitvoeren van een Virtuele Linux-machine in Azure Stack Hub.
Resourcegroep
Een resourcegroep is een logische container met gerelateerde Azure Stack Hub-resources. Over het algemeen groepeert u resources op basis van hun levensduur en wie ze gaat beheren.
Plaats nauw verwante resources die dezelfde levenscyclus delen, in dezelfde resourcegroep. Met resourcegroepen kunt u resources groepsgewijs implementeren en bewaken. Ook kunt u de factureringskosten per groep bijhouden. U kunt resources ook verwijderen als een set, wat handig is voor testimplementaties. Wijs zinvolle resourcenamen toe om het zoeken naar een specifieke resource te vereenvoudigen en de rol ervan te verduidelijken. Zie Aanbevolen naamconventies voor Azure-resources voor meer informatie.
Virtuele machine
U kunt een VM inrichten vanuit een lijst met gepubliceerde installatiekopieën, of vanuit een aangepast beheerde installatiekopieën of VHD-bestand (virtuele harde schijf) dat is geüpload naar Azure Stack Hub Blob Storage. Azure Stack Hub ondersteunt het uitvoeren van verschillende populaire Linux-distributies, waaronder CentOS, Debian, Red Hat Enterprise, Ubuntu en SUSE. Zie Linux in Azure Stack Hub voor meer informatie. U kunt er ook voor kiezen om een van de gepubliceerde Linux-installatiekopieën te publiceren die beschikbaar zijn op de Azure Stack Hub Marketplace.
Azure Stack Hub biedt verschillende grootten van virtuele machines dan Azure. Zie Grootten voor virtuele machines in Azure Stack Hub voor meer informatie. Als u een bestaande workload naar Azure Stack Hub verplaatst, begint u met de VM-grootte die het meest overeenkomt met uw on-premises servers/Azure. Meet vervolgens de prestaties van uw werkelijke workload in termen van CPU, geheugen en schijfinvoer/uitvoerbewerkingen per seconde (IOPS) en pas de grootte indien nodig aan.
Disks
De kosten zijn gebaseerd op de capaciteit van de ingerichte schijf. IOPS en doorvoer (d.w.z. de snelheid van gegevensoverdracht) zijn afhankelijk van de VM-grootte, dus houd bij het inrichten van een schijf rekening met alle drie de factoren (capaciteit, IOPS en doorvoer).
Schijf-IOPS (invoer-/uitvoerbewerkingen per seconde) op Azure Stack Hub is een functie van VM-grootte in plaats van het schijftype. Dit betekent dat voor een VM uit de Standard_Fs-serie, ongeacht of u SSD of HDD kiest voor het schijftype, de IOPS-limiet voor één extra gegevensschijf 2300 IOPS is. De opgelegde IOPS-limiet is een limiet (maximaal mogelijk) om lawaaierige buren te voorkomen. Het is geen garantie van IOPS dat u krijgt op een specifieke VM-grootte.
U wordt ook aangeraden Managed Disks te gebruiken. Beheerde schijven vereenvoudigen het schijfbeheer door de opslag voor u te verwerken. Beheerde schijven vereisen geen opslagaccount. U geeft eenvoudig de schijfgrootte en het schijftype op, waarna de schijf wordt geïmplementeerd als een maximaal beschikbare resource.
De besturingssysteemschijf is een VHD die is opgeslagen in Azure Stack Hub Storage, dus deze blijft behouden, zelfs wanneer de hostcomputer niet actief is. Voor Linux-VM's is de besturingssysteemschijf /dev/sda1. U wordt ook aangeraden een of meer gegevensschijven te maken. Dit zijn permanente VHD's die worden gebruikt voor toepassingsgegevens.
Wanneer u een VHD maakt, is deze niet geformatteerd. Meld u aan bij de virtuele machine om de schijf te formatteren. In de Linux-shell worden gegevensschijven weergegeven als /dev/sdc, /dev/sdd, enzovoort. U kunt lsblk uitvoeren om de blokapparaten weer te geven, inclusief de schijven. Als u een gegevensschijf wilt gebruiken, maakt u een partitie en bestandssysteem, en koppelt u de schijf. Bijvoorbeeld:
# Create a partition.
sudo fdisk /dev/sdc \# Enter 'n' to partition, 'w' to write the change.
# Create a file system.
sudo mkfs -t ext3 /dev/sdc1
# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1
Wanneer u een gegevensschijf toevoegt, wordt een LUN-ID (logische-eenheidnummer) toegewezen aan de schijf. Optioneel kunt u de LUN-id opgeven, bijvoorbeeld als u een schijf vervangt en dezelfde LUN-id wilt behouden, of als u een toepassing hebt die zoekt naar een specifieke LUN-id. Vergeet echter niet dat LUN-ID's uniek moeten zijn voor elke schijf.
De virtuele machine wordt gemaakt met een tijdelijke schijf. Deze schijf wordt opgeslagen op een tijdelijk volume in de Azure Stack Hub-opslaginfrastructuur. Deze kan worden verwijderd tijdens het opnieuw opstarten en andere gebeurtenissen in de levenscyclus van de VM. Gebruik deze schijf alleen voor tijdelijke gegevens, zoals pagina- of wisselbestanden. Voor Linux-VM's is de tijdelijke schijf /dev/sdb1 en wordt deze gekoppeld aan /mnt/resource of /mnt.
Netwerk
De netwerkonderdelen bevatten de volgende resources:
Virtueel netwerk. Elke VM wordt geïmplementeerd in een virtueel netwerk dat kan worden gesegmenteerd in meerdere subnetten.
Netwerkinterface (NIC). Via de NIC kan de virtuele machine communiceren met het virtuele netwerk. Als u meerdere NIC's voor uw VM nodig hebt, moet u er rekening mee houden dat er een maximum aantal NIC's is gedefinieerd voor elke VM-grootte.
Openbaar IP-adres/VIP. Er is een openbaar IP-adres nodig om te communiceren met de VM, bijvoorbeeld via extern bureaublad (RDP). Het openbare IP-adres kan dynamisch of statisch zijn. De standaardwaarde is dynamisch. Als u meerdere NIC's voor uw VM nodig hebt, moet u er rekening mee houden dat er een maximum aantal NIC's is gedefinieerd voor elke VM-grootte.
U kunt ook een volledig gekwalificeerde domeinnaam (FQDN) voor het IP-adres maken. U kunt vervolgens een CNAME-record maken in DNS dat naar de FQDN verwijst. Zie Een volledig gekwalificeerde domeinnaam maken in de Azure Portal voor meer informatie.
Netwerkbeveiligingsgroep (NSG). Netwerkbeveiligingsgroepen worden gebruikt om netwerkverkeer naar VM's toe te staan of te weigeren. NSG's kunnen worden gekoppeld aan subnetten of aan afzonderlijke VM-exemplaren.
Alle NSG's bevatten een set standaardregels, met inbegrip van een regel waarmee al het inkomende internetverkeer wordt geblokkeerd. De standaardregels kunnen niet worden verwijderd, maar ze kunnen wel worden vervangen door andere regels. Als u internetverkeer wilt inschakelen, maakt u regels die binnenkomend verkeer naar specifieke poorten toestaan, bijvoorbeeld poort 80 voor HTTP. Als u SSH wilt inschakelen, voegt u een NSG-regel toe waarmee inkomend verkeer op TCP-poort 22 wordt toegestaan.
Operations
SSH. Voordat u een virtuele Linux-machine maakt, moet u een 2048 bits RSA openbaar-persoonlijk sleutelpaar genereren. Gebruik het openbare sleutelbestand wanneer u de virtuele machine maakt. Zie SSH gebruiken met Linux in Azure voor meer informatie.
Diagnostische gegevens. Schakel bewaking en diagnostiek in, inclusief metrische basisgegevens over de status, diagnostische logboeken over de infrastructuur en diagnostische gegevens over opstarten. Met diagnostische gegevens over opstarten kunt u opstartfouten achterhalen als de virtuele machine in een niet-opstartbare status komt. Maak een Azure Storage-account om de logboeken op te slaan. Een standaardaccount voor lokaal redundante opslag (LRS) is voldoende voor diagnostische logboeken. Zie Controle en diagnose inschakelen voor meer informatie.
Beschikbaarheid. Uw VM kan opnieuw worden opgestart vanwege gepland onderhoud zoals gepland door de Azure Stack Hub-operator. Implementeer voor hogere beschikbaarheid meerdere virtuele machines in een beschikbaarheidsset.
Backups Raadpleeg dit artikel voor aanbevelingen voor het beveiligen van uw IaaS-VM's in Azure Stack Hub.
Een VM stoppen. Azure maakt onderscheid tussen een 'gestopte' status en een status waarbij de toewijzing is opgeheven. Er worden kosten in rekening gebracht wanneer de status van de virtuele machine is gestopt, maar niet wanneer de toewijzing van de virtuele machine is opgeheven. In de Azure Stack Hub-portal wordt de toewijzing van de VM ongedaan gemaakt met de knop Stoppen . Als u afsluit via het besturingssysteem terwijl u bent aangemeld, wordt de virtuele machine wel gestopt, maar de toewijzing ervan niet opgeheven, zodat u nog steeds kosten in rekening worden gebracht.
Een VM verwijderen. Als u een VM verwijdert, worden de VM-schijven niet verwijderd. Dit betekent dat u de virtuele machine veilig zonder gegevensverlies kunt verwijderen. Er worden echter nog steeds kosten in rekening gebracht voor opslag. Als u de VM-schijf wilt verwijderen, verwijdert u het beheerde schijfobject. Gebruik ter voorkoming van onbedoeld verwijderen een resourcevergrendeling om de gehele resourcegroep of afzonderlijke resources, zoals een virtuele machine, te vergrendelen.
Beveiligingsoverwegingen
Onboard uw VM's naar Azure Security Center om een centraal overzicht te krijgen van de beveiligingsstatus van uw Azure-resources. Security Center bewaakt potentiële beveiligingsproblemen en biedt een uitgebreid overzicht van de beveiligingsstatus van uw implementatie. Security Center wordt per Azure-abonnement geconfigureerd. Schakel het verzamelen van beveiligingsgegevens in zoals beschreven in Onboard your Azure subscription to Security Center Standard (Uw Azure-abonnement onboarden bij Security Center Standard). Wanneer gegevensverzameling is ingeschakeld, scant Security Center automatisch alle virtuele machines die zijn gemaakt met dat abonnement.
Patchbeheer. Raadpleeg dit artikel als u Patchbeheer op uw VM wilt configureren. Indien ingeschakeld, controleert Security Center of er beveiligingsupdates en essentiële updates ontbreken. Gebruik Instellingen voor groepsbeleid op de virtuele machine om automatische systeemupdates in te schakelen.
Antimalware. Indien ingeschakeld, controleert Security Center of er antimalware-software is geïnstalleerd. U kunt Security Center ook gebruiken voor het installeren van antimalware-software vanuit de Azure Portal.
Toegangsbeheer. Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om de toegang tot Azure-resources te beheren. Met RBAC kunt u machtigingsrollen toewijzen aan leden van uw DevOps-team. Iemand met de rol Lezer kan bijvoorbeeld wel Azure-resources weergeven, maar deze niet maken, beheren of verwijderen. Sommige machtigingen zijn specifiek voor een Azure-resourcetype. Iemand met de rol van Inzender voor virtuele machines kan bijvoorbeeld een virtuele machine opnieuw opstarten of de toewijzing van een virtuele machine ongedaan maken, het beheerderswachtwoord opnieuw instellen, een nieuwe virtuele machine maken, enzovoort. Andere ingebouwde RBAC-rollen die nuttig kunnen zijn voor deze architectuur, zijn DevTest Labs-gebruiker en Inzender voor netwerken.
Notitie
RBAC beperkt niet de acties die een bij een virtuele machine aangemelde gebruiker kan uitvoeren. Deze machtigingen worden bepaald door het accounttype op het gastbesturingssysteem.
Auditlogboeken. Gebruik activiteitenlogboeken om inrichtingsacties en andere VM-gebeurtenissen te bekijken.
Gegevensversleuteling. Azure Stack Hub beveiligt gebruikers- en infrastructuurgegevens op het niveau van het opslagsubsysteem met behulp van versleuteling-at-rest. Het opslagsubsysteem van Azure Stack Hub wordt versleuteld met BitLocker met 128-bits AES-versleuteling. Raadpleeg dit artikel voor meer informatie.
Volgende stappen
- Zie Azure Stack Hub VM-functies voor meer informatie over Azure Stack Hub-VM's.
- Zie Cloudontwerppatronen voor meer informatie over Azure-cloudpatronen.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor