Een virtuele Windows-machine uitvoeren op Azure Stack hubRun a Windows virtual machine on Azure Stack Hub

Voor het inrichten van een virtuele machine (VM) in Azure Stack hub zijn enkele extra onderdelen vereist naast de VM zelf, met inbegrip van netwerk-en opslag resources.Provisioning a virtual machine (VM) in Azure Stack Hub requires some additional components besides the VM itself, including networking and storage resources. In dit artikel worden aanbevolen procedures beschreven voor het uitvoeren van een Windows-VM in Azure.This article shows best practices for running a Windows VM on Azure.

Architectuur voor Windows VM op Azure Stack hub

ResourcegroepResource group

Een resource groep is een logische container die gerelateerde Azure stack hub-resources bevat.A resource group is a logical container that holds related Azure Stack Hub resources. Over het algemeen groepeert u resources op basis van hun levens duur en voor wie ze beheert.In general, group resources based on their lifetime and who will manage them.

Plaats nauw verwante resources die dezelfde levenscyclus delen, in dezelfde resourcegroep.Put closely associated resources that share the same lifecycle into the same resource group. Met resourcegroepen kunt u resources groepsgewijs implementeren en bewaken. Ook kunt u de factureringskosten per groep bijhouden.Resource groups allow you to deploy and monitor resources as a group and track billing costs by resource group. U kunt ook resources als een set verwijderen. Dit is handig voor test implementaties.You can also delete resources as a set, which is useful for test deployments. Wijs zinvolle resourcenamen toe om het zoeken naar een specifieke resource te vereenvoudigen en de rol ervan te verduidelijken.Assign meaningful resource names to simplify locating a specific resource and understanding its role. Zie Aanbevolen naamgevings regels voor Azure-resourcesvoor meer informatie.For more information, see Recommended Naming Conventions for Azure Resources.

Virtuele machineVirtual machine

U kunt een virtuele machine inrichten vanuit een lijst met gepubliceerde installatie kopieën, of vanuit een door een aangepaste beheerde installatie kopie of een VHD-bestand (virtuele harde schijf) dat is geüpload naar Azure Stack hub-Blob-opslag.You can provision a VM from a list of published images, or from a custom-managed image or virtual hard disk (VHD) file uploaded to Azure Stack Hub Blob storage.

Azure Stack hub biedt verschillende grootten voor virtuele machines van Azure.Azure Stack Hub offers different virtual machine sizes from Azure. Zie grootten voor virtuele machines in azure stack hubvoor meer informatie.For more information, see Sizes for virtual machines in Azure Stack Hub. Als u een bestaande werk belasting naar Azure Stack hub verplaatst, begint u met de VM-grootte die het meest overeenkomt met uw on-premises servers/Azure.If you are moving an existing workload to Azure Stack Hub, start with the VM size that's the closest match to your on-premises servers/Azure. Meet vervolgens de prestaties van uw werkelijke workload met betrekking tot CPU, geheugen en schijf invoer/uitvoer-bewerkingen per seconde (IOPS), en pas de grootte zo nodig aan.Then measure the performance of your actual workload in terms of CPU, memory, and disk input/output operations per second (IOPS), and adjust the size as needed.

DisksDisks

De kosten zijn gebaseerd op de capaciteit van de ingerichte schijf.Cost is based on the capacity of the provisioned disk. IOPS en door Voer (dat wil zeggen, overdrachtsnelheid van gegevens) is afhankelijk van de grootte van de virtuele machine, dus wanneer u een schijf inricht, moet u rekening houden met alle drie factoren (capaciteit, IOPS en door Voer).IOPS and throughput (that is, data transfer rate) depend on VM size, so when you provision a disk, consider all three factors (capacity, IOPS, and throughput).

Schijf-IOPS (invoer/uitvoer-bewerkingen per seconde) op Azure Stack hub is een functie van VM-grootte in plaats van het schijf type.Disk IOPS (Input/Output Operations Per Second) on Azure Stack Hub is a function of VM size instead of the disk type. Dit betekent dat voor een Standard_Fs serie-VM, ongeacht of u SSD of HDD voor het schijf type kiest, de limiet voor IOPS voor één extra gegevens schijf 2300 IOPS is.This means that for a Standard_Fs series VM, regardless of whether you choose SSD or HDD for the disk type, the IOPS limit for a single additional data disk is 2300 IOPS. De limiet van IOPS die is opgelegd, is een cap (maximum) om te voor komen dat de neighbors worden geruiseerd.The IOPS limit imposed is a cap (maximum possible) to prevent noisy neighbors. Het is geen garantie van IOPS die u krijgt op een specifieke VM-grootte.It isn't an assurance of IOPS that you'll get on a specific VM size.

We raden u ook aan Managed diskste gebruiken.We also recommend using Managed Disks. Managed disks vereenvoudigen schijf beheer door de opslag voor u te verwerken.Managed disks simplify disk management by handling the storage for you. Beheerde schijven vereisen geen opslagaccount.Managed disks do not require a storage account. U geeft eenvoudig de schijfgrootte en het schijftype op, waarna de schijf wordt geïmplementeerd als een maximaal beschikbare resource.You simply specify the size and type of disk and it is deployed as a highly available resource.

De besturingssysteem schijf is een VHD die is opgeslagen in Azure Stack hub-Blob-opslag, zodat deze wordt behouden, zelfs als de hostmachine niet actief is.The OS disk is a VHD stored in Azure Stack Hub blob storage, so it persists even when the host machine is down. We raden u ook aan een of meer gegevens schijvente maken. Dit zijn permanente vhd's die worden gebruikt voor toepassings gegevens.We also recommend creating one or more data disks, which are persistent VHDs used for application data. Installeer toepassingen zo mogelijk op een gegevensschijf, niet op de besturingssysteemschijf.When possible, install applications on a data disk, not the OS disk. Voor sommige oudere toepassingen moeten onderdelen wellicht op station C: worden geïnstalleerd. In dat geval kunt u de besturingssysteemschijf vergroten of verkleinen met behulp van PowerShell.Some legacy applications might need to install components on the C: drive; in that case, you can resize the OS disk using PowerShell.

De virtuele machine wordt ook gemaakt met een tijdelijke schijf (het station D: in Windows).The VM is also created with a temporary disk (the D: drive on Windows). Deze schijf wordt opgeslagen op een tijdelijk volume in de opslag infrastructuur van de Azure Stack hub.This disk is stored on a temporary volume in the Azure Stack Hub storage infrastructure. Het kan worden verwijderd tijdens het opnieuw opstarten en andere gebeurtenissen van de levens cyclus van de VM.It may be deleted during reboots and other VM lifecycle events. Gebruik deze schijf alleen voor tijdelijke gegevens, zoals pagina- of wisselbestanden.Use this disk only for temporary data, such as page or swap files.

NetwerkNetwork

De netwerk onderdelen bevatten de volgende bronnen:The networking components include the following resources:

  • Virtueel netwerk.Virtual network. Elke VM wordt geïmplementeerd in een virtueel netwerk dat kan worden gesegmenteerd in meerdere subnetten.Every VM is deployed into a virtual network that can be segmented into multiple subnets.

  • Netwerkinterface (NIC).Network interface (NIC). Via de NIC kan de virtuele machine communiceren met het virtuele netwerk.The NIC enables the VM to communicate with the virtual network. Als u meerdere Nic's voor uw VM nodig hebt, moet u er rekening mee houden dat er voor elke VM-grootteeen maximum aantal nic's is gedefinieerd.If you need multiple NICs for your VM, be aware that a maximum number of NICs is defined for each VM size.

  • Openbaar IP-adres/VIP.Public IP address/ VIP. Een openbaar IP-adres is nodig om te communiceren met de virtuele machine, bijvoorbeeld via extern bureau blad (RDP).A public IP address is needed to communicate with the VM — for example, via remote desktop (RDP). Het openbare IP-adres kan dynamisch of statisch zijn.The public IP address can be dynamic or static. De standaardwaarde is dynamisch.The default is dynamic.

  • Reserveer een statisch IP-adres als u een vast IP-adres nodig hebt dat niet verandert, bijvoorbeeld als u een DNS a-record moet maken of het IP-adres aan een veilige lijst wilt toevoegen.Reserve a static IP address if you need a fixed IP address that won't change — for example, if you need to create a DNS 'A' record or add the IP address to a safe list.

  • U kunt ook een volledig gekwalificeerde domeinnaam (FQDN) voor het IP-adres maken.You can also create a fully qualified domain name (FQDN) for the IP address. U kunt vervolgens een CNAME-record maken in DNS dat naar de FQDN verwijst.You can then register a CNAME record in DNS that points to the FQDN. Zie een Fully Qualified Domain name in het Azure portal makenvoor meer informatie.For more information, see Create a fully qualified domain name in the Azure portal.

  • Netwerk beveiligings groep (NSG).Network security group (NSG). Nsg's worden gebruikt om netwerk verkeer naar Vm's toe te staan of te weigeren.NSGs are used to allow or deny network traffic to VMs. Nsg's kan worden gekoppeld aan subnetten of met afzonderlijke VM-exemplaren.NSGs can be associated either with subnets or with individual VM instances.

Alle NSG's bevatten een set standaardregels, met inbegrip van een regel waarmee al het inkomende internetverkeer wordt geblokkeerd.All NSGs contain a set of default rules, including a rule that blocks all inbound Internet traffic. De standaardregels kunnen niet worden verwijderd, maar ze kunnen wel worden vervangen door andere regels.The default rules cannot be deleted, but other rules can override them. Als u Internet verkeer wilt inschakelen, maakt u regels waarmee inkomend verkeer naar specifieke poorten wordt toegestaan, bijvoorbeeld poort 80 voor HTTP.To enable Internet traffic, create rules that allow inbound traffic to specific ports — for example, port 80 for HTTP. Als u RDP wilt inschakelen, voegt u een NSG-regel toe waarmee inkomend verkeer op TCP-poort 3389 wordt toegestaan.To enable RDP, add an NSG rule that allows inbound traffic to TCP port 3389.

BewerkingenOperations

Diagnostische gegevens.Diagnostics. Schakel bewaking en diagnostische gegevens in, met inbegrip van basis gegevens over de status, diagnostische gegevens over infra structuur en Diagnostische gegevens over opstarten.Enable monitoring and diagnostics, including basic health metrics, diagnostics infrastructure logs, and boot diagnostics. Met diagnostische gegevens over opstarten kunt u opstartfouten achterhalen als de virtuele machine in een niet-opstartbare status komt.Boot diagnostics can help you diagnose boot failure if your VM gets into a non-bootable state. Maak een Azure Storage-account om de logboeken op te slaan.Create an Azure Storage account to store the logs. Een standaardaccount voor lokaal redundante opslag (LRS) is voldoende voor diagnostische logboeken.A standard locally redundant storage (LRS) account is sufficient for diagnostic logs. Zie Controle en diagnose inschakelen voor meer informatie.For more information, see Enable monitoring and diagnostics.

Beschik baarheid.Availability. Het kan zijn dat uw virtuele machine opnieuw wordt opgestart, omdat gepland onderhoud is gepland door de operator Azure Stack hub.Your VM may be subject to a reboot due to planned maintenance as scheduled by the Azure Stack Hub operator. Voor een hoge Beschik baarheid van een productie systeem met meerdere VM'S in azure, worden virtuele machines in een beschikbaarheidsset geplaatst die ze verdeeld over meerdere fout domeinen en update domeinen.For high availability of a multi-VM production system in Azure, VMs are placed in an availability set that spreads them across multiple fault domains and update domains. In de kleinere schaal van Azure Stack hub wordt een fout domein in een beschikbaarheidsset gedefinieerd als één knoop punt in de schaal eenheid.In the smaller scale of Azure Stack Hub, a fault domain in an availability set is defined as a single node in the scale unit.

Hoewel de infra structuur van Azure Stack hub al tot storingen leidt, loopt de onderliggende technologie (failover clustering) nog steeds enige uitval tijd voor virtuele machines op een fysieke server waarop dit probleem optreedt als er sprake is van een hardwarestoring.While the infrastructure of Azure Stack Hub is already resilient to failures, the underlying technology (failover clustering) still incurs some downtime for VMs on an impacted physical server if there's a hardware failure. Azure Stack hub ondersteunt een beschikbaarheidsset met een maximum van drie fout domeinen die consistent zijn met Azure.Azure Stack Hub supports having an availability set with a maximum of three fault domains to be consistent with Azure.

FoutdomeinenFault domains Vm's die in een beschikbaarheidsset worden geplaatst, worden fysiek geïsoleerd van elkaar door ze zo gelijkmatig mogelijk te spreiden over meerdere fout domeinen (Azure Stack hub-knoop punten).VMs placed in an availability set will be physically isolated from each other by spreading them as evenly as possible over multiple fault domains (Azure Stack Hub nodes). Als er sprake is van een hardwarestoring, worden Vm's uit het mislukte fout domein opnieuw opgestart in andere fout domeinen.If there's a hardware failure, VMs from the failed fault domain will be restarted in other fault domains. Deze worden opgeslagen in afzonderlijke fout domeinen van de andere virtuele machines, maar in dezelfde beschikbaarheidsset als dat mogelijk is.They'll be kept in separate fault domains from the other VMs but in the same availability set if possible. Wanneer de hardware weer online is, worden de Vm's opnieuw gebalanceerd om hoge Beschik baarheid te behouden.When the hardware comes back online, VMs will be rebalanced to maintain high availability.
UpdatedomeinenUpdate domains Update domeinen zijn een andere manier waarop Azure hoge Beschik baarheid biedt in beschikbaarheids sets.Update domains are another way that Azure provides high availability in availability sets. Een update domein is een logische groep onderliggende hardware die op hetzelfde moment onderhoud kan ondergaan.An update domain is a logical group of underlying hardware that can undergo maintenance at the same time. Vm's die zich in hetzelfde update domein bevinden, worden opnieuw gestart tijdens gepland onderhoud.VMs located in the same update domain will be restarted together during planned maintenance. Als tenants Vm's maken binnen een beschikbaarheidsset, distribueert het Azure-platform automatisch Vm's over deze update domeinen.As tenants create VMs within an availability set, the Azure platform automatically distributes VMs across these update domains.
In Azure Stack hub worden Vm's Live gemigreerd over de andere online hosts in het cluster voordat de onderliggende host wordt bijgewerkt.In Azure Stack Hub, VMs are live migrated across the other online hosts in the cluster before their underlying host is updated. Omdat er geen uitval tijd optreedt tijdens het bijwerken van de host, bestaat de functie domein bijwerken op Azure Stack hub alleen voor de compatibiliteit van sjablonen met Azure.Since there's no tenant downtime during a host update, the update domain feature on Azure Stack Hub only exists for template compatibility with Azure. Vm's in een beschikbaarheidsset tonen 0 als het domein nummer van de update op de portal.VMs in an availability set will show 0 as their update domain number on the portal.

Back-ups Voor aanbevelingen voor het beveiligen van uw Azure Stack hub IaaS Vm's, verwijzen wij u naar de virtuele machines die zijn geïmplementeerd op Azure stack hub.Backups For recommendations on protecting your Azure Stack Hub IaaS VMs, reference Protect VMs deployed on Azure Stack Hub.

Een virtuele machine stoppen.Stopping a VM. Azure maakt onderscheid tussen een 'gestopte' status en een status waarbij de toewijzing is opgeheven.Azure makes a distinction between "stopped" and "deallocated" states. Er worden kosten in rekening gebracht wanneer de status van de virtuele machine is gestopt, maar niet wanneer de toewijzing van de virtuele machine is opgeheven.You are charged when the VM status is stopped, but not when the VM is deallocated. In de Azure Stack hub-portal wordt de virtuele machine door de knop stoppen gespreid.In the Azure Stack Hub portal, the Stop button deallocates the VM. Als u afsluit via het besturingssysteem terwijl u bent aangemeld, wordt de virtuele machine wel gestopt, maar de toewijzing ervan niet opgeheven, zodat u nog steeds kosten in rekening worden gebracht.If you shut down through the OS while logged in, the VM is stopped but not deallocated, so you will still be charged.

Een virtuele machine verwijderen.Deleting a VM. Als u een virtuele machine verwijdert, worden de VM-schijven niet verwijderd.If you delete a VM, the VM disks are not deleted. Dit betekent dat u de virtuele machine veilig zonder gegevensverlies kunt verwijderen.That means you can safely delete the VM without losing data. Er worden echter nog steeds kosten in rekening gebracht voor opslag.However, you will still be charged for storage. Als u de VM-schijf wilt verwijderen, verwijdert u het object Managed disk.To delete the VM disk, delete the managed disk object. Gebruik ter voorkoming van onbedoeld verwijderen een resourcevergrendeling om de gehele resourcegroep of afzonderlijke resources, zoals een virtuele machine, te vergrendelen.To prevent accidental deletion, use a resource lock to lock the entire resource group or lock individual resources, such as a VM.

BeveiligingsoverwegingenSecurity considerations

Laat uw Vm's onboarden om Azure Security Center om een centraal overzicht te krijgen van de beveiligings status van uw Azure-resources.Onboard your VMs to Azure Security Center to get a central view of the security state of your Azure resources. Security Center bewaakt potentiële beveiligingsproblemen en biedt een uitgebreid overzicht van de beveiligingsstatus van uw implementatie.Security Center monitors potential security issues and provides a comprehensive picture of the security health of your deployment. Security Center wordt per Azure-abonnement geconfigureerd.Security Center is configured per Azure subscription. Schakel de verzameling van beveiligings gegevens in zoals beschreven in het onboarding van uw Azure-abonnement op Security Center Standard.Enable security data collection as described in Onboard your Azure subscription to Security Center Standard. Wanneer gegevensverzameling is ingeschakeld, scant Security Center automatisch alle virtuele machines die zijn gemaakt met dat abonnement.When data collection is enabled, Security Center automatically scans any VMs created under that subscription.

Patch beheer.Patch management. Raadpleeg Dit artikel voor meer voor het configureren van patch beheer op uw VM.To configure Patch management on your VM, refer to this article. Indien ingeschakeld, controleert Security Center of er beveiligingsupdates en essentiële updates ontbreken.If enabled, Security Center checks whether any security and critical updates are missing. Gebruik Instellingen voor groepsbeleid op de virtuele machine om automatische systeemupdates in te schakelen.Use Group Policy settings on the VM to enable automatic system updates.

Antimalware.Antimalware. Indien ingeschakeld, controleert Security Center of er antimalware-software is geïnstalleerd.If enabled, Security Center checks whether antimalware software is installed. U kunt Security Center ook gebruiken voor het installeren van antimalware-software vanuit de Azure Portal.You can also use Security Center to install antimalware software from inside the Azure portal.

Toegangs beheer.Access control. Gebruik op rollen gebaseerd toegangs beheer (RBAC) om de toegang tot Azure-resources te beheren.Use role-based access control (RBAC) to control access to Azure resources. Met RBAC kunt u machtigingsrollen toewijzen aan leden van uw DevOps-team.RBAC lets you assign authorization roles to members of your DevOps team. Iemand met de rol Lezer kan bijvoorbeeld wel Azure-resources weergeven, maar deze niet maken, beheren of verwijderen.For example, the Reader role can view Azure resources but not create, manage, or delete them. Sommige machtigingen zijn specifiek voor een Azure-resource type.Some permissions are specific to an Azure resource type. Iemand met de rol van Inzender voor virtuele machines kan bijvoorbeeld een virtuele machine opnieuw opstarten of de toewijzing van een virtuele machine ongedaan maken, het beheerderswachtwoord opnieuw instellen, een nieuwe virtuele machine maken, enzovoort.For example, the Virtual Machine Contributor role can restart or deallocate a VM, reset the administrator password, create a new VM, and so on. Andere ingebouwde RBAC-rollen die nuttig kunnen zijn voor deze architectuur, zijn DevTest Labs-gebruiker en Inzender voor netwerken.Other built-in RBAC roles that may be useful for this architecture include DevTest Labs User and Network Contributor.

Notitie

RBAC beperkt niet de acties die een bij een virtuele machine aangemelde gebruiker kan uitvoeren.RBAC does not limit the actions that a user logged into a VM can perform. Deze machtigingen worden bepaald door het accounttype op het gastbesturingssysteem.Those permissions are determined by the account type on the guest OS.

Audit logboeken.Audit logs. Gebruik activiteiten logboeken om inrichtings acties en andere VM-gebeurtenissen weer te geven.Use activity logs to see provisioning actions and other VM events.

Gegevensversleuteling.Data encryption. Azure Stack hub gebruikt BitLocker 128-bits AES-versleuteling voor het beveiligen van gebruikers-en infrastructuur gegevens in rust in het opslag subsysteem.Azure Stack Hub uses BitLocker 128-bit AES encryption to protect user and infrastructure data at rest in the storage subsystem. Zie Data-at- rest-versleuteling in azure stack hubvoor meer informatie.For more information, see Data at rest encryption in Azure Stack Hub.

Volgende stappenNext steps