Uruchamianie maszyny wirtualnej z systemem Linux na Azure Stack HubRun a Linux virtual machine on Azure Stack Hub

Inicjowanie obsługi maszyny wirtualnej w centrum Azure Stack, na przykład na platformie Azure, wymaga pewnych dodatkowych składników oprócz samej maszyny wirtualnej, w tym zasobów sieciowych i magazynu.Provisioning a virtual machine (VM) in Azure Stack Hub, like Azure, requires some additional components besides the VM itself, including networking and storage resources. W tym artykule przedstawiono najlepsze rozwiązania dotyczące uruchamiania maszyny wirtualnej z systemem Linux w centrum Azure Stack.This article shows best practices for running a Linux VM on Azure Stack Hub.

Architektura maszyny wirtualnej z systemem Linux w systemie Azure Stack Hub

Grupa zasobówResource group

Grupa zasobów jest kontenerem logicznym, który zawiera powiązane zasoby Azure Stack centrum.A resource group is a logical container that holds related Azure Stack Hub resources. Ogólnie rzecz biorąc, zasoby grupy na podstawie ich okresu istnienia i zarządzania nimi.In general, group resources based on their lifetime and who will manage them.

Blisko skojarzone zasoby objęte takim samym cyklem życia należy umieścić w tej samej grupie zasobów.Put closely associated resources that share the same lifecycle into the same resource group. Grupy zasobów umożliwiają wdrażanie i monitorowanie zasobów jako grupy oraz śledzenie kosztów według grupy zasobów.Resource groups allow you to deploy and monitor resources as a group and track billing costs by resource group. Możesz również usunąć zasoby jako zestaw, który jest przydatny w przypadku wdrożeń testowych.You can also delete resources as a set, which is useful for test deployments. Przypisuj zrozumiałe nazwy zasobów, aby uprościć znajdowanie określonego zasobu i rozumienie jego roli.Assign meaningful resource names to simplify locating a specific resource and understanding its role. Aby uzyskać więcej informacji, zobacz Zalecane konwencje nazewnictwa dla zasobów platformy Azure.For more information, see Recommended Naming Conventions for Azure Resources.

Maszyna wirtualnaVirtual machine

Można zainicjować obsługę maszyny wirtualnej na podstawie listy opublikowanych obrazów lub z niestandardowego obrazu zarządzanego lub pliku wirtualnego dysku twardego (VHD) przekazanego do Azure Stack centrum obiektów BLOB Storage.You can provision a VM from a list of published images, or from a custom-managed image or virtual hard disk (VHD) file uploaded to Azure Stack Hub Blob storage. Azure Stack Hub obsługuje uruchamianie różnych popularnych dystrybucji systemu Linux, w tym CentOS, Debian, Red Hat Enterprise, Ubuntu i SUSE.Azure Stack Hub supports running various popular Linux distributions, including CentOS, Debian, Red Hat Enterprise, Ubuntu, and SUSE. Aby uzyskać więcej informacji, zobacz Linux w Azure Stack Hub.For more information, see Linux on Azure Stack Hub. Możesz również wybrać jedną z opublikowanych obrazów systemu Linux, które są dostępne w portalu Azure Stack Hub.You may also choose to syndicate one of the published Linux Images that are available on the Azure Stack Hub Marketplace.

Centrum Azure Stack oferuje różne rozmiary maszyn wirtualnych na platformie Azure.Azure Stack Hub offers different virtual machine sizes from Azure. Aby uzyskać więcej informacji, zobacz rozmiary maszyn wirtualnych w centrum Azure Stack.For more information, see Sizes for virtual machines in Azure Stack Hub. Jeśli przenosisz istniejące obciążenie do centrum Azure Stack, Zacznij od rozmiaru maszyny wirtualnej, który jest najbliższym dopasowaniem do serwerów lokalnych/platformy Azure.If you are moving an existing workload to Azure Stack Hub, start with the VM size that's the closest match to your on-premises servers/Azure. Następnie Zmierz wydajność rzeczywistego obciążenia pod kątem procesora CPU, pamięci i operacji wejścia/wyjścia dysku na sekundę (IOPS) i Dostosuj rozmiar w miarę potrzeb.Then measure the performance of your actual workload in terms of CPU, memory, and disk input/output operations per second (IOPS), and adjust the size as needed.

DyskiDisks

Koszt jest oparty na pojemności aprowizowanego dysku.Cost is based on the capacity of the provisioned disk. Operacje we/wy i przepływność (czyli szybkość transferu danych) zależą od rozmiaru maszyny wirtualnej, dlatego w przypadku aprowizacji dysku należy wziąć pod uwagę wszystkie trzy czynniki (pojemność, liczba operacji we/wy na sekundę i przepływność).IOPS and throughput (that is, data transfer rate) depend on VM size, so when you provision a disk, consider all three factors (capacity, IOPS, and throughput).

Liczba operacji we/wy na sekundę (wejścia/wyjścia w górę) na Azure Stack Hub to funkcja rozmiaru maszyny wirtualnej zamiast typu dysku.Disk IOPS (Input/Output Operations Per Second) on Azure Stack Hub is a function of VM size instead of the disk type. Oznacza to, że dla maszyny wirtualnej serii Standard_Fs, niezależnie od tego, czy wybrano dysk SSD lub dysk twardy dla typu dysku, limit liczby operacji we/wy dla jednego dodatkowego dysku z danymi wynosi 2300 operacji we/wy na sekundę.This means that for a Standard_Fs series VM, regardless of whether you choose SSD or HDD for the disk type, the IOPS limit for a single additional data disk is 2300 IOPS. Osiągnięty limit operacji we/wy to wartość limitu (maksymalna możliwa), która uniemożliwia sąsiedzi z zakłóceniami.The IOPS limit imposed is a cap (maximum possible) to prevent noisy neighbors. Nie jest to gwarancja operacji we/wy, którą uzyskasz na określonym rozmiarze maszyny wirtualnej.It isn't an assurance of IOPS that you'll get on a specific VM size.

Zalecamy również korzystanie z Managed disks.We also recommend using Managed Disks. Dyski zarządzane upraszczają zarządzanie dyskami przez obsługę magazynu.Managed disks simplify disk management by handling the storage for you. Dyski zarządzane nie wymagają konta magazynu.Managed disks do not require a storage account. Wystarczy określić rozmiar i typ dysku, aby wdrożyć go jako zasób o wysokiej dostępności.You simply specify the size and type of disk and it is deployed as a highly available resource.

Dysk systemu operacyjnego to plik VHD zapisany w magazynie Azure Stack Hub, dlatego będzie trwały nawet wtedy, gdy maszyna hosta nie działa.The OS disk is a VHD stored in Azure Stack Hub Storage, so it persists even when the host machine is down. W przypadku maszyn wirtualnych z systemem Linux dysk systemu operacyjnego jest/dev/sda1.For Linux VMs, the OS disk is /dev/sda1. Zalecamy również utworzenie co najmniej jednego dysku z danymi, które są trwałych dysków VHD używanych na potrzeby danych aplikacji.We also recommend creating one or more data disks, which are persistent VHDs used for application data.

Po utworzeniu wirtualnego dysku twardego jest on niesformatowany.When you create a VHD, it is unformatted. Zaloguj się do maszyny wirtualnej, aby sformatować dysk.Log into the VM to format the disk. W powłoce systemu Linux dyski danych są wyświetlane jako/dev/SDC,/dev/SDD i tak dalej.In the Linux shell, data disks are displayed as /dev/sdc, /dev/sdd, and so on. Można uruchomić lsblk, aby wyświetlić listę urządzeń, w tym dysków.You can run lsblk to list the block devices, including the disks. Aby użyć dysku danych, utwórz partycję i system plików oraz zainstaluj dysk.To use a data disk, create a partition and file system, and mount the disk. Na przykład:For example:

# Create a partition.
sudo fdisk /dev/sdc \# Enter 'n' to partition, 'w' to write the change.

# Create a file system.
sudo mkfs -t ext3 /dev/sdc1

# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1

W przypadku dodania dysku danych zostanie do niego przypisany identyfikator numeru jednostki logicznej (LUN, logical unit number).When you add a data disk, a logical unit number (LUN) ID is assigned to the disk. Opcjonalnie możesz określić identyfikator LUN — na przykład jeśli zamieniasz dysk i chcesz zachować ten sam identyfikator LUN lub masz aplikację, która szuka określonego identyfikatora LUN.Optionally, you can specify the LUN ID — for example, if you're replacing a disk and want to retain the same LUN ID, or you have an application that looks for a specific LUN ID. Jednak należy pamiętać, że identyfikator LUN musi być unikatowy dla każdego dysku.However, remember that LUN IDs must be unique for each disk.

Maszyna wirtualna jest tworzona razem z dyskiem tymczasowym.The VM is created with a temporary disk. Ten dysk jest przechowywany na tymczasowym woluminie w infrastrukturze magazynu Azure Stack Hub.This disk is stored on a temporary volume on the Azure Stack Hub storage infrastructure. Może zostać usunięty podczas ponownego uruchamiania i innych zdarzeń cyklu życia maszyny wirtualnej.It may be deleted during reboots and other VM lifecycle events. Używaj tego dysku tylko dla danych tymczasowych, takich jak plik stronicowania lub plik wymiany.Use this disk only for temporary data, such as page or swap files. W przypadku maszyn wirtualnych z systemem Linux dysk tymczasowy to/dev/sdb1 i jest instalowany w/mnt/Resource lub/mnt.For Linux VMs, the temporary disk is /dev/sdb1 and is mounted at /mnt/resource or /mnt.

SiećNetwork

Składniki sieci obejmują następujące zasoby:The networking components include the following resources:

  • Sieć wirtualna.Virtual network. Każda maszyna wirtualna jest wdrażana w sieci wirtualnej, która może zostać ujęta w wiele podsieci.Every VM is deployed into a virtual network that can be segmented into multiple subnets.

  • Interfejs sieciowy (karta sieciowa).Network interface (NIC). Karta sieciowa umożliwia maszynie wirtualnej komunikację z siecią wirtualną.The NIC enables the VM to communicate with the virtual network. Jeśli potrzebujesz wielu kart sieciowych dla maszyny wirtualnej, pamiętaj, że maksymalna liczba kart sieciowych jest zdefiniowana dla każdego rozmiaru maszyny wirtualnej.If you need multiple NICs for your VM, be aware that a maximum number of NICs is defined for each VM size.

  • Publiczny adres IP/VIP.Public IP address/ VIP. Publiczny adres IP jest wymagany do komunikowania się z maszyną wirtualną — na przykład za pośrednictwem pulpitu zdalnego (RDP).A public IP address is needed to communicate with the VM — for example, via remote desktop (RDP). Publiczny adres IP może być dynamiczny lub statyczny.The public IP address can be dynamic or static. Domyślnie jest dynamiczny.The default is dynamic. Jeśli potrzebujesz wielu kart sieciowych dla maszyny wirtualnej, pamiętaj, że maksymalna liczba kart sieciowych jest zdefiniowana dla każdego rozmiaru maszyny wirtualnej.If you need multiple NICs for your VM, be aware that a maximum number of NICs is defined for each VM size.

  • Można również utworzyć w pełni kwalifikowaną nazwę domeny (FQDN, fully qualified domain name) dla adresu IP.You can also create a fully qualified domain name (FQDN) for the IP address. Następnie można zarejestrować rekord CNAME, który wskazuje nazwę FQDN, w usłudze DNS.You can then register a CNAME record in DNS that points to the FQDN. Aby uzyskać więcej informacji, zobacz Tworzenie w pełni kwalifikowanej nazwy domeny w Azure Portal.For more information, see Create a fully qualified domain name in the Azure portal.

  • Sieciowa Grupa zabezpieczeń (sieciowej grupy zabezpieczeń).Network security group (NSG). Sieciowe grupy zabezpieczeń służą do zezwalania na ruch sieciowy lub go odmawiają maszynom wirtualnym.Network Security Groups are used to allow or deny network traffic to VMs. Sieciowych grup zabezpieczeń można kojarzyć z podsieciami lub z poszczególnymi wystąpieniami maszyn wirtualnych.NSGs can be associated either with subnets or with individual VM instances.

Wszystkie sieciowe grupy zabezpieczeń zawierają zestaw domyślnych reguł, tym regułę blokującą cały ruch przychodzący z Internetu.All NSGs contain a set of default rules, including a rule that blocks all inbound Internet traffic. Nie można usunąć reguł domyślnych, ale inne reguły mogą je przesłonić.The default rules cannot be deleted, but other rules can override them. Aby włączyć ruch internetowy, utwórz reguły zezwalające na ruch przychodzący do określonych portów — na przykład port 80 dla protokołu HTTP.To enable Internet traffic, create rules that allow inbound traffic to specific ports — for example, port 80 for HTTP. Aby włączyć protokół SSH, dodaj regułę sieciowej grupy zabezpieczeń zezwalającą na ruch przychodzący do portu TCP 22.To enable SSH, add an NSG rule that allows inbound traffic to TCP port 22.

OperacjeOperations

Protokół SSH.SSH. Przed utworzeniem maszyny wirtualnej z systemem Linux wygeneruj parę 2048-bitowych kluczy publiczny-prywatny, korzystając z algorytmu RSA.Before you create a Linux VM, generate a 2048-bit RSA public-private key pair. Użyj pliku klucza publicznego podczas tworzenia maszyny wirtualnej.Use the public key file when you create the VM. Aby uzyskać więcej informacji, zobacz jak używać protokołu SSH w systemie Linux na platformie Azure.For more information, see How to Use SSH with Linux on Azure.

Diagnostyka.Diagnostics. Włącz monitorowanie i diagnostykę, w tym podstawowe metryki kondycji, dzienniki infrastruktury diagnostyki i diagnostykę rozruchu.Enable monitoring and diagnostics, including basic health metrics, diagnostics infrastructure logs, and boot diagnostics. Diagnostyka rozruchu może ułatwić diagnozowanie błędów rozruchu, jeśli nie będzie można uruchomić maszyny wirtualnej.Boot diagnostics can help you diagnose boot failure if your VM gets into a non-bootable state. Utwórz konto usługi Azure Storage do przechowywania dzienników.Create an Azure Storage account to store the logs. Standardowe konto magazynu lokalnie nadmiarowego (LRS, locally redundant storage) jest wystarczające dla dzienników diagnostycznych.A standard locally redundant storage (LRS) account is sufficient for diagnostic logs. Aby uzyskać więcej informacji, zobacz Włączanie monitorowania i diagnostyki.For more information, see Enable monitoring and diagnostics.

Dostępność.Availability. Maszyna wirtualna może podlegać ponownym uruchomieniu z powodu planowanej konserwacji zgodnie z harmonogramem przez operator Azure Stack Hub.Your VM may be subject to a reboot due to planned maintenance as scheduled by the Azure Stack Hub operator. Aby uzyskać wyższą dostępność, należy wdrożyć wiele maszyn wirtualnych w postaci zestawu dostępności.For higher availability, deploy multiple VMs in an availability set.

Kopie zapasowe Aby uzyskać zalecenia dotyczące ochrony maszyn wirtualnych IaaS centrum Azure Stack, należy zapoznać się z tym artykułem.Backups For recommendations on protecting your Azure Stack Hub IaaS VMs, reference this article.

Zatrzymywanie maszyny wirtualnej.Stopping a VM. Platforma Azure rozróżnia między stanami „zatrzymana” i „cofnięty przydział”.Azure makes a distinction between "stopped" and "deallocated" states. Opłaty są naliczane, gdy maszyna wirtualna jest zatrzymana, lecz nie wtedy, gdy jest cofnięty przydział.You are charged when the VM status is stopped, but not when the VM is deallocated. W portalu Azure Stack Hub przycisk Zatrzymaj powoduje cofnięcie przydziału maszyny wirtualnej.In the Azure Stack Hub portal, the Stop button deallocates the VM. Jeśli maszyna wirtualna zostanie zamknięta za pomocą systemu operacyjnego przez zalogowanego użytkownika, to zostanie zatrzymana, lecz przydział nie zostanie cofnięty, więc w dalszym ciągu będą naliczane opłaty.If you shut down through the OS while logged in, the VM is stopped but not deallocated, so you will still be charged.

Usuwanie maszyny wirtualnej.Deleting a VM. Jeśli usuniesz maszynę wirtualną, dyski maszyn wirtualnych nie zostaną usunięte.If you delete a VM, the VM disks are not deleted. Oznacza to, że możesz bezpiecznie usunąć maszyną wirtualną bez utraty danych.That means you can safely delete the VM without losing data. Jednak opłaty za magazyn będą w dalszym ciągu naliczane.However, you will still be charged for storage. Aby usunąć dysk maszyny wirtualnej, Usuń obiekt Managed Disk.To delete the VM disk, delete the managed disk object. Aby zapobiec przypadkowemu usunięciu, użyj blokady zasobu do zablokowania całej grupy zasobów lub poszczególnych zasobów, takich jak maszyna wirtualna.To prevent accidental deletion, use a resource lock to lock the entire resource group or lock individual resources, such as a VM.

Zagadnienia dotyczące bezpieczeństwaSecurity considerations

Dołącz swoje maszyny wirtualne do Azure Security Center , aby uzyskać centralny widok stanu zabezpieczeń zasobów platformy Azure.Onboard your VMs to Azure Security Center to get a central view of the security state of your Azure resources. Usługa Security Center monitoruje potencjalne problemy z zabezpieczeniami i zapewnia kompleksowy przegląd kondycji zabezpieczeń wdrożenia.Security Center monitors potential security issues and provides a comprehensive picture of the security health of your deployment. Usługa Security Center jest konfigurowana w ramach subskrypcji platformy Azure.Security Center is configured per Azure subscription. Włącz zbieranie danych zabezpieczeń zgodnie z opisem w artykule dołączanie subskrypcji platformy Azure do Security Center Standard.Enable security data collection as described in Onboard your Azure subscription to Security Center Standard. Po włączeniu funkcji zbierania danych usługa Security Center automatycznie skanuje wszystkie maszyny wirtualne utworzone w ramach tej subskrypcji.When data collection is enabled, Security Center automatically scans any VMs created under that subscription.

Zarządzanie poprawkami.Patch management. Aby skonfigurować zarządzanie poprawkami na maszynie wirtualnej, zapoznaj się z tym artykułem.To configure Patch management on your VM, refer to this article. Jeśli opcja jest włączona, Centrum zabezpieczeń sprawdza, czy nie brakuje żadnych aktualizacji zabezpieczeń i aktualizacji krytycznych.If enabled, Security Center checks whether any security and critical updates are missing. Aby włączyć automatyczne aktualizacje systemu, użyj ustawień zasad grupy na maszynie wirtualnej.Use Group Policy settings on the VM to enable automatic system updates.

Oprogramowanie chroniące przed złośliwym kodem.Antimalware. Jeśli opcja jest włączona, Centrum zabezpieczeń sprawdza, czy zainstalowano oprogramowanie chroniące przed złośliwym kodem.If enabled, Security Center checks whether antimalware software is installed. Centrum zabezpieczeń służy również do instalowania oprogramowania chroniącego przed złośliwym kodem z poziomu portalu Azure.You can also use Security Center to install antimalware software from inside the Azure portal.

Kontrola dostępu.Access control. Kontrola dostępu do zasobów platformy Azure przy użyciu kontroli dostępu opartej na rolach (RBAC) .Use role-based access control (RBAC) to control access to Azure resources. Kontrola RBAC umożliwia przypisywanie ról autoryzacji do członków zespołu DevOps.RBAC lets you assign authorization roles to members of your DevOps team. Na przykład rola Czytelnik może umożliwiać wyświetlanie zasobów platformy Azure, ale nie ich tworzenie, usuwanie ani zarządzanie nimi.For example, the Reader role can view Azure resources but not create, manage, or delete them. Niektóre uprawnienia są specyficzne dla typu zasobu platformy Azure.Some permissions are specific to an Azure resource type. Na przykład rola Współautor maszyny wirtualnej umożliwia ponowne uruchomienie lub cofnięcie przydziału maszyny wirtualnej, zresetowanie hasła administratora, utworzenie nowej maszyny wirtualnej itd.For example, the Virtual Machine Contributor role can restart or deallocate a VM, reset the administrator password, create a new VM, and so on. Inne wbudowane role kontroli RBAC potencjalnie przydatne w przypadku tej architektury to Użytkownik usługi DevTest Labs i Współautor sieci.Other built-in RBAC roles that may be useful for this architecture include DevTest Labs User and Network Contributor.

Uwaga

Kontrola RBAC nie ogranicza akcji, które może wykonać użytkownik zalogowany do maszyny wirtualnej.RBAC does not limit the actions that a user logged into a VM can perform. Te uprawnienia są określane przez typ konta w systemie operacyjnym gościa.Those permissions are determined by the account type on the guest OS.

Dzienniki inspekcji.Audit logs. Użyj dzienników aktywności , aby wyświetlić akcje aprowizacji i inne zdarzenia maszyn wirtualnych.Use activity logs to see provisioning actions and other VM events.

Szyfrowanie danych.Data encryption. Azure Stack Hub chroni dane użytkowników i infrastruktury na poziomie podsystemu magazynowania przy użyciu szyfrowania w stanie spoczynku.Azure Stack Hub protects user and infrastructure data at the storage subsystem level using encryption at rest. Podsystem magazynowania Azure Stack Hub jest szyfrowany przy użyciu funkcji BitLocker z 128-bitowym szyfrowaniem AES.Azure Stack Hub's storage subsystem is encrypted using BitLocker with 128-bit AES encryption. Aby uzyskać więcej informacji, zapoznaj się z tym artykułem.Refer to this article for more details.

Następne krokiNext steps