Executar uma máquina virtual do Linux no Hub de Azure StackRun a Linux virtual machine on Azure Stack Hub

O provisionamento de uma VM (máquina virtual) no Hub Azure Stack, como o Azure, requer alguns componentes adicionais além da própria VM, incluindo recursos de rede e armazenamento.Provisioning a virtual machine (VM) in Azure Stack Hub, like Azure, requires some additional components besides the VM itself, including networking and storage resources. Este artigo mostra as práticas recomendadas para executar uma VM do Linux no Hub Azure Stack.This article shows best practices for running a Linux VM on Azure Stack Hub.

Arquitetura para VM Linux no Hub de Azure Stack

Grupo de recursosResource group

Um grupo de recursos é um contêiner lógico que mantém os recursos de Hub Azure Stack relacionados.A resource group is a logical container that holds related Azure Stack Hub resources. Em geral, recursos de grupo baseados em seu tempo de vida e que vão gerenciá-los.In general, group resources based on their lifetime and who will manage them.

Coloque recursos estreitamente associados que compartilhem o mesmo ciclo de vida no mesmo grupo de recursos.Put closely associated resources that share the same lifecycle into the same resource group. Os grupos de recursos permitem implantar e monitorar recursos como um grupo e rastrear custos de cobrança por grupo de recursos.Resource groups allow you to deploy and monitor resources as a group and track billing costs by resource group. Também é possível excluir recursos como um conjunto, o que é útil para implantações de teste.You can also delete resources as a set, which is useful for test deployments. Atribua nomes de recursos significativos para simplificar a localização de um recurso específico e o reconhecimento de sua função.Assign meaningful resource names to simplify locating a specific resource and understanding its role. Para obter mais informações, consulte convenções de nomenclatura recomendadas para recursos do Azure.For more information, see Recommended Naming Conventions for Azure Resources.

Máquina virtualVirtual machine

Você pode provisionar uma VM de uma lista de imagens publicadas ou de uma imagem gerenciada personalizada ou um arquivo de disco rígido virtual (VHD) carregado para Azure Stack armazenamento de blobs de Hub.You can provision a VM from a list of published images, or from a custom-managed image or virtual hard disk (VHD) file uploaded to Azure Stack Hub Blob storage. O Hub de Azure Stack dá suporte à execução de várias distribuições Linux populares, incluindo CentOS, Debian, Red Hat Enterprise, Ubuntu e SUSE.Azure Stack Hub supports running various popular Linux distributions, including CentOS, Debian, Red Hat Enterprise, Ubuntu, and SUSE. Para obter mais informações, consulte Linux no Hub Azure Stack.For more information, see Linux on Azure Stack Hub. Você também pode optar por agregar uma das imagens do Linux publicadas que estão disponíveis no Marketplace do hub de Azure Stack.You may also choose to syndicate one of the published Linux Images that are available on the Azure Stack Hub Marketplace.

O Hub de Azure Stack oferece tamanhos de máquina virtual diferentes do Azure.Azure Stack Hub offers different virtual machine sizes from Azure. Para obter mais informações, consulte tamanhos de máquinas virtuais no Hub Azure Stack.For more information, see Sizes for virtual machines in Azure Stack Hub. Se você estiver movendo uma carga de trabalho existente para Azure Stack Hub, comece com o tamanho da VM que é a correspondência mais próxima de seus servidores locais/Azure.If you are moving an existing workload to Azure Stack Hub, start with the VM size that's the closest match to your on-premises servers/Azure. Em seguida, meça o desempenho da carga de trabalho real em termos de CPU, memória e IOPS (operações de entrada/saída de disco por segundo) e ajuste o tamanho conforme a necessidade.Then measure the performance of your actual workload in terms of CPU, memory, and disk input/output operations per second (IOPS), and adjust the size as needed.

DiscosDisks

O custo é baseado na capacidade do disco provisionado.Cost is based on the capacity of the provisioned disk. IOPS e taxa de transferência (ou seja, taxa de transferência de dados) dependem do tamanho da VM, portanto, ao provisionar um disco, considere todos os três fatores (capacidade, IOPS e taxa de transferência).IOPS and throughput (that is, data transfer rate) depend on VM size, so when you provision a disk, consider all three factors (capacity, IOPS, and throughput).

IOPS de disco (operações de entrada/saída por segundo) no Hub Azure Stack é uma função de tamanho de VM em vez do tipo de disco.Disk IOPS (Input/Output Operations Per Second) on Azure Stack Hub is a function of VM size instead of the disk type. Isso significa que para uma VM de série Standard_Fs, independentemente de você escolher SSD ou HDD para o tipo de disco, o limite de IOPS para um único disco de dados adicional é de 2300 IOPS.This means that for a Standard_Fs series VM, regardless of whether you choose SSD or HDD for the disk type, the IOPS limit for a single additional data disk is 2300 IOPS. O limite de IOPS imposto é um limite (máximo possível) para evitar vizinhos com ruídos.The IOPS limit imposed is a cap (maximum possible) to prevent noisy neighbors. Não é uma garantia de IOPS que você obterá em um tamanho de VM específico.It isn't an assurance of IOPS that you'll get on a specific VM size.

Também é recomendável usar Managed Disks.We also recommend using Managed Disks. Os discos gerenciados simplificam o gerenciamento de disco manipulando o armazenamento por você.Managed disks simplify disk management by handling the storage for you. Os discos gerenciados não exigem uma conta de armazenamento.Managed disks do not require a storage account. Você simplesmente especifica o tamanho e o tipo de disco e é implantado como um recurso altamente disponível.You simply specify the size and type of disk and it is deployed as a highly available resource.

O disco do sistema operacional é um VHD armazenado no armazenamento de Hub Azure Stack, então ele persiste mesmo quando o computador host está inativo.The OS disk is a VHD stored in Azure Stack Hub Storage, so it persists even when the host machine is down. Para VMs do Linux, o disco do sistema operacional é/dev/sda1.For Linux VMs, the OS disk is /dev/sda1. Também é recomendável criar um ou mais discos de dados, que são VHDs persistentes usados para dados de aplicativo.We also recommend creating one or more data disks, which are persistent VHDs used for application data.

Quando você cria um VHD, ele não está formatado.When you create a VHD, it is unformatted. Faça logon na VM para formatar o disco.Log into the VM to format the disk. No Shell do Linux, os discos de dados são exibidos como/dev/sdc,/dev/sdd e assim por diante.In the Linux shell, data disks are displayed as /dev/sdc, /dev/sdd, and so on. Você pode executar o lsblk para listar os dispositivos de bloco, incluindo os discos.You can run lsblk to list the block devices, including the disks. Para usar um disco de dados, crie uma partição e o sistema de arquivos e monte o disco.To use a data disk, create a partition and file system, and mount the disk. Por exemplo:For example:

# Create a partition.
sudo fdisk /dev/sdc \# Enter 'n' to partition, 'w' to write the change.

# Create a file system.
sudo mkfs -t ext3 /dev/sdc1

# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1

Quando você adiciona um disco de dados, uma ID de LUN (número de unidade lógica) é atribuída ao disco.When you add a data disk, a logical unit number (LUN) ID is assigned to the disk. Opcionalmente, você pode especificar a ID do LUN — por exemplo, se você estiver substituindo um disco e desejar manter a mesma ID de LUN, ou se tiver um aplicativo que procure uma ID de LUN específica.Optionally, you can specify the LUN ID — for example, if you're replacing a disk and want to retain the same LUN ID, or you have an application that looks for a specific LUN ID. No entanto, lembre-se de que as IDs de LUN devem ser exclusivas para cada disco.However, remember that LUN IDs must be unique for each disk.

A VM é criada com um disco temporário.The VM is created with a temporary disk. Esse disco é armazenado em um volume temporário na infraestrutura de armazenamento de Hub de Azure Stack.This disk is stored on a temporary volume on the Azure Stack Hub storage infrastructure. Ele pode ser excluído durante as reinicializações e outros eventos de ciclo de vida da VM.It may be deleted during reboots and other VM lifecycle events. Use esse disco somente para dados temporários, como arquivos de paginação ou de permuta.Use this disk only for temporary data, such as page or swap files. Para VMs do Linux, o disco temporário é/dev/sdb1 e montado em/mnt/Resource ou/mnt.For Linux VMs, the temporary disk is /dev/sdb1 and is mounted at /mnt/resource or /mnt.

RedeNetwork

Os componentes de rede incluem os seguintes recursos:The networking components include the following resources:

  • Rede virtual.Virtual network. Cada VM é implantada em uma rede virtual que pode ser segmentada em várias sub-redes.Every VM is deployed into a virtual network that can be segmented into multiple subnets.

  • NIC (adaptador de rede).Network interface (NIC). A NIC permite que a VM se comunique com a rede virtual.The NIC enables the VM to communicate with the virtual network. Se você precisar de vários NICs para sua VM, esteja ciente de que existe um número máximo de NICs definido para cada tamanho de VM.If you need multiple NICs for your VM, be aware that a maximum number of NICs is defined for each VM size.

  • Endereço IP público/VIP.Public IP address/ VIP. Um endereço IP público é necessário para se comunicar com a VM, por exemplo, por meio da área de trabalho remota (RDP).A public IP address is needed to communicate with the VM — for example, via remote desktop (RDP). Esse endereço IP público pode ser dinâmico ou estático.The public IP address can be dynamic or static. O padrão é dinâmico.The default is dynamic. Se você precisar de vários NICs para sua VM, esteja ciente de que existe um número máximo de NICs definido para cada tamanho de VM.If you need multiple NICs for your VM, be aware that a maximum number of NICs is defined for each VM size.

  • Você também pode criar um FQDN (nome de domínio totalmente qualificado) para o endereço IP.You can also create a fully qualified domain name (FQDN) for the IP address. Em seguida, é possível registrar um registro CNAME no DNS que aponta para o FQDN.You can then register a CNAME record in DNS that points to the FQDN. Para saber mais, consulte Criar um nome de domínio totalmente qualificado no Portal do Azure.For more information, see Create a fully qualified domain name in the Azure portal.

  • NSG (grupo de segurança de rede).Network security group (NSG). Os grupos de segurança de rede são usados para permitir ou negar o tráfego de rede para VMs.Network Security Groups are used to allow or deny network traffic to VMs. Os NSGs podem ser associados com sub-redes ou com instâncias VM individuais.NSGs can be associated either with subnets or with individual VM instances.

Todos os NSGs contêm um conjunto de regras padrão, incluindo uma regra que bloqueia todo o tráfego de Internet de entrada.All NSGs contain a set of default rules, including a rule that blocks all inbound Internet traffic. As regras padrão não podem ser excluídas, mas outras regras podem substituí-las.The default rules cannot be deleted, but other rules can override them. Para habilitar o tráfego da Internet, crie regras que permitam o tráfego de entrada para portas específicas — por exemplo, a porta 80 para HTTP.To enable Internet traffic, create rules that allow inbound traffic to specific ports — for example, port 80 for HTTP. Para habilitar o SSH, adicione uma regra NSG que permita o tráfego de entrada para a porta TCP 22.To enable SSH, add an NSG rule that allows inbound traffic to TCP port 22.

OperationsOperations

SSH.SSH. Antes de criar uma VM do Linux, gere um par de chaves pública-privada do RSA de 2048 bits.Before you create a Linux VM, generate a 2048-bit RSA public-private key pair. Use o arquivo de chave pública ao criar a VM.Use the public key file when you create the VM. Para obter mais informações, consulte como usar SSH com Linux no Azure.For more information, see How to Use SSH with Linux on Azure.

Diagnóstico.Diagnostics. Habilite o monitoramento e diagnóstico, incluindo métricas de integridade básicas, logs de infraestrutura de diagnóstico e diagnóstico de inicialização.Enable monitoring and diagnostics, including basic health metrics, diagnostics infrastructure logs, and boot diagnostics. O diagnóstico de inicialização poderá ajudar a diagnosticar uma falha de inicialização se sua VM entrar em um estado não inicializável.Boot diagnostics can help you diagnose boot failure if your VM gets into a non-bootable state. Crie uma conta do Armazenamento do Azure para armazenar os logs.Create an Azure Storage account to store the logs. Uma conta LRS (armazenamento com redundância local) padrão é suficiente para os logs de diagnóstico.A standard locally redundant storage (LRS) account is sufficient for diagnostic logs. Para saber mais, confira Habilitar monitoramento e diagnóstico.For more information, see Enable monitoring and diagnostics.

Disponibilidade.Availability. Sua VM pode estar sujeita a uma reinicialização devido à manutenção planejada, conforme agendado pelo operador de Hub de Azure Stack.Your VM may be subject to a reboot due to planned maintenance as scheduled by the Azure Stack Hub operator. Para maior disponibilidade, implante várias VMs em um conjunto de disponibilidade.For higher availability, deploy multiple VMs in an availability set.

Backups Para obter recomendações sobre como proteger suas VMs IaaS de Hub Azure Stack, consulte este artigo.Backups For recommendations on protecting your Azure Stack Hub IaaS VMs, reference this article.

Interrompendo uma VM.Stopping a VM. O Azure faz uma distinção entre os estados "parado" e "desalocado".Azure makes a distinction between "stopped" and "deallocated" states. Você será cobrado quando o status da VM for interrompido, mas não quando a VM for desalocada.You are charged when the VM status is stopped, but not when the VM is deallocated. No portal do Hub Azure Stack, o botão parar Desaloca a VM.In the Azure Stack Hub portal, the Stop button deallocates the VM. No entanto, se você desligar por meio do sistema operacional enquanto estiver conectado, a VM será interrompida, mas não desalocada e, portanto, você ainda será cobrado.If you shut down through the OS while logged in, the VM is stopped but not deallocated, so you will still be charged.

Excluindo uma VM.Deleting a VM. Se você excluir uma VM, os discos de VM não serão excluídos.If you delete a VM, the VM disks are not deleted. Isso significa que você poderá excluir com segurança a VM sem perda de dados.That means you can safely delete the VM without losing data. No entanto, você ainda será cobrado pelo armazenamento.However, you will still be charged for storage. Para excluir o disco da VM, exclua o objeto de disco gerenciado.To delete the VM disk, delete the managed disk object. Para evitar a exclusão acidental, use um bloqueio de recurso para bloquear o grupo de recursos inteiro ou bloquear recursos individuais, como uma VM.To prevent accidental deletion, use a resource lock to lock the entire resource group or lock individual resources, such as a VM.

Considerações sobre segurançaSecurity considerations

Integre suas VMs à central de segurança do Azure para obter uma exibição central do estado de segurança de seus recursos do Azure.Onboard your VMs to Azure Security Center to get a central view of the security state of your Azure resources. A Central de Segurança monitora problemas de segurança potenciais e fornece uma visão abrangente da integridade de segurança de sua implantação.Security Center monitors potential security issues and provides a comprehensive picture of the security health of your deployment. A Central de Segurança é configurada por assinatura do Azure.Security Center is configured per Azure subscription. Habilite a coleta de dados de segurança conforme descrito em Integrar a assinatura do Azure à Central de Segurança Standard.Enable security data collection as described in Onboard your Azure subscription to Security Center Standard. Depois que a coleta de dados for habilitada, a Central de Segurança examinará automaticamente todas as VMs criadas nessa assinatura.When data collection is enabled, Security Center automatically scans any VMs created under that subscription.

Gerenciamento de patches.Patch management. Para configurar o gerenciamento de patches em sua VM, consulte este artigo.To configure Patch management on your VM, refer to this article. Se for habilitada, a Central de Segurança verificará se quaisquer atualizações críticas e de segurança estão ausentes.If enabled, Security Center checks whether any security and critical updates are missing. Use as Configurações da Política de Grupo na VM para habilitar as atualizações automáticas do sistema.Use Group Policy settings on the VM to enable automatic system updates.

Antimalware.Antimalware. Se for habilitada, a Central de Segurança verificará se o software antimalware está instalado.If enabled, Security Center checks whether antimalware software is installed. Você também pode usar a Central de Segurança para instalar o software antimalware por meio do Portal do Azure.You can also use Security Center to install antimalware software from inside the Azure portal.

Controle de acesso.Access control. Use o RBAC (controle de acesso baseado em função) para controlar o acesso aos recursos do Azure.Use role-based access control (RBAC) to control access to Azure resources. O RBAC permite atribuir funções de autorização aos membros de sua equipe de DevOps.RBAC lets you assign authorization roles to members of your DevOps team. Por exemplo, a função Leitor pode exibir os recursos do Azure, mas não criar, gerenciar nem excluí-los.For example, the Reader role can view Azure resources but not create, manage, or delete them. Algumas permissões são específicas para determinado tipo de recurso do Azure.Some permissions are specific to an Azure resource type. Por exemplo, a função Colaborador da Máquina Virtual pode reiniciar ou desalocar uma VM, redefinir a senha de administrador, criar uma nova VM e, assim por diante.For example, the Virtual Machine Contributor role can restart or deallocate a VM, reset the administrator password, create a new VM, and so on. Outras funções RBAC internas que podem ser úteis para esta arquitetura incluem Usuário de DevTest Labs e Colaborador de Rede.Other built-in RBAC roles that may be useful for this architecture include DevTest Labs User and Network Contributor.

Observação

O RBAC não limita as ações que podem ser executadas por um usuário conectado a uma VM.RBAC does not limit the actions that a user logged into a VM can perform. Essas permissões são determinadas pelo tipo de conta no SO convidado.Those permissions are determined by the account type on the guest OS.

Logs de auditoria.Audit logs. Use logs de atividade para ver ações de provisionamento e outros eventos de VM.Use activity logs to see provisioning actions and other VM events.

Criptografia de dados.Data encryption. O Hub de Azure Stack protege os dados de usuário e de infraestrutura no nível do subsistema de armazenamento usando a criptografia em repouso.Azure Stack Hub protects user and infrastructure data at the storage subsystem level using encryption at rest. O subsistema de armazenamento do Hub Azure Stack é criptografado usando o BitLocker com criptografia AES de 128 bits.Azure Stack Hub's storage subsystem is encrypted using BitLocker with 128-bit AES encryption. Consulte este artigo para obter mais detalhes.Refer to this article for more details.

Próximas etapasNext steps