Executar uma máquina virtual do Linux no Hub de Azure Stack

O provisionamento de uma VM (máquina virtual) no Hub Azure Stack, como o Azure, requer alguns componentes adicionais além da própria VM, incluindo recursos de rede e armazenamento. Este artigo mostra as práticas recomendadas para executar uma VM do Linux no Hub Azure Stack.

Arquitetura para VM Linux no Hub de Azure Stack

Grupo de recursos

Um grupo de recursos é um contêiner lógico que mantém os recursos de Hub Azure Stack relacionados. Em geral, recursos de grupo baseados em seu tempo de vida e que vão gerenciá-los.

Coloque recursos estreitamente associados que compartilhem o mesmo ciclo de vida no mesmo grupo de recursos. Os grupos de recursos permitem implantar e monitorar recursos como um grupo e rastrear custos de cobrança por grupo de recursos. Também é possível excluir recursos como um conjunto, o que é útil para implantações de teste. Atribua nomes de recursos significativos para simplificar a localização de um recurso específico e o reconhecimento de sua função. Para obter mais informações, consulte convenções de nomenclatura recomendadas para recursos do Azure.

Máquina virtual

Você pode provisionar uma VM de uma lista de imagens publicadas ou de uma imagem gerenciada personalizada ou um arquivo de disco rígido virtual (VHD) carregado para Azure Stack armazenamento de blobs de Hub. o Hub de Azure Stack dá suporte à execução de várias distribuições Linux populares, incluindo CentOS, Debian, Red Hat Enterprise, Ubuntu e SUSE. Para obter mais informações, consulte Linux no Hub Azure Stack. Você também pode optar por agregar uma das imagens do Linux publicadas que estão disponíveis no Marketplace do hub de Azure Stack.

O Hub de Azure Stack oferece tamanhos de máquina virtual diferentes do Azure. Para obter mais informações, consulte tamanhos de máquinas virtuais no Hub Azure Stack. Se você estiver movendo uma carga de trabalho existente para Azure Stack Hub, comece com o tamanho da VM que é a correspondência mais próxima de seus servidores locais/Azure. Em seguida, meça o desempenho da carga de trabalho real em termos de CPU, memória e IOPS (operações de entrada/saída de disco por segundo) e ajuste o tamanho conforme a necessidade.

Discos

O custo é baseado na capacidade do disco provisionado. IOPS e taxa de transferência (ou seja, taxa de transferência de dados) dependem do tamanho da VM, portanto, ao provisionar um disco, considere todos os três fatores (capacidade, IOPS e taxa de transferência).

IOPS de disco (operações de entrada/saída por segundo) no Hub Azure Stack é uma função de tamanho de VM em vez do tipo de disco. Isso significa que para uma VM de série Standard_Fs, independentemente de você escolher SSD ou HDD para o tipo de disco, o limite de IOPS para um único disco de dados adicional é de 2300 IOPS. O limite de IOPS imposto é um limite (máximo possível) para evitar vizinhos com ruídos. Não é uma garantia de IOPS que você obterá em um tamanho de VM específico.

Também é recomendável usar Managed Disks. Os discos gerenciados simplificam o gerenciamento de disco manipulando o armazenamento por você. Os discos gerenciados não exigem uma conta de armazenamento. Você simplesmente especifica o tamanho e o tipo de disco e é implantado como um recurso altamente disponível.

o disco do sistema operacional é um VHD armazenado no Azure Stack Hub Armazenamento, portanto, ele persiste mesmo quando o computador host está inativo. Para VMs do Linux, o disco do sistema operacional é/dev/sda1. Também é recomendável criar um ou mais discos de dados, que são VHDs persistentes usados para dados de aplicativo.

Quando você cria um VHD, ele não está formatado. Faça logon na VM para formatar o disco. No Shell do Linux, os discos de dados são exibidos como/dev/sdc,/dev/sdd e assim por diante. Você pode executar o lsblk para listar os dispositivos de bloco, incluindo os discos. Para usar um disco de dados, crie uma partição e o sistema de arquivos e monte o disco. Por exemplo:

# Create a partition.
sudo fdisk /dev/sdc \# Enter 'n' to partition, 'w' to write the change.

# Create a file system.
sudo mkfs -t ext3 /dev/sdc1

# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1

Quando você adiciona um disco de dados, uma ID de LUN (número de unidade lógica) é atribuída ao disco. Opcionalmente, você pode especificar a ID do LUN – por exemplo, se você estiver substituindo um disco e desejar manter a mesma ID de LUN, ou se tiver um aplicativo que procure uma ID de LUN específica. No entanto, lembre-se de que as IDs de LUN devem ser exclusivas para cada disco.

A VM é criada com um disco temporário. Esse disco é armazenado em um volume temporário na infraestrutura de armazenamento de Hub de Azure Stack. Ele pode ser excluído durante as reinicializações e outros eventos de ciclo de vida da VM. Use esse disco somente para dados temporários, como arquivos de paginação ou de permuta. Para VMs do Linux, o disco temporário é/dev/sdb1 e montado em/mnt/Resource ou/mnt.

Rede

Os componentes de rede incluem os seguintes recursos:

  • Rede virtual. Cada VM é implantada em uma rede virtual que pode ser segmentada em várias sub-redes.

  • NIC (interface de rede). A NIC permite que a VM se comunique com a rede virtual. Se você precisar de vários NICs para sua VM, esteja ciente de que existe um número máximo de NICs definido para cada tamanho de VM.

  • Endereço IP público/VIP. Um endereço IP público é necessário para se comunicar com a VM, por exemplo, por meio da área de trabalho remota (RDP). Esse endereço IP público pode ser dinâmico ou estático. O padrão é dinâmico. Se você precisar de vários NICs para sua VM, esteja ciente de que existe um número máximo de NICs definido para cada tamanho de VM.

  • Você também pode criar um FQDN (nome de domínio totalmente qualificado) para o endereço IP. Em seguida, é possível registrar um registro CNAME no DNS que aponta para o FQDN. Para saber mais, consulte Criar um nome de domínio totalmente qualificado no Portal do Azure.

  • NSG (grupo de segurança de rede) . Os grupos de segurança de rede são usados para permitir ou negar o tráfego de rede para VMs. Os NSGs podem ser associados com sub-redes ou com instâncias VM individuais.

Todos os NSGs contêm um conjunto de regras padrão, incluindo uma regra que bloqueia todo o tráfego de Internet de entrada. As regras padrão não podem ser excluídas, mas outras regras podem substituí-las. Para habilitar o tráfego da Internet, crie regras que permitam o tráfego de entrada para portas específicas, por exemplo, a porta 80 para HTTP. Para habilitar o SSH, adicione uma regra NSG que permita o tráfego de entrada para a porta TCP 22.

Operations

SSH. Antes de criar uma VM do Linux, gere um par de chaves pública-privada do RSA de 2048 bits. Use o arquivo de chave pública ao criar a VM. Para obter mais informações, consulte como usar SSH com Linux no Azure.

Diagnóstico. Habilite o monitoramento e diagnóstico, incluindo métricas de integridade básicas, logs de infraestrutura de diagnóstico e diagnóstico de inicialização. O diagnóstico de inicialização poderá ajudar a diagnosticar uma falha de inicialização se sua VM entrar em um estado não inicializável. Crie uma conta do Armazenamento do Azure para armazenar os logs. Uma conta LRS (armazenamento com redundância local) padrão é suficiente para os logs de diagnóstico. Para saber mais, confira Habilitar monitoramento e diagnóstico.

Disponibilidade. Sua VM pode estar sujeita a uma reinicialização devido à manutenção planejada, conforme agendado pelo operador de Hub de Azure Stack. Para maior disponibilidade, implante várias VMs em um conjunto de disponibilidade.

Backups Para obter recomendações sobre como proteger suas VMs IaaS de Hub Azure Stack, consulte este artigo.

Interrompendo uma VM. O Azure faz uma distinção entre os estados "parado" e "desalocado". Você será cobrado quando o status da VM for interrompido, mas não quando a VM for desalocada. No portal do Hub Azure Stack, o botão parar Desaloca a VM. No entanto, se você desligar por meio do sistema operacional enquanto estiver conectado, a VM será interrompida, mas não desalocada e, portanto, você ainda será cobrado.

Excluindo uma VM. Se você excluir uma VM, os discos de VM não serão excluídos. Isso significa que você poderá excluir com segurança a VM sem perda de dados. No entanto, você ainda será cobrado pelo armazenamento. Para excluir o disco da VM, exclua o objeto de disco gerenciado. Para evitar a exclusão acidental, use um bloqueio de recurso para bloquear o grupo de recursos inteiro ou bloquear recursos individuais, como uma VM.

Considerações sobre segurança

Integre suas VMs à central de segurança do Azure para obter uma exibição central do estado de segurança de seus recursos do Azure. A Central de Segurança monitora problemas de segurança potenciais e fornece uma visão abrangente da integridade de segurança de sua implantação. A Central de Segurança é configurada por assinatura do Azure. Habilite a coleta de dados de segurança conforme descrito em Integrar a assinatura do Azure à Central de Segurança Standard. Depois que a coleta de dados for habilitada, a Central de Segurança examinará automaticamente todas as VMs criadas nessa assinatura.

Gerenciamento de patches. Para configurar o gerenciamento de patches em sua VM, consulte este artigo. Se for habilitada, a Central de Segurança verificará se quaisquer atualizações críticas e de segurança estão ausentes. Use as Configurações da Política de Grupo na VM para habilitar as atualizações automáticas do sistema.

Antimalware. Se for habilitada, a Central de Segurança verificará se o software antimalware está instalado. Você também pode usar a Central de Segurança para instalar o software antimalware por meio do Portal do Azure.

Controle de acesso. Use o RBAC (controle de acesso baseado em função) para controlar o acesso aos recursos do Azure. O RBAC permite atribuir funções de autorização aos membros de sua equipe de DevOps. Por exemplo, a função Leitor pode exibir os recursos do Azure, mas não criar, gerenciar nem excluí-los. Algumas permissões são específicas para determinado tipo de recurso do Azure. Por exemplo, a função Colaborador da Máquina Virtual pode reiniciar ou desalocar uma VM, redefinir a senha de administrador, criar uma nova VM e, assim por diante. Outras funções RBAC internas que podem ser úteis para esta arquitetura incluem Usuário de DevTest Labs e Colaborador de Rede.

Observação

O RBAC não limita as ações que podem ser executadas por um usuário conectado a uma VM. Essas permissões são determinadas pelo tipo de conta no SO convidado.

Logs de auditoria. Use logs de atividade para ver ações de provisionamento e outros eventos de VM.

Criptografia de dados. O Hub de Azure Stack protege os dados de usuário e de infraestrutura no nível do subsistema de armazenamento usando a criptografia em repouso. O subsistema de armazenamento do Hub Azure Stack é criptografado usando o BitLocker com criptografia AES de 128 bits. Consulte este artigo para obter mais detalhes.

Próximas etapas