Executar uma máquina virtual do Windows no Hub de Azure StackRun a Windows virtual machine on Azure Stack Hub

O provisionamento de uma VM (máquina virtual) no Hub Azure Stack requer alguns componentes adicionais além da própria VM, incluindo recursos de rede e armazenamento.Provisioning a virtual machine (VM) in Azure Stack Hub requires some additional components besides the VM itself, including networking and storage resources. Este artigo mostra as melhores práticas para executar uma VM do Windows no Azure.This article shows best practices for running a Windows VM on Azure.

Arquitetura para VM do Windows no Hub de Azure Stack

Grupo de recursosResource group

Um grupo de recursos é um contêiner lógico que mantém os recursos de Hub Azure Stack relacionados.A resource group is a logical container that holds related Azure Stack Hub resources. Em geral, recursos de grupo baseados em seu tempo de vida e que vão gerenciá-los.In general, group resources based on their lifetime and who will manage them.

Coloque recursos estreitamente associados que compartilhem o mesmo ciclo de vida no mesmo grupo de recursos.Put closely associated resources that share the same lifecycle into the same resource group. Os grupos de recursos permitem implantar e monitorar recursos como um grupo e rastrear custos de cobrança por grupo de recursos.Resource groups allow you to deploy and monitor resources as a group and track billing costs by resource group. Também é possível excluir recursos como um conjunto, o que é útil para implantações de teste.You can also delete resources as a set, which is useful for test deployments. Atribua nomes de recursos significativos para simplificar a localização de um recurso específico e o reconhecimento de sua função.Assign meaningful resource names to simplify locating a specific resource and understanding its role. Para obter mais informações, consulte convenções de nomenclatura recomendadas para recursos do Azure.For more information, see Recommended Naming Conventions for Azure Resources.

Máquina virtualVirtual machine

Você pode provisionar uma VM de uma lista de imagens publicadas ou de uma imagem gerenciada personalizada ou um arquivo de disco rígido virtual (VHD) carregado para Azure Stack armazenamento de blobs de Hub.You can provision a VM from a list of published images, or from a custom-managed image or virtual hard disk (VHD) file uploaded to Azure Stack Hub Blob storage.

O Hub de Azure Stack oferece tamanhos de máquina virtual diferentes do Azure.Azure Stack Hub offers different virtual machine sizes from Azure. Para obter mais informações, consulte tamanhos de máquinas virtuais no Hub Azure Stack.For more information, see Sizes for virtual machines in Azure Stack Hub. Se você estiver movendo uma carga de trabalho existente para Azure Stack Hub, comece com o tamanho da VM que é a correspondência mais próxima de seus servidores locais/Azure.If you are moving an existing workload to Azure Stack Hub, start with the VM size that's the closest match to your on-premises servers/Azure. Em seguida, meça o desempenho da carga de trabalho real em termos de CPU, memória e IOPS (operações de entrada/saída de disco por segundo) e ajuste o tamanho conforme a necessidade.Then measure the performance of your actual workload in terms of CPU, memory, and disk input/output operations per second (IOPS), and adjust the size as needed.

DiscosDisks

O custo é baseado na capacidade do disco provisionado.Cost is based on the capacity of the provisioned disk. IOPS e taxa de transferência (ou seja, taxa de transferência de dados) dependem do tamanho da VM, portanto, ao provisionar um disco, considere todos os três fatores (capacidade, IOPS e taxa de transferência).IOPS and throughput (that is, data transfer rate) depend on VM size, so when you provision a disk, consider all three factors (capacity, IOPS, and throughput).

IOPS de disco (operações de entrada/saída por segundo) no Hub Azure Stack é uma função de tamanho de VM em vez do tipo de disco.Disk IOPS (Input/Output Operations Per Second) on Azure Stack Hub is a function of VM size instead of the disk type. Isso significa que para uma VM de série Standard_Fs, independentemente de você escolher SSD ou HDD para o tipo de disco, o limite de IOPS para um único disco de dados adicional é de 2300 IOPS.This means that for a Standard_Fs series VM, regardless of whether you choose SSD or HDD for the disk type, the IOPS limit for a single additional data disk is 2300 IOPS. O limite de IOPS imposto é um limite (máximo possível) para evitar vizinhos com ruídos.The IOPS limit imposed is a cap (maximum possible) to prevent noisy neighbors. Não é uma garantia de IOPS que você obterá em um tamanho de VM específico.It isn't an assurance of IOPS that you'll get on a specific VM size.

Também é recomendável usar Managed Disks.We also recommend using Managed Disks. Os discos gerenciados simplificam o gerenciamento de disco manipulando o armazenamento por você.Managed disks simplify disk management by handling the storage for you. Os discos gerenciados não exigem uma conta de armazenamento.Managed disks do not require a storage account. Você simplesmente especifica o tamanho e o tipo de disco e é implantado como um recurso altamente disponível.You simply specify the size and type of disk and it is deployed as a highly available resource.

O disco do sistema operacional é um VHD armazenado em Azure Stack armazenamento de blobs de Hub, então ele persiste mesmo quando o computador host está inoperante.The OS disk is a VHD stored in Azure Stack Hub blob storage, so it persists even when the host machine is down. Também é recomendável criar um ou mais discos de dados, que são VHDs persistentes usados para dados de aplicativo.We also recommend creating one or more data disks, which are persistent VHDs used for application data. Quando possível, instale aplicativos em um disco de dados, não no disco do sistema operacional.When possible, install applications on a data disk, not the OS disk. Algumas aplicações legadas podem precisar instalar componentes na unidade C:. Nesse caso, você pode redimensionar o disco de SO utilizando o PowerShell.Some legacy applications might need to install components on the C: drive; in that case, you can resize the OS disk using PowerShell.

A VM também é criada com um disco temporário (a unidade D: no Windows).The VM is also created with a temporary disk (the D: drive on Windows). Esse disco é armazenado em um volume temporário na infraestrutura de armazenamento do hub de Azure Stack.This disk is stored on a temporary volume in the Azure Stack Hub storage infrastructure. Ele pode ser excluído durante as reinicializações e outros eventos de ciclo de vida da VM.It may be deleted during reboots and other VM lifecycle events. Use esse disco somente para dados temporários, como arquivos de paginação ou de permuta.Use this disk only for temporary data, such as page or swap files.

RedeNetwork

Os componentes de rede incluem os seguintes recursos:The networking components include the following resources:

  • Rede virtual.Virtual network. Cada VM é implantada em uma rede virtual que pode ser segmentada em várias sub-redes.Every VM is deployed into a virtual network that can be segmented into multiple subnets.

  • NIC (adaptador de rede).Network interface (NIC). A NIC permite que a VM se comunique com a rede virtual.The NIC enables the VM to communicate with the virtual network. Se você precisar de várias NICs para sua VM, lembre-se de que um número máximo de NICs é definido para cada tamanho de VM.If you need multiple NICs for your VM, be aware that a maximum number of NICs is defined for each VM size.

  • Endereço IP público/VIP.Public IP address/ VIP. Um endereço IP público é necessário para se comunicar com a VM, por exemplo, por meio da área de trabalho remota (RDP).A public IP address is needed to communicate with the VM — for example, via remote desktop (RDP). Esse endereço IP público pode ser dinâmico ou estático.The public IP address can be dynamic or static. O padrão é dinâmico.The default is dynamic.

  • Reserve um endereço IP estático se precisar de um endereço IP fixo que não mudará — por exemplo, se você precisar criar um registro DNS ' a ' ou adicionar o endereço IP a uma lista segura.Reserve a static IP address if you need a fixed IP address that won't change — for example, if you need to create a DNS 'A' record or add the IP address to a safe list.

  • Você também pode criar um FQDN (nome de domínio totalmente qualificado) para o endereço IP.You can also create a fully qualified domain name (FQDN) for the IP address. Em seguida, é possível registrar um registro CNAME no DNS que aponta para o FQDN.You can then register a CNAME record in DNS that points to the FQDN. Para saber mais, consulte Criar um nome de domínio totalmente qualificado no Portal do Azure.For more information, see Create a fully qualified domain name in the Azure portal.

  • NSG (grupo de segurança de rede).Network security group (NSG). NSGs são usados para permitir ou negar o tráfego de rede para VMs.NSGs are used to allow or deny network traffic to VMs. Os NSGs podem ser associados com sub-redes ou com instâncias VM individuais.NSGs can be associated either with subnets or with individual VM instances.

Todos os NSGs contêm um conjunto de regras padrão, incluindo uma regra que bloqueia todo o tráfego de Internet de entrada.All NSGs contain a set of default rules, including a rule that blocks all inbound Internet traffic. As regras padrão não podem ser excluídas, mas outras regras podem substituí-las.The default rules cannot be deleted, but other rules can override them. Para habilitar o tráfego da Internet, crie regras que permitam o tráfego de entrada para portas específicas — por exemplo, a porta 80 para HTTP.To enable Internet traffic, create rules that allow inbound traffic to specific ports — for example, port 80 for HTTP. Para habilitar o RDP, adicione uma regra NSG que permita o tráfego de entrada na porta TCP 3389.To enable RDP, add an NSG rule that allows inbound traffic to TCP port 3389.

OperationsOperations

Diagnóstico.Diagnostics. Habilite o monitoramento e o diagnóstico, incluindo métricas de integridade básicas, logs de infraestrutura de diagnóstico e diagnóstico de inicialização.Enable monitoring and diagnostics, including basic health metrics, diagnostics infrastructure logs, and boot diagnostics. O diagnóstico de inicialização poderá ajudar a diagnosticar uma falha de inicialização se sua VM entrar em um estado não inicializável.Boot diagnostics can help you diagnose boot failure if your VM gets into a non-bootable state. Crie uma conta do Armazenamento do Azure para armazenar os logs.Create an Azure Storage account to store the logs. Uma conta LRS (armazenamento com redundância local) padrão é suficiente para os logs de diagnóstico.A standard locally redundant storage (LRS) account is sufficient for diagnostic logs. Para saber mais, confira Habilitar monitoramento e diagnóstico.For more information, see Enable monitoring and diagnostics.

Disponibilidade.Availability. Sua VM pode estar sujeita a uma reinicialização devido à manutenção planejada, conforme agendado pelo operador de Hub de Azure Stack.Your VM may be subject to a reboot due to planned maintenance as scheduled by the Azure Stack Hub operator. Para alta disponibilidade de um sistema de produção de várias VMs no Azure, as VMs são colocadas em um conjunto de disponibilidade que as espalha em vários domínios de falha e domínios de atualização.For high availability of a multi-VM production system in Azure, VMs are placed in an availability set that spreads them across multiple fault domains and update domains. Na escala menor do hub de Azure Stack, um domínio de falha em um conjunto de disponibilidade é definido como um único nó na unidade de escala.In the smaller scale of Azure Stack Hub, a fault domain in an availability set is defined as a single node in the scale unit.

Embora a infraestrutura do hub de Azure Stack já esteja resiliente a falhas, a tecnologia subjacente (clustering de failover) ainda incorre em algum tempo de inatividade para VMs em um servidor físico afetado se houver uma falha de hardware.While the infrastructure of Azure Stack Hub is already resilient to failures, the underlying technology (failover clustering) still incurs some downtime for VMs on an impacted physical server if there's a hardware failure. O Hub de Azure Stack dá suporte a um conjunto de disponibilidade com um máximo de três domínios de falha para ser consistente com o Azure.Azure Stack Hub supports having an availability set with a maximum of three fault domains to be consistent with Azure.

Domínios de falhaFault domains As VMs colocadas em um conjunto de disponibilidade serão isoladas fisicamente umas das outras, distribuindo-as tão uniformemente quanto possível em vários domínios de falha (Azure Stack nós de Hub).VMs placed in an availability set will be physically isolated from each other by spreading them as evenly as possible over multiple fault domains (Azure Stack Hub nodes). Se houver uma falha de hardware, as VMs do domínio de falha com falha serão reiniciadas em outros domínios de falha.If there's a hardware failure, VMs from the failed fault domain will be restarted in other fault domains. Eles serão mantidos em domínios de falha separados das outras VMs, mas no mesmo conjunto de disponibilidade, se possível.They'll be kept in separate fault domains from the other VMs but in the same availability set if possible. Quando o hardware volta a ficar online, as VMs serão rebalanceadas para manter a alta disponibilidade.When the hardware comes back online, VMs will be rebalanced to maintain high availability.
Domínios de atualizaçãoUpdate domains Os domínios de atualização são outra maneira que o Azure fornece alta disponibilidade em conjuntos de disponibilidade.Update domains are another way that Azure provides high availability in availability sets. Um domínio de atualização é um grupo lógico de hardware subjacente que pode passar por manutenção ao mesmo tempo.An update domain is a logical group of underlying hardware that can undergo maintenance at the same time. As VMs localizadas no mesmo domínio de atualização serão reiniciadas juntas durante a manutenção planejada.VMs located in the same update domain will be restarted together during planned maintenance. Como os locatários criam VMs em um conjunto de disponibilidade, a plataforma do Azure distribui automaticamente as VMs entre esses domínios de atualização.As tenants create VMs within an availability set, the Azure platform automatically distributes VMs across these update domains.
No Hub Azure Stack, as VMs são migradas ao vivo entre os outros hosts online no cluster antes de o host subjacente ser atualizado.In Azure Stack Hub, VMs are live migrated across the other online hosts in the cluster before their underlying host is updated. Como não há nenhum tempo de inatividade do locatário durante uma atualização do host, o recurso atualizar domínio no Hub Azure Stack só existe para a compatibilidade do modelo com o Azure.Since there's no tenant downtime during a host update, the update domain feature on Azure Stack Hub only exists for template compatibility with Azure. As VMs em um conjunto de disponibilidade mostrarão 0 como seu número de domínio de atualização no Portal.VMs in an availability set will show 0 as their update domain number on the portal.

Backups Para obter recomendações sobre como proteger suas VMs IaaS de Hub Azure Stack, consulte proteger VMs implantadas no hub Azure Stack.Backups For recommendations on protecting your Azure Stack Hub IaaS VMs, reference Protect VMs deployed on Azure Stack Hub.

Interrompendo uma VM.Stopping a VM. O Azure faz uma distinção entre os estados "parado" e "desalocado".Azure makes a distinction between "stopped" and "deallocated" states. Você será cobrado quando o status da VM for interrompido, mas não quando a VM for desalocada.You are charged when the VM status is stopped, but not when the VM is deallocated. No portal do Hub Azure Stack, o botão parar Desaloca a VM.In the Azure Stack Hub portal, the Stop button deallocates the VM. No entanto, se você desligar por meio do sistema operacional enquanto estiver conectado, a VM será interrompida, mas não desalocada e, portanto, você ainda será cobrado.If you shut down through the OS while logged in, the VM is stopped but not deallocated, so you will still be charged.

Excluindo uma VM.Deleting a VM. Se você excluir uma VM, os discos de VM não serão excluídos.If you delete a VM, the VM disks are not deleted. Isso significa que você poderá excluir com segurança a VM sem perda de dados.That means you can safely delete the VM without losing data. No entanto, você ainda será cobrado pelo armazenamento.However, you will still be charged for storage. Para excluir o disco da VM, exclua o objeto de disco gerenciado.To delete the VM disk, delete the managed disk object. Para evitar a exclusão acidental, use um bloqueio de recurso para bloquear o grupo de recursos inteiro ou bloquear recursos individuais, como uma VM.To prevent accidental deletion, use a resource lock to lock the entire resource group or lock individual resources, such as a VM.

Considerações sobre segurançaSecurity considerations

Integre suas VMs à central de segurança do Azure para obter uma exibição central do estado de segurança de seus recursos do Azure.Onboard your VMs to Azure Security Center to get a central view of the security state of your Azure resources. A Central de Segurança monitora problemas de segurança potenciais e fornece uma visão abrangente da integridade de segurança de sua implantação.Security Center monitors potential security issues and provides a comprehensive picture of the security health of your deployment. A Central de Segurança é configurada por assinatura do Azure.Security Center is configured per Azure subscription. Habilite a coleta de dados de segurança conforme descrito em Integrar a assinatura do Azure à Central de Segurança Standard.Enable security data collection as described in Onboard your Azure subscription to Security Center Standard. Depois que a coleta de dados for habilitada, a Central de Segurança examinará automaticamente todas as VMs criadas nessa assinatura.When data collection is enabled, Security Center automatically scans any VMs created under that subscription.

Gerenciamento de patches.Patch management. Para configurar o gerenciamento de patches em sua VM, consulte este artigo.To configure Patch management on your VM, refer to this article. Se for habilitada, a Central de Segurança verificará se quaisquer atualizações críticas e de segurança estão ausentes.If enabled, Security Center checks whether any security and critical updates are missing. Use as Configurações da Política de Grupo na VM para habilitar as atualizações automáticas do sistema.Use Group Policy settings on the VM to enable automatic system updates.

Antimalware.Antimalware. Se for habilitada, a Central de Segurança verificará se o software antimalware está instalado.If enabled, Security Center checks whether antimalware software is installed. Você também pode usar a Central de Segurança para instalar o software antimalware por meio do Portal do Azure.You can also use Security Center to install antimalware software from inside the Azure portal.

Controle de acesso.Access control. Use o RBAC (controle de acesso baseado em função) para controlar o acesso aos recursos do Azure.Use role-based access control (RBAC) to control access to Azure resources. O RBAC permite atribuir funções de autorização aos membros de sua equipe de DevOps.RBAC lets you assign authorization roles to members of your DevOps team. Por exemplo, a função Leitor pode exibir os recursos do Azure, mas não criar, gerenciar nem excluí-los.For example, the Reader role can view Azure resources but not create, manage, or delete them. Algumas permissões são específicas para determinado tipo de recurso do Azure.Some permissions are specific to an Azure resource type. Por exemplo, a função Colaborador da Máquina Virtual pode reiniciar ou desalocar uma VM, redefinir a senha de administrador, criar uma nova VM e, assim por diante.For example, the Virtual Machine Contributor role can restart or deallocate a VM, reset the administrator password, create a new VM, and so on. Outras funções RBAC internas que podem ser úteis para esta arquitetura incluem Usuário de DevTest Labs e Colaborador de Rede.Other built-in RBAC roles that may be useful for this architecture include DevTest Labs User and Network Contributor.

Observação

O RBAC não limita as ações que podem ser executadas por um usuário conectado a uma VM.RBAC does not limit the actions that a user logged into a VM can perform. Essas permissões são determinadas pelo tipo de conta no SO convidado.Those permissions are determined by the account type on the guest OS.

Logs de auditoria.Audit logs. Use logs de atividade para ver ações de provisionamento e outros eventos de VM.Use activity logs to see provisioning actions and other VM events.

Criptografia de dados.Data encryption. O Hub de Azure Stack usa a criptografia AES de 128 bits do BitLocker para proteger os dados de usuário e de infraestrutura em repouso no subsistema de armazenamento.Azure Stack Hub uses BitLocker 128-bit AES encryption to protect user and infrastructure data at rest in the storage subsystem. Para obter mais informações, consulte criptografia de dados em repouso no Hub de Azure Stack.For more information, see Data at rest encryption in Azure Stack Hub.

Próximas etapasNext steps