Executar uma VM do Windows no Azure

Backup
Armazenamento de Blobs
Azure Resource Manager
Armazenamento
Máquinas Virtuais

O provisionamento de uma VM (máquina virtual) no Azure requer alguns componentes adicionais além da própria VM, incluindo recursos de rede e armazenamento. Este artigo mostra as melhores práticas para executar uma VM do Windows no Azure.

VM do Windows no Azure

Resource group

Um grupo de recursos é um contêiner lógico que armazena os recursos relacionados ao Azure. Em geral, recursos de grupo baseados em seu tempo de vida e que vão gerenciá-los.

Coloque recursos estreitamente associados que compartilhem o mesmo ciclo de vida no mesmo grupo de recursos. Os grupos de recursos permitem implantar e monitorar recursos como um grupo e rastrear custos de cobrança por grupo de recursos. Também é possível excluir recursos como um conjunto, o que é muito útil para implantações de teste. Atribua nomes de recursos significativos para simplificar a localização de um recurso específico e o reconhecimento de sua função. Para obter mais informações, consulte Convenções de nomenização recomendadas para recursos do Azure.

Máquina virtual

Você pode provisionar uma VM a partir de uma lista de imagens publicadas, de um arquivo gerenciado personalizado ou um arquivo de VHD (disco rígido virtual) carregado no armazenamento Blobs do Azure.

O Azure oferece vários tamanhos de máquinas virtuais diferentes. Para obter mais informações, confira Tamanhos das máquinas virtuais no Azure. Se você estiver movendo uma carga de trabalho existente para o Azure, deverá começar com o tamanho da VM que mais se aproxima de seus servidores locais. Em seguida, meça o desempenho da carga de trabalho real em termos de CPU, memória e IOPS (operações de entrada/saída de disco por segundo) e ajuste o tamanho conforme a necessidade.

Em geral, escolha a região do Azure que esteja mais próxima de seus usuários internos ou clientes. Nem todos os tamanhos de VM estão disponíveis em todas as regiões. Para obter mais informações, consulte Serviços por região. Para ver uma lista dos tamanhos de VM disponíveis em uma região específica, execute o seguinte comando no CLI do Azure:

az vm list-sizes --location <location>

Para obter informações sobre como escolher uma imagem de VM publicada, consulte Localizar imagens de VM do Windows.

Discos

Para um melhor desempenho de E/S de disco, recomendamos o Armazenamento Premium, que armazena dados em SSDs (unidades de estado sólido). O custo é baseado na capacidade do disco provisionado. O IOPS e a taxa de transferência também dependem do tamanho do disco. Portanto, ao provisionar um disco, considere todos os três fatores (capacidade, IOPS e taxa de transferência).

Também é recomendável usar Managed Disks. Os discos gerenciados simplificam o gerenciamento de disco manipulando o armazenamento por você. Os discos gerenciados não exigem uma conta de armazenamento. Você simplesmente especifica o tamanho e o tipo de disco e ele é implantado como um recurso altamente disponível

O disco de OS é um VHD armazenado no Armazenamento do Microsoft Azure , de modo que ele persiste mesmo quando o computador host está desligado. Também é recomendável criar um ou mais discos de dados, que são VHDs persistentes usados para dados de aplicativo. Quando possível, instale aplicativos em um disco de dados, não no disco do sistema operacional. Algumas aplicações legadas podem precisar instalar componentes na unidade C:. Nesse caso, você pode redimensionar o disco de SO utilizando o PowerShell.

A VM também é criada com um disco temporário (a unidade D: no Windows). Esse disco é armazenado em uma unidade física no computador host. Ele não é salvo no Armazenamento do Microsoft Azure e pode ser excluído durante a reinicialização e outros eventos de ciclo de vida da VM. Use esse disco somente para dados temporários, como arquivos de paginação ou de permuta.

Rede

Os componentes de rede incluem os seguintes recursos:

  • Rede virtual. Cada VM é implantada em uma rede virtual que pode ser segmentada em várias sub-redes.

  • NIC (interface de rede). A NIC permite que a VM se comunique com a rede virtual. Se você precisar de vários NICs para sua VM, esteja ciente de que existe um número máximo de NICs definido para cada tamanho de VM.

  • Endereço IP público. Um endereço IP público é necessário para se comunicar com a VM — por exemplo, sobre RDP (área de trabalho remota). Esse endereço IP público pode ser dinâmico ou estático. O padrão é dinâmico.

  • Reserve um endereço IP estático se precisar de um endereço IP fixo que não mudará, —por exemplo, se precisar criar um registro 'A' de DNS ou adicionar o IP endereço para uma lista segura.

  • Você também pode criar um FQDN (nome de domínio totalmente qualificado) para o endereço IP. Em seguida, é possível registrar um registro CNAME no DNS que aponta para o FQDN. Para saber mais, consulte Criar um nome de domínio totalmente qualificado no Portal do Azure.

  • NSG (grupo de segurança de rede). Os Grupos de segurança de rede são utilizados para permitir ou recusar o tráfego de rede a VMs. Os NSGs podem ser associados com sub-redes ou com instâncias VM individuais.

Todos os NSGs contêm um conjunto de regras padrão, incluindo uma regra que bloqueia todo o tráfego de Internet de entrada. As regras padrão não podem ser excluídas, mas outras regras podem substituí-las. Para habilitar o tráfego de Internet, crie regras que permitam o tráfego de entrada em portas específicas — por exemplo, a porta 80 para HTTP. Para habilitar o RDP, adicione uma regra NSG que permita o tráfego de entrada na porta TCP 3389.

Operations

Diagnóstico. Habilite o monitoramento e diagnóstico, incluindo métricas de integridade básicas, logs de infraestrutura de diagnóstico e diagnóstico de inicialização. O diagnóstico de inicialização poderá ajudar a diagnosticar uma falha de inicialização se sua VM entrar em um estado não inicializável. Crie uma conta do Armazenamento do Azure para armazenar os logs. Uma conta LRS (armazenamento com redundância local) padrão é suficiente para os logs de diagnóstico. Para saber mais, confira Habilitar monitoramento e diagnóstico.

Disponibilidade. Sua VM pode ser afetada por manutenção planejada ou por tempo de inatividade não planejado. Você pode usar os logs de reinicialização da VM para determinar se uma reinicialização da VM foi causada por manutenção planejada. Para maior disponibilidade, implante várias VMs em um conjunto de disponibilidade. Essa configuração fornece um maior SLA (contrato de nível de serviço).

Backups Para se proteger contra perda acidental de dados, use o serviço Backup do Azure a fim de fazer o backup das VMs em um armazenamento com redundância geográfica. O Backup do Azure fornece backups consistentes com o aplicativo.

Interrompendo uma VM. O Azure faz uma distinção entre os estados "parado" e "desalocado". Você será cobrado quando o status da VM for interrompido, mas não quando a VM for desalocada. No Portal do Azure, o botão Parar desaloca a VM. No entanto, se você desligar por meio do sistema operacional enquanto estiver conectado, a VM será interrompida, mas não desalocada e, portanto, você ainda será cobrado.

Excluindo uma VM. Se você excluir uma VM, os VHDs não serão excluídos. Isso significa que você poderá excluir com segurança a VM sem perda de dados. No entanto, você ainda será cobrado pelo armazenamento. Para excluir o VHD, exclua o arquivo do Armazenamento de blobs. Para evitar a exclusão acidental, use um bloqueio de recurso para bloquear o grupo de recursos inteiro ou bloquear recursos individuais, como uma VM.

Considerações de custo

Há várias opções para tamanhos de VM, dependendo do uso e da carga de trabalho. O intervalo inclui a opção mais econômica da série Bs para as VMs de GPU mais novas otimizadas para aprendizado de máquina. Para obter informações sobre as opções disponíveis, consulte Preços Windows VM do Azure.

Para cargas de trabalho sem tempo previsível de conclusão ou consumo de recursos, considere a opção Pagar conforme o uso.

Considere o uso de Reservas do Azure se você puder se comprometer a usar uma máquina virtual em um período de um ou três anos. As reservas de VM podem reduzir os custos em até 72% em comparação com os preços pré-pago.

Use VMs spot do Azure para executar cargas de trabalho que podem ser interrompidas e não exigem a conclusão dentro de um período predeterminado ou um SLA. O Azure implantará VMs Spot se houver capacidade disponível e será despejado quando precisar da capacidade de volta. Os custos associados às máquinas virtuais spot são significativamente menores. Considere as VMs spot para essas cargas de trabalho:

  • Cenários de computação de alto desempenho, trabalhos de processamento em lotes ou aplicativos de renderização visual.
  • Ambientes de teste, incluindo cargas de trabalho de integração contínua e entrega contínua.
  • Aplicativos sem estado em grande escala.

Use a [Calculadora de Preços do Azure][azure-pricing-calculator] para estimar os custos.

Para obter mais informações, confira a seção de custo em Estrutura Bem Projetada do Microsoft Azure.

Considerações de segurança

Use a Central de Segurança do Azure para obter uma exibição central do estado da segurança de seus recursos do Azure. A Central de Segurança monitora problemas de segurança potenciais e fornece uma visão abrangente da integridade de segurança de sua implantação. A Central de Segurança é configurada por assinatura do Azure. Habilite a coleta de dados de segurança conforme descrito em Integrar a assinatura do Azure à Central de Segurança Standard. Depois que a coleta de dados for habilitada, a Central de Segurança examinará automaticamente todas as VMs criadas nessa assinatura.

Gerenciamento de patches. Se for habilitada, a Central de Segurança verificará se quaisquer atualizações críticas e de segurança estão ausentes. Use as Configurações da Política de Grupo na VM para habilitar as atualizações automáticas do sistema.

Antimalware. Se for habilitada, a Central de Segurança verificará se o software antimalware está instalado. Você também pode usar a Central de Segurança para instalar o software antimalware por meio do Portal do Azure.

Controle de acesso. Use o controle de acesso baseado em função do Azure (RBAC do Azure) para controlar o acesso aos recursos do Azure. o RBAC do Azure permite que você atribua funções de autorização a membros de sua equipe de DevOps. Por exemplo, a função Leitor pode exibir os recursos do Azure, mas não criar, gerenciar nem excluí-los. Algumas permissões são específicas para determinado tipo de recurso do Azure. Por exemplo, a função Colaborador da Máquina Virtual pode reiniciar ou desalocar uma VM, redefinir a senha de administrador, criar uma nova VM e, assim por diante. Outras funções internas que podem ser úteis para essa arquitetura incluem usuário e colaborador de rededo DevTest Labs .

Observação

O RBAC do Azure não limita as ações que um usuário conectado a uma VM pode executar. Essas permissões são determinadas pelo tipo de conta no SO convidado.

Logs de auditoria. Use os logs de auditoria para ver as ações de provisionamento e outros eventos da VM.

Criptografia de dados. Use o Azure Disk Encryption se você precisa criptografar os discos do sistema operacional e de dados.

Considerações de DevOps

Use o IaC (infraestrutura como código) usando um único modelo de Azure Resource Manager para provisionar os recursos do Azure (abordagem declarativa) ou usando um único script do PowerShell (abordagem imperativa). como todos os recursos estão na mesma rede virtual, eles são isolados na mesma carga de trabalho básica, o que torna mais fácil associar os recursos específicos da carga de trabalho a uma equipe de DevOps, para que a equipe possa gerenciar de forma independente todos os aspectos desses recursos. esse isolamento permite que a equipe de DevOps e os serviços executem a integração contínua e a entrega contínua (CI/CD).

além disso, você pode usar diferentes modelos de Azure Resource Manager e integrá-los ao Azure DevOps Services para provisionar ambientes diferentes em minutos, por exemplo, para replicar a produção, como cenários ou ambientes de teste de carga, somente quando necessário, economizando custo.

para obter mais arquitetura de disponibilidade, consulte Windows aplicativo de N camadas no Azure com SQL Server, a arquitetura de referência inclui mais de uma vm e cada vm é incluída em um conjunto de disponibilidade.

Considere usar o Azure Monitor para analisar e otimizar o desempenho de sua infraestrutura e monitorar e diagnosticar problemas de rede sem fazer logon em suas máquinas virtuais.

Para obter mais informações, consulte a seção excelência operacional no Azure Well-Architected Framework.

Próximas etapas