Executar uma máquina virtual Linux no Azure Stack Hub

O fornecimento de uma máquina virtual (VM) no Azure Stack Hub, como o Azure, requer alguns componentes adicionais para além do próprio VM, incluindo recursos de networking e armazenamento. Este artigo mostra as melhores práticas para executar um Linux VM no Azure Stack Hub.

Arquitetura para Linux VM no Azure Stack Hub

Grupo de recursos

Um grupo de recursos é um recipiente lógico que contém recursos relacionados com o Azure Stack Hub. Em geral, os recursos de grupo baseados na sua vida e quem os vai gerir.

Coloque recursos estreitamente associados que partilhem o mesmo ciclo de vida no mesmo grupo de recursos. Os grupos de recursos permitem-lhe implementar e monitorizar recursos como um grupo e monitorizar os custos de faturação por grupo de recursos. Também pode eliminar recursos como conjunto, o que é útil para implementações de testes. Atribua nomes significativos aos recursos para simplificar a localização de um recurso específico e compreender a sua função. Para obter mais informações, veja Convenções de Nomenclatura Recomendadas para Recursos do Azure.

Máquina virtual

Pode obter um VM a partir de uma lista de imagens publicadas, ou de uma imagem gerida por medida ou ficheiro de disco rígido virtual (VHD) enviado para o armazenamento do Azure Stack Hub Blob. O Azure Stack Hub suporta a execução de várias distribuições populares do Linux, incluindo CentOS, Debian, Red Hat Enterprise, Ubuntu e SUSE. Para mais informações, consulte Linux no Azure Stack Hub. Pode também optar por sindicalizar uma das imagens lúux publicadas que estão disponíveis no Azure Stack Hub Marketplace.

O Azure Stack Hub oferece diferentes tamanhos de máquina virtual do Azure. Para obter mais informações, consulte tamanhos para máquinas virtuais no Azure Stack Hub. Se estiver a mover uma carga de trabalho existente para o Azure Stack Hub, comece com o tamanho VM que é a correspondência mais próxima dos seus servidores/Azure no local. Em seguida, meça o desempenho da sua carga de trabalho real em termos de CPU, memória e operações de entrada/saída de disco por segundo (IOPS), e ajuste o tamanho conforme necessário.

Discos

O custo tem por base a capacidade do disco aprovisionado. O IOPS e a produção (isto é, taxa de transferência de dados) dependem do tamanho de VM, por isso, quando forja um disco, considere os três fatores (capacidade, IOPS e produção).

O IOPS do disco (Operações de entrada/saída por segundo) no Azure Stack Hub é uma função do tamanho VM em vez do tipo de disco. Isto significa que para uma série de Standard_Fs VM, independentemente de escolher SSD ou HDD para o tipo de disco, o limite de IOPS para um único disco de dados adicional é de 2300 IOPS. O limite IOPS imposto é uma tampa (máximo possível) para evitar vizinhos barulhentos. Não é uma garantia de IOPS que você vai obter um tamanho VM específico.

Recomendamos também a utilização de Discos Geridos. Os discos geridos simplificam a gestão do disco manuseando o armazenamento para si. Os discos geridos não precisam de uma conta de armazenamento. Basta especificar o tamanho e o tipo de disco e, em seguida, será implementado como um recurso de elevada disponibilidade.

O disco OS é um VHD armazenado no Azure Stack Hub Armazenamento, pelo que persiste mesmo quando a máquina de hospedeiro está avariada. Para os VMs Linux, o disco OS é /dev/sda1. Recomendamos também a criação de um ou mais discos de dados,que são VHDs persistentes utilizados para os dados da aplicação.

Quando cria um VHD, os discos de dados não estão formatados. Inicie sessão na VM para formatar o disco. Na concha Linux, os discos de dados são apresentados como /dev/sdc, /dev/sdd, e assim por diante. Pode executar a Lista de Dispositivos de Bloqueio, incluindo os discos. Para utilizar um disco de dados, crie uma partição e um sistema de ficheiros e monte o disco. Por exemplo:

# Create a partition.
sudo fdisk /dev/sdc \# Enter 'n' to partition, 'w' to write the change.

# Create a file system.
sudo mkfs -t ext3 /dev/sdc1

# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1

Quando adiciona um disco de dados, é-lhe atribuído um número de unidade lógica (LUN). Opcionalmente, pode especificar o ID LUN -- por exemplo, se estiver a substituir um disco e quiser reter o mesmo ID LUN, ou se tiver uma aplicação que procura um ID LUN específico. Contudo, lembre-se de que os IDs de LUNs têm de ser exclusivos para cada disco.

A VM é criada com um disco temporário. Este disco é armazenado num volume temporário na infraestrutura de armazenamento Azure Stack Hub. Pode ser eliminado durante reinicializações e outros eventos de ciclo de vida em VM. Utilize este disco apenas para dados temporários, tais como ficheiros de paginação ou de troca. Para os LM Linux, o disco temporário é /dev/sdb1 e é montado em /mnt/recurso ou /mnt.

Rede

Os componentes de rede incluem os seguintes recursos:

  • Rede virtual. Cada VM é implantado numa rede virtual que pode ser segmentada em várias sub-redes.

  • Interface de rede (NIC). A NIC permite à VM comunicar com a rede virtual. Se precisar de vários NICs para o seu VM, esteja ciente de que um número máximo de NICs é definido para cada tamanho VM.

  • Endereço IP público/ VIP. É necessário um endereço IP público para comunicar com o VM -- por exemplo, através de um ambiente de trabalho remoto (PDR). O endereço IP público pode ser dinâmico ou estático. Por predefinição, é dinâmico. Se precisar de vários NICs para o seu VM, esteja ciente de que um número máximo de NICs é definido para cada tamanho VM.

  • Também pode criar um nome de domínio completamente qualificado (FQDN) para o endereço IP. Depois, pode registar um registo CNAME no DNS que aponte para o FQDN. Para obter mais informações, consulte Criar um nome de domínio totalmente qualificado no portal Azure.

  • Grupo de segurança de rede (NSG). Os Grupos de Segurança da Rede são utilizados para permitir ou negar o tráfego de rede a VMs. Os NSGs podem ser associados quer com sub-redes, quer com instâncias VM individuais.

Todos os NSGs contêm um conjunto de regras predefinidas, incluindo uma regra que bloqueia todo o tráfego de entrada da Internet. Não é possível eliminar as regras predefinidas, mas estas podem ser substituídas por outras. Para ativar o tráfego de Internet, crie regras que permitam o tráfego de entrada para portas específicas -- por exemplo, porta 80 para HTTP. Para ativar o SSH, adicione uma regra do NSG que permita o tráfego de entrada para a porta TCP 22.

Operações

SSH. Antes de criar uma VM do Linux, gere um par de chaves públicas-privadas de RSA 2048 bits. Utilize o ficheiro de chave pública quando criar a VM. Para mais informações, consulte Como Utilizar o SSH com o Linux no Azure.

Diagnósticos. Ative a monitorização e os diagnósticos, incluindo métricas básicas de estado de funcionamento, registos de infraestrutura de diagnósticos e diagnósticos de arranque. Os diagnósticos de arranque poderão ajudá-lo a diagnosticar falhas no arranque se a VM não estiver no estado de arranque. Crie uma conta Armazenamento Azure para armazenar os registos. Para conter os registos de diagnósticos, é suficiente uma conta de armazenamento localmente redundante (LRS) standard. Para obter mais informações, veja Enable monitoring and diagnostics (Ativar a monitorização e os diagnósticos).

Disponibilidade. O seu VM pode estar sujeito a um reboot devido à manutenção planeada, conforme programado pelo operador Azure Stack Hub. Para maior disponibilidade, implemente várias VMs num conjunto de disponibilidade.

Backups Para recomendações sobre a proteção dos seus VMs Azure Stack Hub IaaS, consulte este artigo.

Parar um VM. O Azure faz uma distinção entre os estados “parada” e “desalocada”. Se o estado da VM for "parada", será cobrado, mas não se for "desalocada". No portal Azure Stack Hub, o botão Stop desloca o VM. Se encerrar com o SO enquanto tiver sessão iniciada, a VM será parada, mas não desalocada, pelo que continuarão a ser cobrado custos.

Apagar um VM. Se eliminar um VM, os discos VM não são eliminados. Isto significa que pode eliminar em segurança a VM sem perder dados. No entanto, ainda lhe será cobrado o armazenamento. Para eliminar o disco VM, elimine o objeto de disco gerido. Para impedir a eliminação acidental, utilize um bloqueio de recursos para bloquear o grupo de recursos inteiro ou bloqueie recursos individuais, como a VM.

Considerações de segurança

Embarque nos seus VMs para o Centro de Segurança Azure para ter uma visão central do estado de segurança dos seus recursos Azure. O Centro de Segurança monitoriza potenciais problemas de segurança e fornece uma visão global do estado de funcionamento da segurança da sua implementação. O Centro de Segurança está configurado por subscrição do Azure. Ativar a recolha de dados de segurança, conforme descrito no Azure, a subscrição do Centro de Segurança. Quando a recolha de dados está ativada, o Centro de Segurança analisa automaticamente todas as VMs criadas nessa subscrição.

Gestão de remendos. Para configurar a gestão de Patch no seu VM, consulte este artigo. Se estiver ativada, o Centro de Segurança verifica se as atualizações críticas e de segurança estão em falta. Utilize definições da Política de Grupo na VM para ativar as atualizações de sistema automáticas.

Antimalware. Se estiver ativado, o Centro de Segurança verifica se está instalado software antimalware. Também pode utilizar o Centro de Segurança para instalar software antimalware no portal do Azure.

Controlo de acessos. Utilize o controlo de acesso baseado em funções (RBAC) para controlar o acesso aos recursos do Azure. O RBAC permite-lhe atribuir funções de autorização a membros da sua equipa de DevOps. Por exemplo, a Função Leitor pode ver recursos do Azure, mas não criá-los, geri-los nem eliminá-los. Algumas permissões são específicas de um tipo de recurso Azure. Por exemplo, a função Contribuidor de Máquina Virtual pode reiniciar ou desalocar uma VM, repor a palavra-passe de administrador, criar uma nova VM e assim sucessivamente. Outras funções RBAC incorporadas que podem ser úteis para esta arquitetura incluem Utilizador de DevTest Labs e Contribuidor de Rede.

Nota

O RBAC não limita as ações que os utilizadores que tenham sessão iniciada numa VM podem fazer. Estas permissões são determinadas pelo tipo de conta no SO convidado.

Registos de auditoria. Utilize registos de atividades para ver ações de provisionamento e outros eventos de VM.

Encriptação de dados. O Azure Stack Hub protege os dados do utilizador e da infraestrutura ao nível do subsistema de armazenamento utilizando a encriptação em repouso. O subsistema de armazenamento do Azure Stack Hub é encriptado utilizando o BitLocker com encriptação AES de 128 bits. Consulte este artigo para mais detalhes.

Passos seguintes