Executar uma máquina virtual Windows no Azure Stack HubRun a Windows virtual machine on Azure Stack Hub

O fornecimento de uma máquina virtual (VM) no Azure Stack Hub requer alguns componentes adicionais para além do próprio VM, incluindo recursos de networking e armazenamento.Provisioning a virtual machine (VM) in Azure Stack Hub requires some additional components besides the VM itself, including networking and storage resources. Este artigo mostra as melhores práticas para executar um Windows VM em Azure.This article shows best practices for running a Windows VM on Azure.

Arquitetura para Windows VM no Azure Stack Hub

Grupo de recursosResource group

Um grupo de recursos é um recipiente lógico que contém recursos relacionados com o Azure Stack Hub.A resource group is a logical container that holds related Azure Stack Hub resources. Em geral, os recursos de grupo baseados na sua vida e quem os vai gerir.In general, group resources based on their lifetime and who will manage them.

Coloque recursos estreitamente associados que partilhem o mesmo ciclo de vida no mesmo grupo de recursos.Put closely associated resources that share the same lifecycle into the same resource group. Os grupos de recursos permitem-lhe implementar e monitorizar recursos como um grupo e monitorizar os custos de faturação por grupo de recursos.Resource groups allow you to deploy and monitor resources as a group and track billing costs by resource group. Também pode eliminar recursos como conjunto, o que é útil para implementações de testes.You can also delete resources as a set, which is useful for test deployments. Atribua nomes significativos aos recursos para simplificar a localização de um recurso específico e compreender a sua função.Assign meaningful resource names to simplify locating a specific resource and understanding its role. Para obter mais informações, veja Convenções de Nomenclatura Recomendadas para Recursos do Azure.For more information, see Recommended Naming Conventions for Azure Resources.

Máquina virtualVirtual machine

Pode obter um VM a partir de uma lista de imagens publicadas, ou de uma imagem gerida por medida ou de um ficheiro de disco rígido virtual (VHD) enviado para o armazenamento do Azure Stack Hub Blob.You can provision a VM from a list of published images, or from a custom-managed image or virtual hard disk (VHD) file uploaded to Azure Stack Hub Blob storage.

O Azure Stack Hub oferece diferentes tamanhos de máquina virtual do Azure.Azure Stack Hub offers different virtual machine sizes from Azure. Para obter mais informações, consulte tamanhos para máquinas virtuais no Azure Stack Hub.For more information, see Sizes for virtual machines in Azure Stack Hub. Se estiver a mover uma carga de trabalho existente para o Azure Stack Hub, comece pelo tamanho VM que é a correspondência mais próxima dos seus servidores/Azure no local.If you are moving an existing workload to Azure Stack Hub, start with the VM size that's the closest match to your on-premises servers/Azure. Em seguida, meça o desempenho da sua carga de trabalho real em termos de cpu, memória e operações de entrada/saída de disco por segundo (IOPS), e ajuste o tamanho conforme necessário.Then measure the performance of your actual workload in terms of CPU, memory, and disk input/output operations per second (IOPS), and adjust the size as needed.

DiscosDisks

O custo tem por base a capacidade do disco aprovisionado.Cost is based on the capacity of the provisioned disk. O IOPS e a produção (isto é, taxa de transferência de dados) dependem do tamanho de VM, por isso, quando forja um disco, considere os três fatores (capacidade, IOPS e produção).IOPS and throughput (that is, data transfer rate) depend on VM size, so when you provision a disk, consider all three factors (capacity, IOPS, and throughput).

O IOPS do disco (Operações de entrada/saída por segundo) no Azure Stack Hub é uma função do tamanho VM em vez do tipo de disco.Disk IOPS (Input/Output Operations Per Second) on Azure Stack Hub is a function of VM size instead of the disk type. Isto significa que para uma série de Standard_Fs VM, independentemente de escolher SSD ou HDD para o tipo de disco, o limite de IOPS para um único disco de dados adicional é de 2300 IOPS.This means that for a Standard_Fs series VM, regardless of whether you choose SSD or HDD for the disk type, the IOPS limit for a single additional data disk is 2300 IOPS. O limite iops imposto é uma tampa (máximo possível) para evitar vizinhos barulhentos.The IOPS limit imposed is a cap (maximum possible) to prevent noisy neighbors. Não é uma garantia de IOPS que você vai obter um tamanho VM específico.It isn't an assurance of IOPS that you'll get on a specific VM size.

Recomendamos também a utilização de Discos Geridos.We also recommend using Managed Disks. Os discos geridos simplificam a gestão do disco manuseando o armazenamento para si.Managed disks simplify disk management by handling the storage for you. Os discos geridos não precisam de uma conta de armazenamento.Managed disks do not require a storage account. Basta especificar o tamanho e o tipo de disco e, em seguida, será implementado como um recurso de elevada disponibilidade.You simply specify the size and type of disk and it is deployed as a highly available resource.

O disco OS é um VHD armazenado no armazenamento de blob Azure Stack Hub, pelo que persiste mesmo quando a máquina hospedeira está avariada.The OS disk is a VHD stored in Azure Stack Hub blob storage, so it persists even when the host machine is down. Recomendamos também a criação de um ou mais discos de dados,que são VHDs persistentes utilizados para os dados da aplicação.We also recommend creating one or more data disks, which are persistent VHDs used for application data. Sempre que possível, instale as aplicações num disco de dados e não no disco do SO.When possible, install applications on a data disk, not the OS disk. Algumas aplicações legadas poderão ter de instalar componentes na unidade C:. Nesse caso, pode redimensionar o disco do SO através do PowerShell.Some legacy applications might need to install components on the C: drive; in that case, you can resize the OS disk using PowerShell.

O VM também é criado com um disco temporário (o D: unidade no Windows).The VM is also created with a temporary disk (the D: drive on Windows). Este disco é armazenado num volume temporário na infraestrutura de armazenamento Azure Stack Hub.This disk is stored on a temporary volume in the Azure Stack Hub storage infrastructure. Pode ser eliminado durante reinicializações e outros eventos de ciclo de vida em VM.It may be deleted during reboots and other VM lifecycle events. Utilize este disco apenas para dados temporários, tais como ficheiros de paginação ou de troca.Use this disk only for temporary data, such as page or swap files.

RedeNetwork

Os componentes de rede incluem os seguintes recursos:The networking components include the following resources:

  • Rede virtual.Virtual network. Cada VM é implantado numa rede virtual que pode ser segmentada em várias sub-redes.Every VM is deployed into a virtual network that can be segmented into multiple subnets.

  • Interface de rede (NIC).Network interface (NIC). A NIC permite à VM comunicar com a rede virtual.The NIC enables the VM to communicate with the virtual network. Se precisar de vários NICs para o seu VM, esteja ciente de que um número máximo de NICs é definido para cada tamanho VM.If you need multiple NICs for your VM, be aware that a maximum number of NICs is defined for each VM size.

  • Endereço IP público/ VIP.Public IP address/ VIP. É necessário um endereço IP público para comunicar com o VM — por exemplo, através de um ambiente de trabalho remoto (PDR).A public IP address is needed to communicate with the VM — for example, via remote desktop (RDP). O endereço IP público pode ser dinâmico ou estático.The public IP address can be dynamic or static. Por predefinição, é dinâmico.The default is dynamic.

  • Reserve um endereço IP estático se precisar de um endereço IP fixo que não se altere — por exemplo, se precisar de criar um registo DNS 'A' ou adicionar o endereço IP a uma lista de segurança.Reserve a static IP address if you need a fixed IP address that won't change — for example, if you need to create a DNS 'A' record or add the IP address to a safe list.

  • Também pode criar um nome de domínio completamente qualificado (FQDN) para o endereço IP.You can also create a fully qualified domain name (FQDN) for the IP address. Depois, pode registar um registo CNAME no DNS que aponte para o FQDN.You can then register a CNAME record in DNS that points to the FQDN. Para obter mais informações, consulte Criar um nome de domínio totalmente qualificado no portal Azure.For more information, see Create a fully qualified domain name in the Azure portal.

  • Grupo de segurança de rede (NSG).Network security group (NSG). Os NSGs são usados para permitir ou negar o tráfego de rede para VMs.NSGs are used to allow or deny network traffic to VMs. Os NSGs podem ser associados quer com sub-redes, quer com instâncias VM individuais.NSGs can be associated either with subnets or with individual VM instances.

Todos os NSGs contêm um conjunto de regras predefinidas, incluindo uma regra que bloqueia todo o tráfego de entrada da Internet.All NSGs contain a set of default rules, including a rule that blocks all inbound Internet traffic. Não é possível eliminar as regras predefinidas, mas estas podem ser substituídas por outras.The default rules cannot be deleted, but other rules can override them. Para ativar o tráfego na Internet, crie regras que permitam o tráfego de entrada para portas específicas - por exemplo, a porta 80 para HTTP.To enable Internet traffic, create rules that allow inbound traffic to specific ports — for example, port 80 for HTTP. Para ativar o RDP, adicione uma regra do NSG que permita o tráfego de entrada para a porta TCP 3389.To enable RDP, add an NSG rule that allows inbound traffic to TCP port 3389.

OperaçõesOperations

Diagnósticos.Diagnostics. Permitir a monitorização e diagnósticos, incluindo métricas básicas de saúde, registos de infraestruturas de diagnóstico e diagnósticos de arranque.Enable monitoring and diagnostics, including basic health metrics, diagnostics infrastructure logs, and boot diagnostics. Os diagnósticos de arranque poderão ajudá-lo a diagnosticar falhas no arranque se a VM não estiver no estado de arranque.Boot diagnostics can help you diagnose boot failure if your VM gets into a non-bootable state. Crie uma conta de Armazenamento Azure para armazenar os registos.Create an Azure Storage account to store the logs. Para conter os registos de diagnósticos, é suficiente uma conta de armazenamento localmente redundante (LRS) standard.A standard locally redundant storage (LRS) account is sufficient for diagnostic logs. Para obter mais informações, veja Enable monitoring and diagnostics (Ativar a monitorização e os diagnósticos).For more information, see Enable monitoring and diagnostics.

Disponibilidade.Availability. O seu VM pode estar sujeito a um reboot devido à manutenção planeada, conforme programado pelo operador Azure Stack Hub.Your VM may be subject to a reboot due to planned maintenance as scheduled by the Azure Stack Hub operator. Para uma elevada disponibilidade de um sistema de produção multi-VM em Azure, os VMs são colocados num conjunto de disponibilidade que os espalha por vários domínios de falha e domínios de atualização.For high availability of a multi-VM production system in Azure, VMs are placed in an availability set that spreads them across multiple fault domains and update domains. Na escala menor do Azure Stack Hub, um domínio de falha num conjunto de disponibilidade é definido como um único nó na unidade de escala.In the smaller scale of Azure Stack Hub, a fault domain in an availability set is defined as a single node in the scale unit.

Embora a infraestrutura do Azure Stack Hub já seja resiliente a falhas, a tecnologia subjacente (clustering failover) ainda incorre em algum tempo de paragem para VMs num servidor físico impactado se houver uma falha de hardware.While the infrastructure of Azure Stack Hub is already resilient to failures, the underlying technology (failover clustering) still incurs some downtime for VMs on an impacted physical server if there's a hardware failure. O Azure Stack Hub suporta ter um conjunto de disponibilidade com um máximo de três domínios de falha para ser consistente com o Azure.Azure Stack Hub supports having an availability set with a maximum of three fault domains to be consistent with Azure.

Domínios de falhaFault domains Os VMs colocados num conjunto de disponibilidade serão fisicamente isolados uns dos outros, espalhando-os da forma mais uniforme possível sobre vários domínios de avaria (nós Azure Stack Hub).VMs placed in an availability set will be physically isolated from each other by spreading them as evenly as possible over multiple fault domains (Azure Stack Hub nodes). Se houver uma falha de hardware, os VMs do domínio de avarias falhados serão reiniciados noutros domínios de avaria.If there's a hardware failure, VMs from the failed fault domain will be restarted in other fault domains. Serão mantidos em domínios de avaria separados dos outros VMs, mas no mesmo conjunto de disponibilidade, se possível.They'll be kept in separate fault domains from the other VMs but in the same availability set if possible. Quando o hardware voltar a estar online, os VMs serão reequilibridos para manter a alta disponibilidade.When the hardware comes back online, VMs will be rebalanced to maintain high availability.
Domínios de atualizaçãoUpdate domains Os domínios de atualização são outra forma de o Azure fornecer uma elevada disponibilidade em conjuntos de disponibilidade.Update domains are another way that Azure provides high availability in availability sets. Um domínio de atualização é um grupo lógico de hardware subjacente que pode ser submetido a manutenção ao mesmo tempo.An update domain is a logical group of underlying hardware that can undergo maintenance at the same time. Os VMs localizados no mesmo domínio de atualização serão reiniciados em conjunto durante a manutenção planeada.VMs located in the same update domain will be restarted together during planned maintenance. À medida que os inquilinos criam VMs dentro de um conjunto de disponibilidade, a plataforma Azure distribui automaticamente VMs por estes domínios de atualização.As tenants create VMs within an availability set, the Azure platform automatically distributes VMs across these update domains.
No Azure Stack Hub, os VMs são migrados ao vivo através dos outros anfitriões online no cluster antes do seu hospedeiro subjacente ser atualizado.In Azure Stack Hub, VMs are live migrated across the other online hosts in the cluster before their underlying host is updated. Uma vez que não há tempo de inatividade durante uma atualização do anfitrião, a funcionalidade de domínio de atualização no Azure Stack Hub só existe para compatibilidade de modelos com Azure.Since there's no tenant downtime during a host update, the update domain feature on Azure Stack Hub only exists for template compatibility with Azure. Os VMs num conjunto de disponibilidade mostrarão 0 como número de domínio de atualização no portal.VMs in an availability set will show 0 as their update domain number on the portal.

Backups Para recomendações sobre a proteção dos seus VMs Azure Stack Hub IaaS, proteja os VMs implantados no Azure Stack Hub.Backups For recommendations on protecting your Azure Stack Hub IaaS VMs, reference Protect VMs deployed on Azure Stack Hub.

Parar um VM.Stopping a VM. O Azure faz uma distinção entre os estados “parada” e “desalocada”.Azure makes a distinction between "stopped" and "deallocated" states. Se o estado da VM for "parada", será cobrado, mas não se for "desalocada".You are charged when the VM status is stopped, but not when the VM is deallocated. No portal Azure Stack Hub, o botão Stop desloca-se ao VM.In the Azure Stack Hub portal, the Stop button deallocates the VM. Se encerrar com o SO enquanto tiver sessão iniciada, a VM será parada, mas não desalocada, pelo que continuarão a ser cobrado custos.If you shut down through the OS while logged in, the VM is stopped but not deallocated, so you will still be charged.

Apagar um VM.Deleting a VM. Se eliminar um VM, os discos VM não são eliminados.If you delete a VM, the VM disks are not deleted. Isto significa que pode eliminar em segurança a VM sem perder dados.That means you can safely delete the VM without losing data. No entanto, ainda lhe será cobrado o armazenamento.However, you will still be charged for storage. Para eliminar o disco VM, elimine o objeto de disco gerido.To delete the VM disk, delete the managed disk object. Para impedir a eliminação acidental, utilize um bloqueio de recursos para bloquear o grupo de recursos inteiro ou bloqueie recursos individuais, como a VM.To prevent accidental deletion, use a resource lock to lock the entire resource group or lock individual resources, such as a VM.

Considerações de segurançaSecurity considerations

A bordo dos seus VMs para o Centro de Segurança Azure para ter uma visão central do estado de segurança dos seus recursos Azure.Onboard your VMs to Azure Security Center to get a central view of the security state of your Azure resources. O Centro de Segurança monitoriza potenciais problemas de segurança e fornece uma visão global do estado de funcionamento da segurança da sua implementação.Security Center monitors potential security issues and provides a comprehensive picture of the security health of your deployment. O Centro de Segurança está configurado por subscrição do Azure.Security Center is configured per Azure subscription. Ativar a recolha de dados de segurança, conforme descrito no Azure, a subscrição do Centro de Segurança.Enable security data collection as described in Onboard your Azure subscription to Security Center Standard. Quando a recolha de dados está ativada, o Centro de Segurança analisa automaticamente todas as VMs criadas nessa subscrição.When data collection is enabled, Security Center automatically scans any VMs created under that subscription.

Gestão de remendos.Patch management. Para configurar a gestão de Patch no seu VM, consulte este artigo.To configure Patch management on your VM, refer to this article. Se estiver ativada, o Centro de Segurança verifica se as atualizações críticas e de segurança estão em falta.If enabled, Security Center checks whether any security and critical updates are missing. Utilize definições da Política de Grupo na VM para ativar as atualizações de sistema automáticas.Use Group Policy settings on the VM to enable automatic system updates.

Antimalware.Antimalware. Se estiver ativado, o Centro de Segurança verifica se está instalado software antimalware.If enabled, Security Center checks whether antimalware software is installed. Também pode utilizar o Centro de Segurança para instalar software antimalware no portal do Azure.You can also use Security Center to install antimalware software from inside the Azure portal.

Controlo de acessos.Access control. Utilize o controlo de acesso baseado em funções (RBAC) para controlar o acesso aos recursos da Azure.Use role-based access control (RBAC) to control access to Azure resources. O RBAC permite-lhe atribuir funções de autorização a membros da sua equipa de DevOps.RBAC lets you assign authorization roles to members of your DevOps team. Por exemplo, a Função Leitor pode ver recursos do Azure, mas não criá-los, geri-los nem eliminá-los.For example, the Reader role can view Azure resources but not create, manage, or delete them. Algumas permissões são específicas de um tipo de recurso Azure.Some permissions are specific to an Azure resource type. Por exemplo, a função Contribuidor de Máquina Virtual pode reiniciar ou desalocar uma VM, repor a palavra-passe de administrador, criar uma nova VM e assim sucessivamente.For example, the Virtual Machine Contributor role can restart or deallocate a VM, reset the administrator password, create a new VM, and so on. Outras funções RBAC incorporadas que podem ser úteis para esta arquitetura incluem Utilizador de DevTest Labs e Contribuidor de Rede.Other built-in RBAC roles that may be useful for this architecture include DevTest Labs User and Network Contributor.

Nota

O RBAC não limita as ações que os utilizadores que tenham sessão iniciada numa VM podem fazer.RBAC does not limit the actions that a user logged into a VM can perform. Estas permissões são determinadas pelo tipo de conta no SO convidado.Those permissions are determined by the account type on the guest OS.

Registos de auditoria.Audit logs. Utilize registos de atividades para ver ações de provisionamento e outros eventos de VM.Use activity logs to see provisioning actions and other VM events.

Encriptação de dados.Data encryption. O Azure Stack Hub utiliza encriptação AES bitLocker de 128 bits para proteger os dados do utilizador e da infraestrutura em repouso no subsistema de armazenamento.Azure Stack Hub uses BitLocker 128-bit AES encryption to protect user and infrastructure data at rest in the storage subsystem. Para obter mais informações, consulte dados em repouso encriptação no Azure Stack Hub.For more information, see Data at rest encryption in Azure Stack Hub.

Passos seguintesNext steps