Executar uma máquina virtual Windows no Azure Stack Hub

O fornecimento de uma máquina virtual (VM) no Azure Stack Hub requer alguns componentes adicionais para além do próprio VM, incluindo recursos de networking e armazenamento. Este artigo mostra as melhores práticas para executar um Windows VM em Azure.

Arquitetura para Windows VM no Azure Stack Hub

Grupo de recursos

Um grupo de recursos é um recipiente lógico que contém recursos relacionados com o Azure Stack Hub. Em geral, os recursos de grupo baseados na sua vida e quem os vai gerir.

Coloque recursos estreitamente associados que partilhem o mesmo ciclo de vida no mesmo grupo de recursos. Os grupos de recursos permitem-lhe implementar e monitorizar recursos como um grupo e monitorizar os custos de faturação por grupo de recursos. Também pode eliminar recursos como conjunto, o que é útil para implementações de testes. Atribua nomes significativos aos recursos para simplificar a localização de um recurso específico e compreender a sua função. Para obter mais informações, veja Convenções de Nomenclatura Recomendadas para Recursos do Azure.

Máquina virtual

Pode obter um VM a partir de uma lista de imagens publicadas, ou de uma imagem gerida por medida ou ficheiro de disco rígido virtual (VHD) enviado para o armazenamento do Azure Stack Hub Blob.

O Azure Stack Hub oferece diferentes tamanhos de máquina virtual do Azure. Para obter mais informações, consulte tamanhos para máquinas virtuais no Azure Stack Hub. Se estiver a mover uma carga de trabalho existente para o Azure Stack Hub, comece com o tamanho VM que é a correspondência mais próxima dos seus servidores/Azure no local. Em seguida, meça o desempenho da sua carga de trabalho real em termos de CPU, memória e operações de entrada/saída de disco por segundo (IOPS), e ajuste o tamanho conforme necessário.

Discos

O custo tem por base a capacidade do disco aprovisionado. O IOPS e a produção (isto é, taxa de transferência de dados) dependem do tamanho de VM, por isso, quando forja um disco, considere os três fatores (capacidade, IOPS e produção).

O IOPS do disco (Operações de entrada/saída por segundo) no Azure Stack Hub é uma função do tamanho VM em vez do tipo de disco. Isto significa que para uma série de Standard_Fs VM, independentemente de escolher SSD ou HDD para o tipo de disco, o limite de IOPS para um único disco de dados adicional é de 2300 IOPS. O limite IOPS imposto é uma tampa (máximo possível) para evitar vizinhos barulhentos. Não é uma garantia de IOPS que você vai obter um tamanho VM específico.

Recomendamos também a utilização de Discos Geridos. Os discos geridos simplificam a gestão do disco manuseando o armazenamento para si. Os discos geridos não precisam de uma conta de armazenamento. Basta especificar o tamanho e o tipo de disco e, em seguida, será implementado como um recurso de elevada disponibilidade.

O disco OS é um VHD armazenado no armazenamento de blob Azure Stack Hub, pelo que persiste mesmo quando a máquina de hospedeiro está avariada. Recomendamos também a criação de um ou mais discos de dados,que são VHDs persistentes utilizados para os dados da aplicação. Sempre que possível, instale as aplicações num disco de dados e não no disco do SO. Algumas aplicações legadas poderão ter de instalar componentes na unidade C:. Nesse caso, pode redimensionar o disco do SO através do PowerShell.

O VM também é criado com um disco temporário (o D: conduzir Windows). Este disco é armazenado num volume temporário na infraestrutura de armazenamento Azure Stack Hub. Pode ser eliminado durante reinicializações e outros eventos de ciclo de vida em VM. Utilize este disco apenas para dados temporários, tais como ficheiros de paginação ou de troca.

Rede

Os componentes de rede incluem os seguintes recursos:

  • Rede virtual. Cada VM é implantado numa rede virtual que pode ser segmentada em várias sub-redes.

  • Interface de rede (NIC). A NIC permite à VM comunicar com a rede virtual. Se precisar de vários NICs para o seu VM, esteja ciente de que um número máximo de NICs é definido para cada tamanho VM.

  • Endereço IP público/ VIP. É necessário um endereço IP público para comunicar com o VM -- por exemplo, através de um ambiente de trabalho remoto (PDR). O endereço IP público pode ser dinâmico ou estático. Por predefinição, é dinâmico.

  • Reserve um endereço IP estático se precisar de um endereço IP fixo que não se altere -- por exemplo, se precisar de criar um registo DNS 'A' ou adicionar o endereço IP a uma lista de segurança.

  • Também pode criar um nome de domínio completamente qualificado (FQDN) para o endereço IP. Depois, pode registar um registo CNAME no DNS que aponte para o FQDN. Para obter mais informações, consulte Criar um nome de domínio totalmente qualificado no portal Azure.

  • Grupo de segurança de rede (NSG). Os NSGs são usados para permitir ou negar o tráfego de rede para VMs. Os NSGs podem ser associados quer com sub-redes, quer com instâncias VM individuais.

Todos os NSGs contêm um conjunto de regras predefinidas, incluindo uma regra que bloqueia todo o tráfego de entrada da Internet. Não é possível eliminar as regras predefinidas, mas estas podem ser substituídas por outras. Para ativar o tráfego de Internet, crie regras que permitam o tráfego de entrada para portas específicas -- por exemplo, porta 80 para HTTP. Para ativar o RDP, adicione uma regra do NSG que permita o tráfego de entrada para a porta TCP 3389.

Operações

Diagnósticos. Ative a monitorização e os diagnósticos, incluindo métricas básicas de estado de funcionamento, registos de infraestrutura de diagnósticos e diagnósticos de arranque. Os diagnósticos de arranque poderão ajudá-lo a diagnosticar falhas no arranque se a VM não estiver no estado de arranque. Crie uma conta Armazenamento Azure para armazenar os registos. Para conter os registos de diagnósticos, é suficiente uma conta de armazenamento localmente redundante (LRS) standard. Para obter mais informações, veja Enable monitoring and diagnostics (Ativar a monitorização e os diagnósticos).

Disponibilidade. O seu VM pode estar sujeito a um reboot devido à manutenção planeada, conforme programado pelo operador Azure Stack Hub. Para uma elevada disponibilidade de um sistema de produção multi-VM em Azure, os VMs são colocados num conjunto de disponibilidade que os espalha por vários domínios de avaria e domínios de atualização. Na escala menor do Azure Stack Hub, um domínio de falha num conjunto de disponibilidade é definido como um único nó na unidade de escala.

Embora a infraestrutura do Azure Stack Hub já seja resiliente a falhas, a tecnologia subjacente (clustering failover) ainda incorre em algum tempo de paragem para VMs num servidor físico impactado se houver uma falha de hardware. O Azure Stack Hub suporta ter um conjunto de disponibilidade com um máximo de três domínios de falha para ser consistente com o Azure.

Domínios de falha

Os VMs colocados num conjunto de disponibilidade serão fisicamente isolados uns dos outros, espalhando-os da forma mais uniforme possível sobre vários domínios de avaria (nós Azure Stack Hub). Se houver uma falha de hardware, os VMs do domínio de avarias falhados serão reiniciados noutros domínios de avaria. Serão mantidos em domínios de avaria separados dos outros VMs, mas no mesmo conjunto de disponibilidade, se possível. Quando o hardware voltar a estar online, os VMs serão reequilibridos para manter a alta disponibilidade.

Domínios de atualização

Os domínios de atualização são outra forma de o Azure fornecer uma elevada disponibilidade em conjuntos de disponibilidade. Um domínio de atualização é um grupo lógico de hardware subjacente que pode ser submetido a manutenção ao mesmo tempo. Os VMs localizados no mesmo domínio de atualização serão reiniciados em conjunto durante a manutenção planeada. À medida que os inquilinos criam VMs dentro de um conjunto de disponibilidade, a plataforma Azure distribui automaticamente VMs por estes domínios de atualização.

No Azure Stack Hub, os VMs são migrados ao vivo através dos outros anfitriões online do cluster antes do seu hospedeiro subjacente ser atualizado. Uma vez que não há tempo de inatividade durante uma atualização do anfitrião, a funcionalidade de domínio de atualização no Azure Stack Hub só existe para compatibilidade de modelos com Azure. Os VMs num conjunto de disponibilidade mostrarão 0 como número de domínio de atualização no portal.

Backups Para recomendações sobre a proteção dos seus VMs Azure Stack Hub IaaS, proteja os VMs implantados no Azure Stack Hub.

Parar um VM. O Azure faz uma distinção entre os estados “parada” e “desalocada”. Se o estado da VM for "parada", será cobrado, mas não se for "desalocada". No portal Azure Stack Hub, o botão Stop desloca o VM. Se encerrar com o SO enquanto tiver sessão iniciada, a VM será parada, mas não desalocada, pelo que continuarão a ser cobrado custos.

Apagar um VM. Se eliminar um VM, os discos VM não são eliminados. Isto significa que pode eliminar em segurança a VM sem perder dados. No entanto, ainda lhe será cobrado o armazenamento. Para eliminar o disco VM, elimine o objeto de disco gerido. Para impedir a eliminação acidental, utilize um bloqueio de recursos para bloquear o grupo de recursos inteiro ou bloqueie recursos individuais, como a VM.

Considerações de segurança

Embarque nos seus VMs para o Centro de Segurança Azure para ter uma visão central do estado de segurança dos seus recursos Azure. O Centro de Segurança monitoriza potenciais problemas de segurança e fornece uma visão global do estado de funcionamento da segurança da sua implementação. O Centro de Segurança está configurado por subscrição do Azure. Ativar a recolha de dados de segurança, conforme descrito no Azure, a subscrição do Centro de Segurança. Quando a recolha de dados está ativada, o Centro de Segurança analisa automaticamente todas as VMs criadas nessa subscrição.

Gestão de remendos. Para configurar a gestão de Patch no seu VM, consulte este artigo. Se estiver ativada, o Centro de Segurança verifica se as atualizações críticas e de segurança estão em falta. Utilize definições da Política de Grupo na VM para ativar as atualizações de sistema automáticas.

Antimalware. Se estiver ativado, o Centro de Segurança verifica se está instalado software antimalware. Também pode utilizar o Centro de Segurança para instalar software antimalware no portal do Azure.

Controlo de acessos. Utilize o controlo de acesso baseado em funções (RBAC) para controlar o acesso aos recursos do Azure. O RBAC permite-lhe atribuir funções de autorização a membros da sua equipa de DevOps. Por exemplo, a Função Leitor pode ver recursos do Azure, mas não criá-los, geri-los nem eliminá-los. Algumas permissões são específicas de um tipo de recurso Azure. Por exemplo, a função Contribuidor de Máquina Virtual pode reiniciar ou desalocar uma VM, repor a palavra-passe de administrador, criar uma nova VM e assim sucessivamente. Outras funções RBAC incorporadas que podem ser úteis para esta arquitetura incluem Utilizador de DevTest Labs e Contribuidor de Rede.

Nota

O RBAC não limita as ações que os utilizadores que tenham sessão iniciada numa VM podem fazer. Estas permissões são determinadas pelo tipo de conta no SO convidado.

Registos de auditoria. Utilize registos de atividades para ver ações de provisionamento e outros eventos de VM.

Encriptação de dados. O Azure Stack Hub utiliza encriptação AES bitLocker de 128 bits para proteger os dados do utilizador e da infraestrutura em repouso no subsistema de armazenamento. Para obter mais informações, consulte dados em repouso encriptação no Azure Stack Hub.

Passos seguintes