Executar uma VM do Windows no Azure

Backup
Armazenamento de Blobs
Azure Resource Manager
Armazenamento
Máquinas Virtuais

O fornecimento de uma máquina virtual (VM) em Azure requer alguns componentes adicionais para além do próprio VM, incluindo recursos de networking e armazenamento.Provisioning a virtual machine (VM) in Azure requires some additional components besides the VM itself, including networking and storage resources. Este artigo mostra as melhores práticas para executar um Windows VM em Azure.This article shows best practices for running a Windows VM on Azure.

Windows VM em Azure

Grupo de recursosResource group

Um grupo de recursos é um recipiente lógico que detém recursos Azure relacionados.A resource group is a logical container that holds related Azure resources. Em geral, os recursos de grupo baseados na sua vida e quem os vai gerir.In general, group resources based on their lifetime and who will manage them.

Coloque recursos estreitamente associados que partilhem o mesmo ciclo de vida no mesmo grupo de recursos.Put closely associated resources that share the same lifecycle into the same resource group. Os grupos de recursos permitem-lhe implementar e monitorizar recursos como um grupo e monitorizar os custos de faturação por grupo de recursos.Resource groups allow you to deploy and monitor resources as a group and track billing costs by resource group. Também pode eliminar recursos como um conjunto, o que é muito útil para implementações de teste.You can also delete resources as a set, which is very useful for test deployments. Atribua nomes significativos aos recursos para simplificar a localização de um recurso específico e compreender a sua função.Assign meaningful resource names to simplify locating a specific resource and understanding its role. Para obter mais informações, veja Convenções de Nomenclatura Recomendadas para Recursos do Azure.For more information, see Recommended Naming Conventions for Azure Resources.

Máquina virtualVirtual machine

Pode aprovisionar uma VM com base numa lista de imagens publicadas, numa imagem gerida personalizada ou num ficheiro de disco rígido virtual (VHD) carregado para o Armazenamento de Blobs do Azure.You can provision a VM from a list of published images, or from a custom managed image or virtual hard disk (VHD) file uploaded to Azure Blob storage.

O Azure oferece vários tamanhos de máquinas virtuais.Azure offers many different virtual machine sizes. Para obter mais informações, consulte tamanhos para máquinas virtuais em Azure.For more information, see Sizes for virtual machines in Azure. Se estiver a mover uma carga de trabalho existente para o Azure, comece com o tamanho de VM que melhor corresponda aos seus servidores no local.If you are moving an existing workload to Azure, start with the VM size that's the closest match to your on-premises servers. Em seguida, meça o desempenho da sua carga de trabalho real em termos de cpu, memória e operações de entrada/saída de disco por segundo (IOPS), e ajuste o tamanho conforme necessário.Then measure the performance of your actual workload in terms of CPU, memory, and disk input/output operations per second (IOPS), and adjust the size as needed.

Geralmente, escolha uma região Azure que seja mais próxima dos seus utilizadores internos ou clientes.Generally, choose an Azure region that is closest to your internal users or customers. Nem todos os tamanhos de VM estão disponíveis em todas as regiões.Not all VM sizes are available in all regions. Para obter mais informações, veja Serviços por região.For more information, see Services by region. Para uma lista dos tamanhos VM disponíveis numa região específica, executar o seguinte comando a partir do Azure CLI:For a list of the VM sizes available in a specific region, run the following command from the Azure CLI:

az vm list-sizes --location <location>

Para obter mais informações sobre como escolher uma imagem de VM publicada, veja Localizar imagens de VM do Windows.For information about choosing a published VM image, see Find Windows VM images.

DiscosDisks

Para um melhor desempenho de E/S, recomendamos o Armazenamento Premium, que armazena os dados em unidades de estado sólido (SSDs).For best disk I/O performance, we recommend Premium Storage, which stores data on solid-state drives (SSDs). O custo tem por base a capacidade do disco aprovisionado.Cost is based on the capacity of the provisioned disk. O IOPS e a produção também dependem do tamanho do disco, por isso, quando forres um disco, considera os três fatores (capacidade, IOPS e produção).IOPS and throughput also depend on disk size, so when you provision a disk, consider all three factors (capacity, IOPS, and throughput).

Recomendamos também a utilização de Discos Geridos.We also recommend using Managed Disks. Os discos geridos simplificam a gestão do disco manuseando o armazenamento para si.Managed disks simplify disk management by handling the storage for you. Os discos geridos não precisam de uma conta de armazenamento.Managed disks do not require a storage account. Basta especificar o tamanho e o tipo de disco e é implantado como um recurso altamente disponívelYou simply specify the size and type of disk and it is deployed as a highly available resource

O disco do SO é um VHD armazenado no Armazenamento do Microsoft Azure, por isso, este persiste, mesmo quando o computador anfitrião está inativo.The OS disk is a VHD stored in Azure Storage, so it persists even when the host machine is down. Recomendamos também a criação de um ou mais discos de dados,que são VHDs persistentes utilizados para os dados da aplicação.We also recommend creating one or more data disks, which are persistent VHDs used for application data. Sempre que possível, instale as aplicações num disco de dados e não no disco do SO.When possible, install applications on a data disk, not the OS disk. Algumas aplicações legadas poderão ter de instalar componentes na unidade C:. Nesse caso, pode redimensionar o disco do SO através do PowerShell.Some legacy applications might need to install components on the C: drive; in that case, you can resize the OS disk using PowerShell.

O VM também é criado com um disco temporário (a D: unidade no Windows).The VM is also created with a temporary disk (the D: drive on Windows). Este disco é armazenado numa unidade física na máquina anfitriã.This disk is stored on a physical drive on the host machine. Não é guardado no Armazenamento do Microsoft Azure e pode ser eliminado durante os reinícios e outros eventos do ciclo de vida das VMs.It is not saved in Azure Storage and may be deleted during reboots and other VM lifecycle events. Utilize este disco apenas para dados temporários, tais como ficheiros de paginação ou de troca.Use this disk only for temporary data, such as page or swap files.

RedeNetwork

Os componentes de rede incluem os seguintes recursos:The networking components include the following resources:

  • Rede virtual.Virtual network. Cada VM é implantado numa rede virtual que pode ser segmentada em várias sub-redes.Every VM is deployed into a virtual network that can be segmented into multiple subnets.

  • Interface de rede (NIC).Network interface (NIC). A NIC permite à VM comunicar com a rede virtual.The NIC enables the VM to communicate with the virtual network. Se precisar de vários NICs para o seu VM, esteja ciente de que um número máximo de NICs é definido para cada tamanho VM.If you need multiple NICs for your VM, be aware that a maximum number of NICs is defined for each VM size.

  • Endereço IP público.Public IP address. É preciso um endereço IP público para comunicar com a VM — por exemplo, através do ambiente de trabalho remoto (RDP).A public IP address is needed to communicate with the VM — for example, via remote desktop (RDP). O endereço IP público pode ser dinâmico ou estático.The public IP address can be dynamic or static. Por predefinição, é dinâmico.The default is dynamic.

  • Se precisar de um endereço IP fixo que não será alterado, reserve um endereço IP estático— por exemplo, se tiver de criar um registo A no DNS ou precisar de adicionar o endereço IP a uma lista de segurança.Reserve a static IP address if you need a fixed IP address that won't change — for example, if you need to create a DNS 'A' record or add the IP address to a safe list.

  • Também pode criar um nome de domínio completamente qualificado (FQDN) para o endereço IP.You can also create a fully qualified domain name (FQDN) for the IP address. Depois, pode registar um registo CNAME no DNS que aponte para o FQDN.You can then register a CNAME record in DNS that points to the FQDN. Para obter mais informações, consulte Criar um nome de domínio totalmente qualificado no portal Azure.For more information, see Create a fully qualified domain name in the Azure portal.

  • Grupo de segurança de rede (NSG).Network security group (NSG). Os grupos de segurança da rede são utilizados para permitir ou negar o tráfego de rede a VMs.Network security groups are used to allow or deny network traffic to VMs. Os NSGs podem ser associados quer com sub-redes, quer com instâncias VM individuais.NSGs can be associated either with subnets or with individual VM instances.

Todos os NSGs contêm um conjunto de regras predefinidas, incluindo uma regra que bloqueia todo o tráfego de entrada da Internet.All NSGs contain a set of default rules, including a rule that blocks all inbound Internet traffic. Não é possível eliminar as regras predefinidas, mas estas podem ser substituídas por outras.The default rules cannot be deleted, but other rules can override them. Para permitir o tráfego da Interne, crie regras que permitam o tráfego de entrada em portas específicas — por exemplo, a porta 80 para HTTP.To enable Internet traffic, create rules that allow inbound traffic to specific ports — for example, port 80 for HTTP. Para ativar o RDP, adicione uma regra do NSG que permita o tráfego de entrada para a porta TCP 3389.To enable RDP, add an NSG rule that allows inbound traffic to TCP port 3389.

OperaçõesOperations

Diagnósticos.Diagnostics. Ative a monitorização e os diagnósticos, incluindo métricas básicas de estado de funcionamento, registos de infraestrutura de diagnósticos e diagnósticos de arranque.Enable monitoring and diagnostics, including basic health metrics, diagnostics infrastructure logs, and boot diagnostics. Os diagnósticos de arranque poderão ajudá-lo a diagnosticar falhas no arranque se a VM não estiver no estado de arranque.Boot diagnostics can help you diagnose boot failure if your VM gets into a non-bootable state. Crie uma conta de Armazenamento Azure para armazenar os registos.Create an Azure Storage account to store the logs. Para conter os registos de diagnósticos, é suficiente uma conta de armazenamento localmente redundante (LRS) standard.A standard locally redundant storage (LRS) account is sufficient for diagnostic logs. Para obter mais informações, veja Enable monitoring and diagnostics (Ativar a monitorização e os diagnósticos).For more information, see Enable monitoring and diagnostics.

Disponibilidade.Availability. O seu VM pode ser afetado pela manutenção planeada ou pelo tempo de inatividade não planeado.Your VM may be affected by planned maintenance or unplanned downtime. Pode utilizar registos de reinício de VM para determinar se o reinício de uma VM foi provocado por uma manutenção planeada.You can use VM reboot logs to determine whether a VM reboot was caused by planned maintenance. Para maior disponibilidade, implemente várias VMs num conjunto de disponibilidade.For higher availability, deploy multiple VMs in an availability set. Esta configuração proporciona um acordo de nível de serviço mais elevado (SLA).This configuration provides a higher service level agreement (SLA).

Backups Para proteger contra a perda acidental de dados, utilize o serviço de Backup Azure para fazer backup dos seus VMs para armazenamento geo-redundante.Backups To protect against accidental data loss, use the Azure Backup service to back up your VMs to geo-redundant storage. O Azure Backup proporciona cópias de segurança consistentes com aplicações.Azure Backup provides application-consistent backups.

Parar um VM.Stopping a VM. O Azure faz uma distinção entre os estados “parada” e “desalocada”.Azure makes a distinction between "stopped" and "deallocated" states. Se o estado da VM for "parada", será cobrado, mas não se for "desalocada".You are charged when the VM status is stopped, but not when the VM is deallocated. No portal do Azure, o botão Parar desaloca a VM.In the Azure portal, the Stop button deallocates the VM. Se encerrar com o SO enquanto tiver sessão iniciada, a VM será parada, mas não desalocada, pelo que continuarão a ser cobrado custos.If you shut down through the OS while logged in, the VM is stopped but not deallocated, so you will still be charged.

Apagar um VM.Deleting a VM. Se eliminar uma VM, os VHDs não são eliminados.If you delete a VM, the VHDs are not deleted. Isto significa que pode eliminar em segurança a VM sem perder dados.That means you can safely delete the VM without losing data. No entanto, ainda lhe será cobrado o armazenamento.However, you will still be charged for storage. Para eliminar o VHD, elimine o ficheiro do Armazenamento de blobs.To delete the VHD, delete the file from Blob storage. Para impedir a eliminação acidental, utilize um bloqueio de recursos para bloquear o grupo de recursos inteiro ou bloqueie recursos individuais, como a VM.To prevent accidental deletion, use a resource lock to lock the entire resource group or lock individual resources, such as a VM.

Considerações de custosCost considerations

Existem várias opções para tamanhos VM dependendo do uso e da carga de trabalho.There are various options for VM sizes depending on the usage and workload. A gama inclui a opção mais económica da série B para os mais recentes VMs gpu otimizados para machine learning.The range includes most economical option of the Bs-series to the newest GPU VMs optimized for machine learning. Para obter informações sobre as opções disponíveis, consulte os preços do Azure Windows VM.For information about the available options, see Azure Windows VM pricing.

Para cargas de trabalho sem tempo previsível de conclusão ou consumo de recursos, considere o Pagamento como opção.For workloads with no predictable time of completion or resource consumption, consider the Pay as you go option.

Considere usar reservas Azure se você pode comprometer-se a usar uma máquina virtual durante um período de um ano ou três anos.Consider using Azure Reservations if you can commit to using a virtual machine over a one-year or three-year term. As reservas em VM podem reduzir os custos até 72 % em comparação com os preços de pagamento.VM reservations can reduce costs up to 72 % compared to pay-as-you-go prices.

Utilize VMs Azure Spot para executar cargas de trabalho que podem ser interrompidas e não requerem conclusão dentro de um período de tempo pré-determinado ou de um SLA.Use Azure Spot VMs to run workloads the can be interrupted and do not require completion within a predetermined timeframe or an SLA. O Azure implementa o Spot VMs se houver capacidade disponível e despeja quando precisa da capacidade de volta.Azure deploys Spot VMs if there is available capacity and evicts when it needs the capacity back. Os custos associados às máquinas virtuais spot são significativamente mais baixos.Costs associated with Spot virtual machines are significantly lower. Considere os VM spot para estas cargas de trabalho:Consider Spot VMs for these workloads:

  • Cenários de computação de alto desempenho, trabalhos de processamento de lotes ou aplicações de renderização visual.High-performance computing scenarios, batch processing jobs, or visual rendering applications.
  • Ambientes de teste, incluindo integração contínua e cargas de trabalho contínuas de entrega.Test environments, including continuous integration and continuous delivery workloads.
  • Aplicações apátridas em larga escala.Large-scale stateless applications.

Utilize a calculadora de preços Azure[calculadora de preços azure]para estimar os custos.Use the [Azure Pricing Calculator][azure-pricing-calculator] to estimates costs.

Para obter mais informações, veja a secção de custos Well-Architected Framework do Microsoft Azure.For more information, see the cost section in Microsoft Azure Well-Architected Framework.

Considerações de segurançaSecurity considerations

Para obter uma visão central do estado de segurança dos recursos do Azure, utilize o Centro de Segurança do Azure.Use Azure Security Center to get a central view of the security state of your Azure resources. O Centro de Segurança monitoriza potenciais problemas de segurança e fornece uma visão global do estado de funcionamento da segurança da sua implementação.Security Center monitors potential security issues and provides a comprehensive picture of the security health of your deployment. O Centro de Segurança está configurado por subscrição do Azure.Security Center is configured per Azure subscription. Ativar a recolha de dados de segurança, conforme descrito no Azure, a subscrição do Centro de Segurança.Enable security data collection as described in Onboard your Azure subscription to Security Center Standard. Quando a recolha de dados está ativada, o Centro de Segurança analisa automaticamente todas as VMs criadas nessa subscrição.When data collection is enabled, Security Center automatically scans any VMs created under that subscription.

Gestão de remendos.Patch management. Se estiver ativada, o Centro de Segurança verifica se as atualizações críticas e de segurança estão em falta.If enabled, Security Center checks whether any security and critical updates are missing. Utilize definições da Política de Grupo na VM para ativar as atualizações de sistema automáticas.Use Group Policy settings on the VM to enable automatic system updates.

Antimalware.Antimalware. Se estiver ativado, o Centro de Segurança verifica se está instalado software antimalware.If enabled, Security Center checks whether antimalware software is installed. Também pode utilizar o Centro de Segurança para instalar software antimalware no portal do Azure.You can also use Security Center to install antimalware software from inside the Azure portal.

Controlo de acessos.Access control. Use o controlo de acesso baseado em funções Azure (Azure RBAC) para controlar o acesso aos recursos Azure.Use Azure role-based access control (Azure RBAC) to control access to Azure resources. O Azure RBAC permite atribuir funções de autorização aos membros da sua equipa de DevOps.Azure RBAC lets you assign authorization roles to members of your DevOps team. Por exemplo, a Função Leitor pode ver recursos do Azure, mas não criá-los, geri-los nem eliminá-los.For example, the Reader role can view Azure resources but not create, manage, or delete them. Algumas permissões são específicas de um tipo de recurso Azure.Some permissions are specific to an Azure resource type. Por exemplo, a função Contribuidor de Máquina Virtual pode reiniciar ou desalocar uma VM, repor a palavra-passe de administrador, criar uma nova VM e assim sucessivamente.For example, the Virtual Machine Contributor role can restart or deallocate a VM, reset the administrator password, create a new VM, and so on. Outras funções incorporadas que podem ser úteis para esta arquitetura incluem o Utilizador da DevTest Labs e o Colaborador de Rede.Other built-in roles that may be useful for this architecture include DevTest Labs User and Network Contributor.

Nota

O Azure RBAC não limita as ações que um utilizador iniciado num VM pode executar.Azure RBAC does not limit the actions that a user logged into a VM can perform. Estas permissões são determinadas pelo tipo de conta no SO convidado.Those permissions are determined by the account type on the guest OS.

Registos de auditoria.Audit logs. Utilize registos de auditoria para ver ações de aprovisionamento e outros eventos da VM.Use audit logs to see provisioning actions and other VM events.

Encriptação de dados.Data encryption. Utilize encriptação do disco Azure se precisar de encriptar o SISTEMA e os discos de dados.Use Azure Disk Encryption if you need to encrypt the OS and data disks.

Considerações de DevOpsDevOps considerations

Utilize a infraestrutura como Código (IAC) utilizando um único modelo de Gestor de Recursos Azure para o fornecimento dos recursos Azure (abordagem declarativa) ou utilizando uma única script PowerShell (abordagem imperativa).Use infrastructure as Code (IaC) either by using a single Azure Resource Manager template for provisioning the Azure resources (declarative approach) or by using a single PowerShell script (imperative approach). Como todos os recursos estão na mesma rede virtual, estão isolados na mesma carga de trabalho básica, o que facilita a associação dos recursos específicos da carga de trabalho a uma equipa de DevOps, para que a equipa possa gerir de forma independente todos os aspetos desses recursos.Since all the resources are in the same virtual network, they are isolated in the same basic workload, that makes it easier to associate the workload's specific resources to a DevOps team, so that the team can independently manage all aspects of those resources. Este isolamento permite à Equipa e Serviços de DevOps realizar integração contínua e entrega contínua (CI/CD).This isolation enables the DevOps Team and Services to perform continuous integration and continuous delivery (CI/CD).

Além disso, pode utilizar diferentes modelos de Gestor de Recursos Azure e integrá-los com os Serviços Azure DevOps para fornecer diferentes ambientes em minutos, por exemplo para replicar produção como cenários ou ambientes de teste de carga apenas quando necessário, economizando custos.Also, you can use different Azure Resource Manager templates and integrate them with Azure DevOps Services to provision different environments in minutes, for example to replicate production like scenarios or load testing environments only when needed, saving cost.

Para uma arquitetura de maior disponibilidade veja a aplicação de nível N do Windows N no Azure com o SQL Server,a arquitetura de referência inclui mais de um VM e cada VM está incluído num conjunto de disponibilidade.For higher availability architecture see Windows N-tier application on Azure with SQL Server, the reference architecture includes more than one VM and each VM is included in an availability set.

Considere utilizar o Azure Monitor para analisar e otimizar o desempenho da sua infraestrutura, monitorizar e diagnosticar problemas de rede sem iniciar sessão nas suas máquinas virtuais.Consider using the Azure Monitor to Analyze and optimize the performance of your infrastructure, Monitor and diagnose networking issues without logging into your virtual machines.

Para mais informações, consulte a secção de Excelência Operacional no Quadro Well-Architected Azure.For more information, see the Operational Excellence section in Azure Well-Architected Framework.

Passos seguintesNext steps