Editar

Executar uma VM do Windows no Azure

Azure Backup
Azure Blob Storage
Azure Resource Manager
Azure Storage
Azure Virtual Machines

O provisionamento de uma máquina virtual (VM) no Azure requer alguns componentes adicionais além da própria VM, incluindo recursos de rede e armazenamento. Este artigo mostra as práticas recomendadas para executar uma VM do Windows no Azure.

Arquitetura

Diagram that shows Windows virtual machine in Azure.

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de trabalho

Grupo de recursos

Um grupo de recursos é um contêiner lógico que contém recursos relacionados do Azure. Em geral, agrupe os recursos com base em seu tempo de vida e quem irá gerenciá-los.

Coloque recursos estreitamente associados que partilhem o mesmo ciclo de vida no mesmo grupo de recursos. Os grupos de recursos permitem-lhe implementar e monitorizar recursos como um grupo e monitorizar os custos de faturação por grupo de recursos. Também pode eliminar recursos como um conjunto, o que é muito útil para implementações de teste. Atribua nomes significativos aos recursos para simplificar a localização de um recurso específico e compreender a sua função. Para obter mais informações, veja Convenções de Nomenclatura Recomendadas para Recursos do Azure.

Máquina virtual

Pode aprovisionar uma VM com base numa lista de imagens publicadas, numa imagem gerida personalizada ou num ficheiro de disco rígido virtual (VHD) carregado para o Armazenamento de Blobs do Azure.

O Azure oferece vários tamanhos de máquinas virtuais. Para obter mais informações, consulte Tamanhos para máquinas virtuais no Azure. Se estiver a mover uma carga de trabalho existente para o Azure, comece com o tamanho de VM que melhor corresponda aos seus servidores no local. Em seguida, meça o desempenho da sua carga de trabalho real em termos de CPU, memória e operações de entrada/saída de disco por segundo (IOPS) e ajuste o tamanho conforme necessário.

Geralmente, escolha uma região do Azure mais próxima de seus usuários internos ou clientes. Nem todos os tamanhos de VM estão disponíveis em todas as regiões. Para obter mais informações, veja Serviços por região. Para obter uma lista dos tamanhos de VM disponíveis em uma região específica, execute o seguinte comando da CLI do Azure:

az vm list-sizes --location <location>

Para obter mais informações sobre como escolher uma imagem de VM publicada, veja Localizar imagens de VM do Windows.

Discos

Para um melhor desempenho de E/S, recomendamos o Armazenamento Premium, que armazena os dados em unidades de estado sólido (SSDs). O custo tem por base a capacidade do disco aprovisionado. IOPS e taxa de transferência também dependem do tamanho do disco, portanto, ao provisionar um disco, considere todos os três fatores (capacidade, IOPS e taxa de transferência). O armazenamento premium também apresenta bursting gratuito, combinado com uma compreensão dos padrões de carga de trabalho, oferece uma seleção de SKU eficaz e uma estratégia de otimização de custos para a infraestrutura IaaS, permitindo alto desempenho sem provisionamento excessivo e minimizando o custo da capacidade não utilizada.

Os Managed Disks simplificam o gerenciamento de discos manipulando o armazenamento para você. Os discos gerenciados simplificam o gerenciamento de discos, manipulando o armazenamento para você. Os discos gerenciados não exigem uma conta de armazenamento. Basta especificar o tamanho e o tipo de disco e ele é implantado como um recurso altamente disponível. Os discos gerenciados também oferecem otimização de custos, fornecendo o desempenho desejado sem a necessidade de provisionamento excessivo, contabilizando padrões de carga de trabalho flutuantes e minimizando a capacidade provisionada não utilizada.

O disco do SO é um VHD armazenado no Armazenamento do Microsoft Azure, por isso, este persiste, mesmo quando o computador anfitrião está inativo. Também recomendamos a criação de um ou mais discos de dados, que são VHDs persistentes usados para dados de aplicativos.

Os discos efêmeros oferecem um bom desempenho sem custo extra, mas vêm com as desvantagens significativas de não serem persistentes, terem capacidade limitada e serem restritos apenas ao uso de SO e disco temporário. Sempre que possível, instale as aplicações num disco de dados e não no disco do SO. Algumas aplicações legadas poderão ter de instalar componentes na unidade C:. Nesse caso, pode redimensionar o disco do SO através do PowerShell.

A VM também é criada com um disco temporário (a D: unidade no Windows). Este disco é armazenado numa unidade física na máquina anfitriã. Não é guardado no Armazenamento do Microsoft Azure e pode ser eliminado durante os reinícios e outros eventos do ciclo de vida das VMs. Utilize este disco apenas para dados temporários, tais como ficheiros de paginação ou de troca.

Rede

Os componentes de rede incluem os seguintes recursos:

  • Rede virtual. Cada VM é implantada em uma rede virtual que pode ser segmentada em várias sub-redes.

  • Interface de rede (NIC). A NIC permite à VM comunicar com a rede virtual. Se você precisar de várias NICs para sua VM, lembre-se de que um número máximo de NICs é definido para cada tamanho de VM.

  • Endereço IP público. Um endereço IP público é necessário para se comunicar com a VM — por exemplo, via área de trabalho remota (RDP). O endereço IP público pode ser dinâmico ou estático. Por predefinição, é dinâmico.

  • Reserve um endereço IP estático se precisar de um endereço IP fixo que não será alterado — por exemplo, se precisar criar um registro DNS 'A' ou adicionar o endereço IP a uma lista segura.

  • Também pode criar um nome de domínio completamente qualificado (FQDN) para o endereço IP. Depois, pode registar um registo CNAME no DNS que aponte para o FQDN. Para obter mais informações, veja Criar um nome de domínio completamente qualificado no portal do Azure.

  • Grupo de Segurança de Rede (NSG). Os grupos de segurança de rede são usados para permitir ou negar tráfego de rede para VMs. Os NSGs podem ser associados a sub-redes ou a instâncias de VM individuais.

Todos os NSGs contêm um conjunto de regras predefinidas, incluindo uma regra que bloqueia todo o tráfego de entrada da Internet. Não é possível eliminar as regras predefinidas, mas estas podem ser substituídas por outras. Para habilitar o tráfego da Internet, crie regras que permitam o tráfego de entrada para portas específicas — por exemplo, a porta 80 para HTTP. Para ativar o RDP, adicione uma regra do NSG que permita o tráfego de entrada para a porta TCP 3389.

Operations

Diagnósticos. Ative a monitorização e os diagnósticos, incluindo métricas básicas de estado de funcionamento, registos de infraestrutura de diagnósticos e diagnósticos de arranque. Os diagnósticos de arranque poderão ajudá-lo a diagnosticar falhas no arranque se a VM não estiver no estado de arranque. Crie uma conta de Armazenamento do Azure para armazenar os logs. Para conter os registos de diagnósticos, é suficiente uma conta de armazenamento localmente redundante (LRS) standard. Para obter mais informações, veja Enable monitoring and diagnostics (Ativar a monitorização e os diagnósticos).

Disponibilidade. Sua VM pode ser afetada por manutenção planejada ou tempo de inatividade não planejado. Pode utilizar registos de reinício de VM para determinar se o reinício de uma VM foi provocado por uma manutenção planeada. Para maior disponibilidade, implemente várias VMs num conjunto de disponibilidade. Essa configuração fornece um contrato de nível de serviço (SLA) mais alto.

Backups Para proteger contra perda acidental de dados, use o serviço de Backup do Azure para fazer backup de suas VMs para armazenamento com redundância geográfica. O Azure Backup proporciona cópias de segurança consistentes com aplicações.

Parar uma VM. O Azure faz uma distinção entre os estados “parada” e “desalocada”. Se o estado da VM for "parada", será cobrado, mas não se for "desalocada". No portal do Azure, o botão Parar desaloca a VM. Se encerrar com o SO enquanto tiver sessão iniciada, a VM será parada, mas não desalocada, pelo que continuarão a ser cobrado custos.

Eliminar uma VM. Se eliminar uma VM, os VHDs não são eliminados. Isto significa que pode eliminar em segurança a VM sem perder dados. No entanto, ainda lhe será cobrado o armazenamento. Para eliminar o VHD, elimine o ficheiro do Armazenamento de blobs. Para impedir a eliminação acidental, utilize um bloqueio de recursos para bloquear o grupo de recursos inteiro ou bloqueie recursos individuais, como a VM.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Otimização de custos

A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.

Há várias opções para tamanhos de VM, dependendo do uso e da carga de trabalho. A gama inclui a opção mais económica da série B para as mais recentes VMs GPU otimizadas para aprendizagem automática. Para obter informações sobre as opções disponíveis, consulte Preços de VM do Windows do Azure.

Para cargas de trabalho previsíveis, utilize as Reservas do Azure e o plano de poupança do Azure para computação com um contrato de um ou três anos e obtenha poupanças significativas nos preços pré-pagos. Para cargas de trabalho sem tempo previsível de conclusão ou consumo de recursos, considere a opção Pagar conforme o uso .

Use VMs spot do Azure para executar cargas de trabalho que podem ser interrompidas e não exigem conclusão dentro de um período de tempo predeterminado ou um SLA. O Azure implanta VMs spot se houver capacidade disponível e remove quando precisa da capacidade de volta. Os custos associados às máquinas virtuais Spot são significativamente mais baixos. Considere VMs spot para estas cargas de trabalho:

  • Cenários de computação de alto desempenho, tarefas de processamento em lotes ou aplicações de composição visual.
  • Ambientes de teste, incluindo integração contínua e cargas de trabalho de entrega contínua.
  • Aplicações sem monitorização de estado de grande escala.

Use a Calculadora de Preços do Azure para estimar custos.

Para obter mais informações, veja a secção de custos Well-Architected Framework do Microsoft Azure.

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.

Use o Microsoft Defender for Cloud para obter uma exibição central do estado de segurança de seus recursos do Azure. O Defender for Cloud monitoriza potenciais problemas de segurança e fornece uma imagem abrangente do estado de funcionamento da segurança da sua implementação. O Defender for Cloud é configurado por assinatura do Azure. Habilite a coleta de dados de segurança conforme descrito em Integre sua assinatura do Azure ao Defender for Cloud Standard. Quando a coleta de dados está habilitada, o Defender for Cloud verifica automaticamente todas as VMs criadas sob essa assinatura.

Gestão de patches. Se ativado, o Defender for Cloud verifica se faltam atualizações críticas e de segurança. Utilize definições da Política de Grupo na VM para ativar as atualizações de sistema automáticas.

Antimalware. Se ativado, o Defender for Cloud verifica se o software antimalware está instalado. Você também pode usar o Defender for Cloud para instalar software antimalware de dentro do portal do Azure.

Controlo de acessos. Use o controle de acesso baseado em função do Azure (Azure RBAC) para controlar o acesso aos recursos do Azure. O RBAC do Azure permite atribuir funções de autorização a membros da sua equipe de DevOps. Por exemplo, a Função Leitor pode ver recursos do Azure, mas não criá-los, geri-los nem eliminá-los. Algumas permissões são específicas para um tipo de recurso do Azure. Por exemplo, a função Contribuidor de Máquina Virtual pode reiniciar ou desalocar uma VM, repor a palavra-passe de administrador, criar uma nova VM e assim sucessivamente. Outras funções internas que podem ser úteis para essa arquitetura incluem Usuário do DevTest Labs e Colaborador de Rede.

Nota

O RBAC do Azure não limita as ações que um usuário conectado a uma VM pode executar. Estas permissões são determinadas pelo tipo de conta no SO convidado.

Logs de auditoria. Utilize registos de auditoria para ver ações de aprovisionamento e outros eventos da VM.

Encriptação de dados. Use a Criptografia de Disco do Azure se precisar criptografar o sistema operacional e os discos de dados.

Excelência operacional

A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.

Use a infraestrutura como Código (IaC) usando um único modelo do Azure Resource Manager para provisionar os recursos do Azure (abordagem declarativa) ou usando um único script do PowerShell (abordagem imperativa). Como todos os recursos estão na mesma rede virtual, eles estão isolados na mesma carga de trabalho básica. Isso torna mais fácil associar os recursos específicos da carga de trabalho a uma equipe de DevOps, para que a equipe possa gerenciar de forma independente todos os aspetos desses recursos. Esse isolamento permite que a equipe e os serviços de DevOps realizem integração contínua e entrega contínua (CI/CD).

Além disso, você pode usar diferentes modelos do Azure Resource Manager e integrá-los aos Serviços de DevOps do Azure para provisionar ambientes diferentes em minutos, por exemplo, para replicar a produção, como cenários ou ambientes de teste de carga, somente quando necessário, economizando custos.

Considere utilizar o Azure Monitor para analisar e otimizar o desempenho da sua infraestrutura, monitorizar e diagnosticar problemas de rede sem iniciar sessão nas suas máquinas virtuais.

Próximos passos