Запуск виртуальной машины Linux в Azure Stack HubRun a Linux virtual machine on Azure Stack Hub

Для подготовки к работе виртуальной машины в Azure Stack Hub, как и в Azure, помимо самой виртуальной машины, требуются некоторые дополнительные компоненты, такие как сеть и хранилище ресурсов.Provisioning a virtual machine (VM) in Azure Stack Hub, like Azure, requires some additional components besides the VM itself, including networking and storage resources. Эта статья содержит рекомендации по запуску виртуальных машин Linux в Azure Stack Hub.This article shows best practices for running a Linux VM on Azure Stack Hub.

Архитектура для виртуальной машины Linux в Azure Stack Hub

Группа ресурсовResource group

Группа ресурсов представляет собой логический контейнер, содержащий связанные ресурсы Azure Stack Hub.A resource group is a logical container that holds related Azure Stack Hub resources. Как правило, группы ресурсов создаются в зависимости от времени существования ресурсов и пользователя, который ими управляет.In general, group resources based on their lifetime and who will manage them.

Поместите тесно связанные ресурсы с одинаковым жизненным циклом в одну группу ресурсов.Put closely associated resources that share the same lifecycle into the same resource group. Группы ресурсов позволяют развертывать и отслеживать несколько ресурсов как одну группу, для которой, помимо прочего, можно отслеживать выставляемые счета.Resource groups allow you to deploy and monitor resources as a group and track billing costs by resource group. Можно также удалить ресурсы в виде набора, что очень удобно для тестирования развернутых служб.You can also delete resources as a set, which is useful for test deployments. Присвойте понятные имена ресурсам, чтобы упростить поиск определенного ресурса и получить сведения о его роли.Assign meaningful resource names to simplify locating a specific resource and understanding its role. Дополнительные сведения см. в руководстве по рекомендуемым соглашениям об именовании ресурсов Azure.For more information, see Recommended Naming Conventions for Azure Resources.

Виртуальная машинаVirtual machine

Виртуальную машину можно подготовить на основе списка опубликованных образов, пользовательского управляемого образа или файла виртуального жесткого диска (VHD), передав его в хранилище BLOB-объектов Azure Stack Hub.You can provision a VM from a list of published images, or from a custom-managed image or virtual hard disk (VHD) file uploaded to Azure Stack Hub Blob storage. Azure Stack Hub поддерживает ряд популярных дистрибутивов Linux, включая CentOS, Debian, Red Hat Enterprise, Ubuntu и SUSE.Azure Stack Hub supports running various popular Linux distributions, including CentOS, Debian, Red Hat Enterprise, Ubuntu, and SUSE. Дополнительные сведения о Linux в Azure Stack Hub см. в этой статье.For more information, see Linux on Azure Stack Hub. Вы также можете выполнить синдикацию одного из опубликованных образов Linux, доступных в Azure Stack Hub Marketplace.You may also choose to syndicate one of the published Linux Images that are available on the Azure Stack Hub Marketplace.

Azure Stack Hub предлагает различные размеры виртуальных машин в Azure.Azure Stack Hub offers different virtual machine sizes from Azure. Дополнительные сведения см. в статье Размеры виртуальных машин, поддерживаемые в Azure Stack Hub.For more information, see Sizes for virtual machines in Azure Stack Hub. При перемещении имеющейся рабочей нагрузки в Azure Stack Hub выберите начальный размер виртуальной машины, который точнее всего соответствует характеристикам локальных серверов/Azure.If you are moving an existing workload to Azure Stack Hub, start with the VM size that's the closest match to your on-premises servers/Azure. Затем измерьте производительность фактической рабочей нагрузки по таким показателям, как потребление ЦП, памяти и дисковых операций ввода-вывода в секунду, и при необходимости измените размер.Then measure the performance of your actual workload in terms of CPU, memory, and disk input/output operations per second (IOPS), and adjust the size as needed.

ДискиDisks

Цена зависит от производительности подготовленного диска.Cost is based on the capacity of the provisioned disk. Скорость выполнения операций ввода-вывода в секунду и пропускная способность (т. е. скорость передачи данных) зависят от размера виртуальной машины. Поэтому во время подготовки диска следует учитывать все эти факторы.IOPS and throughput (that is, data transfer rate) depend on VM size, so when you provision a disk, consider all three factors (capacity, IOPS, and throughput).

Дисковые операции ввода-вывода в секунду в Azure Stack Hub зависят от размера виртуальной машины, а не от типа диска.Disk IOPS (Input/Output Operations Per Second) on Azure Stack Hub is a function of VM size instead of the disk type. Это означает, что для виртуальной машины серии Standard_Fs, независимо от того, выбираете ли вы SSD или HDD для типа диска, ограничение операций ввода-вывода в секунду для одного дополнительного диска с данными составляет 2300 операций ввода-вывода в секунду.This means that for a Standard_Fs series VM, regardless of whether you choose SSD or HDD for the disk type, the IOPS limit for a single additional data disk is 2300 IOPS. Установленное ограничение операций ввода-вывода в секунду является пределом (максимально возможным) для предотвращения "шумных соседей".The IOPS limit imposed is a cap (maximum possible) to prevent noisy neighbors. Это не гарантирует количество операций ввода-вывода в секунду, которое вы получаете для определенного размера виртуальной машины.It isn't an assurance of IOPS that you'll get on a specific VM size.

Мы также рекомендуем использовать Управляемые диски.We also recommend using Managed Disks. Благодаря автоматической обработке хранилища управляемые диски упрощают процесс управления дисками.Managed disks simplify disk management by handling the storage for you. Управляемым дискам не требуется учетная запись хранения.Managed disks do not require a storage account. Просто укажите размер и тип диска, и он будет развернут как высокодоступный ресурс.You simply specify the size and type of disk and it is deployed as a highly available resource.

Диск операционной системы — это диск VHD, расположенный в службе хранилища Azure Stack Hub, поэтому он работает, даже если хост-компьютер отключен.The OS disk is a VHD stored in Azure Stack Hub Storage, so it persists even when the host machine is down. Для виртуальных машин Linux диск ОС — это /dev/sda1.For Linux VMs, the OS disk is /dev/sda1. Кроме того, рекомендуем создать один или несколько дисков данных на постоянных виртуальных жестких дисках, которые используются для данных приложений.We also recommend creating one or more data disks, which are persistent VHDs used for application data.

Создаваемый диск VHD не форматируется.When you create a VHD, it is unformatted. Чтобы отформатировать диск, войдите в систему виртуальной машины.Log into the VM to format the disk. В оболочке Linux диски данных отображаются как /dev/sdc, /dev/sdd и т. д.In the Linux shell, data disks are displayed as /dev/sdc, /dev/sdd, and so on. Вы можете выполнить lsblk, чтобы вывести список блочных устройств, включая диски.You can run lsblk to list the block devices, including the disks. Чтобы использовать диск данных, создайте раздел и файловую систему, а затем подключите этот диск.To use a data disk, create a partition and file system, and mount the disk. Пример:For example:

# Create a partition.
sudo fdisk /dev/sdc \# Enter 'n' to partition, 'w' to write the change.

# Create a file system.
sudo mkfs -t ext3 /dev/sdc1

# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1

При добавлении диска данных ему назначается логический номер устройства (LUN).When you add a data disk, a logical unit number (LUN) ID is assigned to the disk. При необходимости можно указать идентификатор LUN, например, если при замене диска нужно сохранить тот же идентификатор LUN или если у вас есть приложение, которое ищет определенный идентификатор LUN.Optionally, you can specify the LUN ID — for example, if you're replacing a disk and want to retain the same LUN ID, or you have an application that looks for a specific LUN ID. Однако следует помнить, что идентификаторы LUN для каждого диска должны быть уникальными.However, remember that LUN IDs must be unique for each disk.

Виртуальная машина создается с временным диском.The VM is created with a temporary disk. Этот диск хранится на временном томе в инфраструктуре хранилища Azure Stack Hub.This disk is stored on a temporary volume on the Azure Stack Hub storage infrastructure. Он может быть удален во время перезагрузки и других событий жизненного цикла виртуальной машины.It may be deleted during reboots and other VM lifecycle events. Используйте этот диск только для временных данных, таких как данные страниц или файлы подкачки.Use this disk only for temporary data, such as page or swap files. Для виртуальных машин Linux временный диск — это /dev/sdb1. Он подключен в /mnt/resource или /mnt.For Linux VMs, the temporary disk is /dev/sdb1 and is mounted at /mnt/resource or /mnt.

СетьNetwork

Сетевые компоненты включают приведенные ниже ресурсы.The networking components include the following resources:

  • Виртуальная сеть.Virtual network. Каждая виртуальная машина развертывается в виртуальной сети, которую можно разделить на несколько подсетей.Every VM is deployed into a virtual network that can be segmented into multiple subnets.

  • Сетевой интерфейс (сетевой адаптер) .Network interface (NIC). Сетевой адаптер обеспечивает взаимодействие виртуальной машины и виртуальной сети.The NIC enables the VM to communicate with the virtual network. Если для виртуальной машины требуется несколько сетевых адаптеров, помните, что их максимально возможное число зависит от размера каждой виртуальной машины.If you need multiple NICs for your VM, be aware that a maximum number of NICs is defined for each VM size.

  • Общедоступный IP-адрес / VIP.Public IP address/ VIP. Общедоступный IP-адрес используется для обмена данными с виртуальной машиной — например, через удаленный рабочий стол.A public IP address is needed to communicate with the VM — for example, via remote desktop (RDP). Общедоступный IP-адрес может быть динамическим или статическим.The public IP address can be dynamic or static. По умолчанию используется динамический IP-адрес.The default is dynamic. Если для виртуальной машины требуется несколько сетевых адаптеров, помните, что их максимально возможное число зависит от размера каждой виртуальной машины.If you need multiple NICs for your VM, be aware that a maximum number of NICs is defined for each VM size.

  • Можно также создать полное доменное имя для IP-адреса.You can also create a fully qualified domain name (FQDN) for the IP address. Затем вы сможете зарегистрировать в DNS запись CNAME, которая указывает на полное доменное имя.You can then register a CNAME record in DNS that points to the FQDN. Дополнительные сведения см. в руководстве по созданию полного доменного имени на портале Azure.For more information, see Create a fully qualified domain name in the Azure portal.

  • Группа безопасности сети (NSG) .Network security group (NSG). Группы безопасности сети позволяют разрешать или запрещать трафик к виртуальным машинам.Network Security Groups are used to allow or deny network traffic to VMs. Группы безопасности сети могут быть связаны с подсетями или отдельными экземплярами виртуальных машин.NSGs can be associated either with subnets or with individual VM instances.

Все группы безопасности сети содержат набор правил по умолчанию, включая правило, которое блокирует весь входящий интернет-трафик.All NSGs contain a set of default rules, including a rule that blocks all inbound Internet traffic. Правила по умолчанию нельзя удалить, но их можно переопределить другими правилами.The default rules cannot be deleted, but other rules can override them. Чтобы разрешить интернет-трафик, создайте правила, разрешающие входящий трафик для определенных портов, например, это может быть порт 80 для протокола HTTP.To enable Internet traffic, create rules that allow inbound traffic to specific ports — for example, port 80 for HTTP. Чтобы включить доступ по протоколу SSH, добавьте правило группы безопасности сети, которое разрешает входящий трафик через TCP-порт 22.To enable SSH, add an NSG rule that allows inbound traffic to TCP port 22.

ОперацииOperations

SSH.SSH. Перед созданием виртуальной машины Linux создайте парные 2048-разрядные ключи RSA (открытый и закрытый).Before you create a Linux VM, generate a 2048-bit RSA public-private key pair. При создании виртуальной машины используйте файл открытого ключа.Use the public key file when you create the VM. Дополнительные сведения см. в статье Quick steps: Create and use an SSH public-private key pair for Linux VMs in Azure (Краткая инструкция. Создание и использование пары из открытого и закрытого ключей SSH для виртуальных машин Linux в Azure).For more information, see How to Use SSH with Linux on Azure.

Диагностика.Diagnostics. Включите мониторинг и диагностику, в том числе базовые метрики работоспособности, а также ведение журналов инфраструктуры диагностики и диагностику загрузки.Enable monitoring and diagnostics, including basic health metrics, diagnostics infrastructure logs, and boot diagnostics. Если виртуальную машину невозможно загрузить, для обнаружения неисправностей можно использовать диагностику загрузки.Boot diagnostics can help you diagnose boot failure if your VM gets into a non-bootable state. Создайте учетную запись службы хранилища Azure для хранения журналов.Create an Azure Storage account to store the logs. Учетной записи локально избыточного хранилища достаточно для хранения журналов диагностики.A standard locally redundant storage (LRS) account is sufficient for diagnostic logs. Дополнительные сведения см. в статье о включении мониторинга и диагностики.For more information, see Enable monitoring and diagnostics.

ДоступностьAvailability. Виртуальная машина может перезагружаться из-за планового обслуживания, запланированного оператором Azure Stack Hub.Your VM may be subject to a reboot due to planned maintenance as scheduled by the Azure Stack Hub operator. Для повышения уровня доступности разверните несколько виртуальных машин в группе доступности.For higher availability, deploy multiple VMs in an availability set.

Резервные копии. Рекомендации по защите виртуальных машин IaaS Azure Stack Hub см. в этой статье.Backups For recommendations on protecting your Azure Stack Hub IaaS VMs, reference this article.

Остановка виртуальной машины.Stopping a VM. Azure различает состояния "Остановлена" и "Освобождена".Azure makes a distinction between "stopped" and "deallocated" states. Вы оплачиваете использование остановленных виртуальных машин, но не оплачиваете освобожденные виртуальные машины.You are charged when the VM status is stopped, but not when the VM is deallocated. На портале Azure Stack Hub кнопка Stop (Прервать) освобождает виртуальную машину.In the Azure Stack Hub portal, the Stop button deallocates the VM. Если вы войдете в виртуальную машину и завершите работу операционной системы, виртуальная машина будет остановлена, а не освобождена, поэтому с вас по-прежнему будет взиматься плата.If you shut down through the OS while logged in, the VM is stopped but not deallocated, so you will still be charged.

Удаление виртуальной машины.Deleting a VM. Если вы удалите виртуальную машину, диски виртуальной машины останутся.If you delete a VM, the VM disks are not deleted. Это означает, что вы можете удалить виртуальную машину без потери данных.That means you can safely delete the VM without losing data. Тем не менее плата за хранение по-прежнему будет взиматься.However, you will still be charged for storage. Чтобы удалить диск виртуальной машины, удалите объект управляемого диска.To delete the VM disk, delete the managed disk object. Чтобы предотвратить случайное удаление, используйте блокировку ресурсов. Так вы сможете заблокировать всю группу или отдельные ресурсы (например, виртуальную машину).To prevent accidental deletion, use a resource lock to lock the entire resource group or lock individual resources, such as a VM.

Вопросы безопасностиSecurity considerations

Подключите виртуальные машины к Центру безопасности Azure, чтобы получить полное представление о состоянии безопасности ваших ресурсов Azure.Onboard your VMs to Azure Security Center to get a central view of the security state of your Azure resources. Центр безопасности отслеживает потенциальные проблемы безопасности, а также обеспечивает полное представление о состоянии системы безопасности развертывания.Security Center monitors potential security issues and provides a comprehensive picture of the security health of your deployment. Центр безопасности настраивается на уровне подписки Azure.Security Center is configured per Azure subscription. Включите сбор данных безопасности, как описано в кратком руководстве Переход подписки Azure в ценовую категорию "Стандартный" Центра безопасности Azure.Enable security data collection as described in Onboard your Azure subscription to Security Center Standard. Когда сбор данных включен, центр безопасности автоматически проверяет все виртуальные машины, созданные для этой подписки.When data collection is enabled, Security Center automatically scans any VMs created under that subscription.

Управление исправлениями.Patch management. Сведения о настройке управления исправлениями на виртуальной машине см. в этой статье.To configure Patch management on your VM, refer to this article. Если эта функция включена, центр безопасности проверяет наличие необходимых обновлений для системы безопасности и критических обновлений.If enabled, Security Center checks whether any security and critical updates are missing. Установите для виртуальной машины параметры групповой политики, разрешающие автоматическое обновление системы.Use Group Policy settings on the VM to enable automatic system updates.

Антивредоносная программа.Antimalware. Если эта функция включена, то Центр безопасности проверяет, установлена ли антивредоносное ПО.If enabled, Security Center checks whether antimalware software is installed. Центр безопасности позволяет также установить антивредоносное ПО с помощью портала Azure.You can also use Security Center to install antimalware software from inside the Azure portal.

Контроль доступа.Access control. Используйте управление доступом на основе ролей (RBAC) для управления доступом к ресурсам Azure.Use role-based access control (RBAC) to control access to Azure resources. RBAC позволяет назначить роли авторизации участникам команды DevOps.RBAC lets you assign authorization roles to members of your DevOps team. Например, роль "Читатель" позволяет просматривать ресурсы Azure, но не позволяет создавать и удалять их или управлять ими.For example, the Reader role can view Azure resources but not create, manage, or delete them. Некоторые разрешения относятся к типу ресурса Azure.Some permissions are specific to an Azure resource type. Например, роль "Участник виртуальных машин" позволяет перезапустить виртуальную машину или отменить ее выделение, сбросить пароль администратора, создать новую виртуальную машину и т. д.For example, the Virtual Machine Contributor role can restart or deallocate a VM, reset the administrator password, create a new VM, and so on. Для этой архитектуры могут оказаться полезными и другие встроенные роли RBAC, например пользователь DevTest Labs и Участник сетей.Other built-in RBAC roles that may be useful for this architecture include DevTest Labs User and Network Contributor.

Примечание

RBAC не ограничивает действия, которые может выполнять пользователь, вошедший в виртуальную машину.RBAC does not limit the actions that a user logged into a VM can perform. Эти разрешения определяются типом учетной записи в гостевой ОС.Those permissions are determined by the account type on the guest OS.

Журналы аудита.Audit logs. Просматривать действия по подготовке и другие события для виртуальной машины можно с помощью журналов действий.Use activity logs to see provisioning actions and other VM events.

Шифрование данных.Data encryption. Azure Stack Hub защищает данные инфраструктуры и пользователя на уровне подсистемы хранения с помощью шифрования неактивных данных.Azure Stack Hub protects user and infrastructure data at the storage subsystem level using encryption at rest. Подсистема хранения Azure Stack Hub шифруется с помощью 128-битного шифрования AES BitLocker.Azure Stack Hub's storage subsystem is encrypted using BitLocker with 128-bit AES encryption. Дополнительные сведения см. в этой статье.Refer to this article for more details.

Дальнейшие действияNext steps