Запуск виртуальной машины Windows в Azure Stack Hub

Для подготовки к работе виртуальной машины в Azure Stack Hub, помимо самой виртуальной машины, требуются некоторые дополнительные компоненты, такие как сеть и хранилище ресурсов. Рекомендации по запуску виртуальных машин Windows в Azure.

Группа ресурсов

Группа ресурсов представляет собой логический контейнер, содержащий связанные ресурсы Azure Stack Hub. Как правило, группы ресурсов создаются в зависимости от времени существования ресурсов и пользователя, который ими управляет.

Поместите тесно связанные ресурсы с одинаковым жизненным циклом в одну группу ресурсов. Группы ресурсов позволяют развертывать и отслеживать несколько ресурсов как одну группу, для которой, помимо прочего, можно отслеживать выставляемые счета. Можно также удалить ресурсы в виде набора, что очень удобно для тестирования развернутых служб. Присвойте понятные имена ресурсам, чтобы упростить поиск определенного ресурса и получить сведения о его роли. Дополнительные сведения см. в руководстве по рекомендуемым соглашениям об именовании ресурсов Azure.

Виртуальная машина

Виртуальную машину можно подготовить на основе списка опубликованных образов, пользовательского управляемого образа или файла виртуального жесткого диска (VHD), передав его в хранилище BLOB-объектов Azure Stack Hub.

Azure Stack Hub предлагает различные размеры виртуальных машин в Azure. Дополнительные сведения см. в статье Размеры виртуальных машин, поддерживаемые в Azure Stack Hub. При перемещении имеющейся рабочей нагрузки в Azure Stack Hub выберите начальный размер виртуальной машины, который точнее всего соответствует характеристикам локальных серверов/Azure. Затем измерьте производительность фактической рабочей нагрузки по таким показателям, как потребление ЦП, памяти и дисковых операций ввода-вывода в секунду, и при необходимости измените размер.

Диски

Цена зависит от производительности подготовленного диска. Скорость выполнения операций ввода-вывода в секунду и пропускная способность (т. е. скорость передачи данных) зависят от размера виртуальной машины. Поэтому во время подготовки диска следует учитывать все эти факторы.

Дисковые операции ввода-вывода в секунду в Azure Stack Hub зависят от размера виртуальной машины, а не от типа диска. Это означает, что для виртуальной машины серии Standard_Fs, независимо от того, выбираете ли вы SSD или HDD для типа диска, ограничение операций ввода-вывода в секунду для одного дополнительного диска с данными составляет 2300 операций ввода-вывода в секунду. Установленное ограничение операций ввода-вывода в секунду является пределом (максимально возможным) для предотвращения "шумных соседей". Это не гарантирует количество операций ввода-вывода в секунду, которое вы получаете для определенного размера виртуальной машины.

Мы также рекомендуем использовать Управляемые диски. Благодаря автоматической обработке хранилища управляемые диски упрощают процесс управления дисками. Управляемым дискам не требуется учетная запись хранения. Просто укажите размер и тип диска, и он будет развернут как высокодоступный ресурс.

Диск операционной системы — это диск VHD, расположенный в хранилище BLOB-объектов Azure Stack Hub, поэтому он работает, даже если хост-компьютер отключен. Кроме того, рекомендуем создать один или несколько дисков данных на постоянных виртуальных жестких дисках, которые используются для данных приложений. Если это возможно, устанавливайте приложения на диск данных, а не на диск операционной системы. Для работы некоторых устаревших приложений может потребоваться установить компоненты на диске С. В этом случае вы можете изменить размер диска ОС, используя PowerShell.

Виртуальная машина создается с временным диском (в Windows это диск D:). Этот диск хранится на временном томе в инфраструктуре хранилища Azure Stack Hub. Он может быть удален во время перезагрузки и других событий жизненного цикла виртуальной машины. Используйте этот диск только для временных данных, таких как данные страниц или файлы подкачки.

Сеть

Сетевые компоненты включают приведенные ниже ресурсы.

• Виртуальная сеть. Каждая виртуальная машина развертывается в виртуальной сети, которую можно разделить на несколько подсетей.

• Сетевой интерфейс (сетевая карта). Сетевой адаптер обеспечивает взаимодействие виртуальной машины и виртуальной сети. Если для виртуальной машины требуется несколько сетевых адаптеров, следует учитывать, что для каждого размера виртуальной машины определено максимальное количество сетевых адаптеров.

• Общедоступный IP-адрес / VIP. Общедоступный IP-адрес необходим для взаимодействия с виртуальной машиной, например через удаленный рабочий стол (RDP). Общедоступный IP-адрес может быть динамическим или статическим. По умолчанию используется динамический IP-адрес.

• Зарезервировать статический IP-адрес, если вам нужен фиксированный IP-адрес, который не изменится, например, если необходимо создать запись DNS A или добавить IP-адрес в список надежных.

• Можно также создать полное доменное имя для IP-адреса. Затем вы сможете зарегистрировать в DNS запись CNAME, которая указывает на полное доменное имя. Дополнительные сведения см. в руководстве по созданию полного доменного имени на портале Azure.

• Группа безопасности сети. Группы безопасности сети позволяют разрешать или запрещать сетевой трафик к виртуальным машинам. Группы безопасности сети могут быть связаны с подсетями или отдельными экземплярами виртуальных машин.

Все группы безопасности сети содержат набор правил по умолчанию, включая правило, которое блокирует весь входящий интернет-трафик. Правила по умолчанию нельзя удалить, но их можно переопределить другими правилами. Чтобы включить интернет-трафик, создайте правила, разрешающие входящий трафик к определенным портам, например порт 80 для HTTP. Чтобы включить доступ по протоколу RDP, добавьте правило группы безопасности сети, которое разрешает входящий трафик через TCP-порт 3389.

Операции

Диагностика. Включите мониторинг и диагностику, в том числе базовые метрики работоспособности, а также ведение журналов инфраструктуры диагностики и диагностику загрузки. Если виртуальную машину невозможно загрузить, для обнаружения неисправностей можно использовать диагностику загрузки. Создайте учетную запись службы хранилища Azure для хранения журналов. Учетной записи локально избыточного хранилища достаточно для хранения журналов диагностики. Дополнительные сведения см. в статье о включении мониторинга и диагностики.

Доступность. Виртуальная машина может перезагружаться из-за планового обслуживания, запланированного оператором Azure Stack Hub. Чтобы добиться высокого уровня доступности рабочих систем с несколькими виртуальными машинами в Azure, виртуальные машины размещаются в группе доступности, которая распределяет их между несколькими доменами сбоя и доменами обновления. При меньшем масштабе Azure Stack Hub неисправный домен в группе доступности определяется как один узел в единице масштабирования.

Инфраструктура Azure Stack Hub уже устойчива к сбоям, но базовая технология (отказоустойчивая кластеризация) по-прежнему приводит к некоторому времени простоя виртуальных машин на поврежденном физическом сервере в случае сбоя оборудования. Azure Stack Hub поддерживает группы доступности с максимально тремя доменами сбоя, что гарантирует согласованность с Azure.

Домены сбоя

Виртуальные машины, размещенные в группе доступности, физически изолированы друг от друга и как можно более равномерно распределяются по нескольким доменам сбоя (узлы Azure Stack Hub). В случае сбоя оборудования виртуальные машины домена со сбоем будут перезапущены в других доменах со сбоем. Они будут храниться в отдельных доменах со сбоем из других виртуальных машин, но, по возможности, в той же группе доступности. После восстановления работоспособности оборудования виртуальные машины перераспределяются, что обеспечивает высокий уровень доступности.

Домены обновления

Домены обновления — это еще одна концепция Azure, обеспечивающая высокий уровень доступности в группах доступности. Домен обновления — это логическая группа базового оборудования, которое может одновременно обслуживаться. Во время планового обслуживания виртуальные машины в одном домене обновления перезапускаются вместе. При создании клиентом виртуальных машин в группе доступности платформа Azure автоматически распределяет их между такими доменами обновления.

В Azure Stack Hub виртуальные машины в реальном времени переносятся на другие доступные узлы в кластере до обновления их базового узла. Так как во время обновления узла клиент не простаивает, функция обновления домена в Azure Stack Hub существует только для совместимости с шаблонами Azure. Для виртуальных машин в группе доступности будет отображаться значение 0 в качестве номера домена обновления на портале.

Резервные копии Рекомендации по защите виртуальных машин IaaS в Azure Stack Hub см. в справочнике по защите виртуальных машин, развернутых в Azure Stack Hub.

Остановка виртуальной машины. Azure различает состояния "Остановлена" и "Освобождена". Вы оплачиваете использование остановленных виртуальных машин, но не оплачиваете освобожденные виртуальные машины. На портале Azure Stack Hub кнопка Stop (Прервать) освобождает виртуальную машину. Если вы войдете в виртуальную машину и завершите работу операционной системы, виртуальная машина будет остановлена, а не освобождена, поэтому с вас по-прежнему будет взиматься плата.

Удаление виртуальной машины. Если вы удалите виртуальную машину, диски виртуальной машины останутся. Это означает, что вы можете удалить виртуальную машину без потери данных. Тем не менее плата за хранение по-прежнему будет взиматься. Чтобы удалить диск виртуальной машины, удалите объект управляемого диска. Чтобы предотвратить случайное удаление, используйте блокировку ресурсов. Так вы сможете заблокировать всю группу или отдельные ресурсы (например, виртуальную машину).

Вопросы безопасности

Подключите виртуальные машины к Центру безопасности Azure, чтобы получить полное представление о состоянии безопасности ваших ресурсов Azure. Центр безопасности отслеживает потенциальные проблемы безопасности, а также обеспечивает полное представление о состоянии системы безопасности развертывания. Центр безопасности настраивается на уровне подписки Azure. Включите сбор данных безопасности, как описано в кратком руководстве Переход подписки Azure в ценовую категорию "Стандартный" Центра безопасности Azure. Когда сбор данных включен, центр безопасности автоматически проверяет все виртуальные машины, созданные для этой подписки.

Управление исправлениями. Сведения о настройке управления исправлениями на виртуальной машине см. в этой статье. Если эта функция включена, центр безопасности проверяет наличие необходимых обновлений для системы безопасности и критических обновлений. Установите для виртуальной машины параметры групповой политики, разрешающие автоматическое обновление системы.

Антивредоносное ПО. Если эта функция включена, то Центр безопасности проверяет, установлена ли антивредоносное ПО. Центр безопасности позволяет также установить антивредоносное ПО с помощью портала Azure.

Управление доступом. Используйте управление доступом на основе ролей (RBAC) для управления доступом к ресурсам Azure. RBAC позволяет назначить роли авторизации участникам команды DevOps. Например, роль "Читатель" позволяет просматривать ресурсы Azure, но не позволяет создавать и удалять их или управлять ими. Некоторые разрешения относятся к типу ресурса Azure. Например, роль "Участник виртуальных машин" позволяет перезапустить виртуальную машину или отменить ее выделение, сбросить пароль администратора, создать новую виртуальную машину и т. д. Для этой архитектуры могут оказаться полезными и другие встроенные роли RBAC, например пользователь DevTest Labs и Участник сетей.

Примечание

RBAC не ограничивает действия, которые может выполнять пользователь, вошедший в виртуальную машину. Эти разрешения определяются типом учетной записи в гостевой ОС.

Журналы аудита. Просматривать действия по подготовке и другие события для виртуальной машины можно с помощью журналов действий.

Шифрование данных. Azure Stack Hub использует 128-разрядное шифрование AES BitLocker для защиты неактивных данных пользователя и инфраструктуры в подсистеме хранения. Дополнительные сведения см. в статье о шифровании неактивных данных в Azure Stack Hub.

Дальнейшие действия

• Дополнительные сведения о функциях виртуальных машин Azure Stack Hub см. в этой статье.
• Дополнительные сведения о шаблонах для облака Azure см. в статье Конструктивные шаблоны облачных решений.