Köra en virtuell Windows-dator på Azure Stack Hub
Etablering av en virtuell dator (VM) i Azure Stack Hub kräver några ytterligare komponenter förutom själva den virtuella datorn, inklusive nätverk och lagringsresurser. Den här artikeln visar metodtips för att köra en virtuell Windows-dator i Azure.
Resursgrupp
En resursgrupp är en logisk container som innehåller relaterade Azure Stack Hub-resurser. I allmänhet grupperar du resurser baserat på deras livslängd och vem som ska hantera dem.
Placera nära associerade resurser som delar samma livscykel i samma resursgrupp. Med hjälp av resursgrupper kan du distribuera och övervaka resurser som en grupp och spåra faktureringskostnaderna per resursgrupp. Du kan också ta bort resurser som en uppsättning, vilket är användbart för testdistributioner. Tilldela beskrivande resursnamn för att förenkla identifieringen av en specifik resurs och förstå dess roll. Mer information finns i Rekommenderade namnkonventioner för Azure-resurser.
Virtuell maskin
Du kan etablera en virtuell dator från en lista över publicerade avbildningar, eller från en anpassad hanterad avbildning eller VHD-fil (virtuell hårddisk) som laddats upp till Azure Stack Hub Blob Storage.
Azure Stack Hub erbjuder olika storlekar på virtuella datorer från Azure. Mer information finns i Storlekar för virtuella datorer i Azure Stack Hub. Om du flyttar en befintlig arbetsbelastning till Azure Stack Hub börjar du med den VM-storlek som är närmast dina lokala servrar/Azure. Mät sedan prestandan för den faktiska arbetsbelastningen när det gäller cpu-, minnes- och diskinmatnings-/utdataåtgärder per sekund (IOPS) och justera storleken efter behov.
Diskar
Kostnaden baseras på kapaciteten hos den etablerade disken. IOPS och dataflöde (d.v.s. dataöverföringshastighet) beror på storleken på den virtuella datorn, så när du etablerar en disk bör du överväga alla tre faktorerna (kapacitet, IOPS och dataflöde).
Disk-IOPS (in-/utdataåtgärder per sekund) på Azure Stack Hub är en funktion av VM-storlek i stället för disktypen. Det innebär att för en Standard_Fs serie virtuell dator, oavsett om du väljer SSD eller HDD för disktypen, är IOPS-gränsen för en enskild ytterligare datadisk 2 300 IOPS. Den IOPS-gräns som har införts är ett tak (maximalt möjligt) för att förhindra bullriga grannar. Det är inte en garanti för IOPS att du får en specifik VM-storlek.
Vi rekommenderar också att du använder Managed Disks. Hanterade diskar förenklar diskhanteringen genom att hantera lagringen åt dig. Hanterade diskar kräver inte ett lagringskonto. Du anger bara storlek och typ av disk, så distribueras den som en högtillgänglig resurs.
OS-disken är en virtuell hårddisk som lagras i Azure Stack Hub Blob Storage, så den bevaras även när värddatorn är nere. Vi rekommenderar också att du skapar en eller flera datadiskar, som är beständiga virtuella hårddiskar som används för programdata. När det är möjligt, installera program på en datadisk, inte en OS-disk. Vissa äldre program kan behöva installera komponenterna på C:-enheten. I så fall kan du ändra storleken på OS-disken med hjälp av PowerShell.
Den virtuella datorn skapas också med en tillfällig disk (D:-enheten i Windows). Den här disken lagras på en tillfällig volym i Azure Stack Hub-lagringsinfrastrukturen. Den kan tas bort under omstarter och andra livscykelhändelser för virtuella datorer. Använd enbart den här disken för tillfälliga data, till exempel växlingsfiler.
Nätverk
Nätverkskomponenterna innehåller följande resurser:
Virtuellt nätverk. Varje virtuell dator distribueras till ett virtuellt nätverk som kan segmenteras i flera undernät.
Nätverksgränssnitt (NIC). Nätverkskortet som gör det möjligt för den virtuella datorn att kommunicera med det virtuella nätverket. Om du behöver flera nätverkskort för den virtuella datorn bör du vara medveten om att ett maximalt antal nätverkskort har definierats för varje VM-storlek.
Offentlig IP-adress/VIP. En offentlig IP-adress krävs för att kommunicera med den virtuella datorn , till exempel via fjärrskrivbord (RDP). Den offentliga IP-adressen kan vara dynamisk eller statisk. Standardvärdet är dynamiskt.
Reservera en statisk IP-adress om du behöver en fast IP-adress som inte ändras, till exempel om du behöver skapa en DNS A-post eller lägga till IP-adressen i en säker lista.
Du kan också skapa ett fullständigt domännamn (FQDN) för IP-adressen. Du kan sedan registrera en CNAME-post i DNS som pekar på det fullständiga domännamnet. Mer information finns i Skapa ett fullständigt kvalificerat domännamn i Azure Portal.
Nätverkssäkerhetsgrupp (NSG). NSG:er används för att tillåta eller neka nätverkstrafik till virtuella datorer. NSG:er kan associeras antingen med undernät eller med enskilda VM-instanser.
Alla nätverkssäkerhetsgrupper innehåller en uppsättning standardregler, inklusive en regel som blockerar all inkommande Internettrafik. Standardreglerna kan inte tas bort, men andra regler kan åsidosätta dem. Om du vill aktivera Internettrafik skapar du regler som tillåter inkommande trafik till specifika portar, till exempel port 80 för HTTP. Om du vill aktivera RDP lägger du till en NSG-regel som tillåter inkommande trafik till TCP-port 3389.
Operations
Diagnostik. Aktivera övervakning och diagnostik, inklusive grundläggande hälsomätvärden, diagnostikinfrastrukturloggar och startdiagnostik. Startdiagnostik kan hjälpa dig att diagnostisera startfel om den virtuella datorn övergår till ett icke startbart tillstånd. Skapa ett Azure Storage-konto för att lagra loggarna. Ett standardkonto för lokalt redundant lagring (LRS) är tillräckligt för diagnostikloggar. Mer information finns i Aktivera övervakning och diagnostik.
Tillgänglighet. Den virtuella datorn kan behöva startas om på grund av planerat underhåll som schemalagts av Azure Stack Hub-operatören. För hög tillgänglighet för ett produktionssystem för flera virtuella datorer i Azure placeras virtuella datorer i en tillgänglighetsuppsättning som sprider dem över flera feldomäner och uppdateringsdomäner. I den mindre skalan av Azure Stack Hub definieras en feldomän i en tillgänglighetsuppsättning som en enda nod i skalningsenheten.
Infrastrukturen i Azure Stack Hub är redan motståndskraftig mot fel, men den underliggande tekniken (redundansklustring) medför fortfarande viss stilleståndstid för virtuella datorer på en fysisk server som påverkas om det uppstår ett maskinvarufel. Azure Stack Hub har stöd för att ha en tillgänglighetsuppsättning med högst tre feldomäner som ska vara konsekventa med Azure.
Feldomäner
Virtuella datorer som placeras i en tillgänglighetsuppsättning isoleras fysiskt från varandra genom att sprida dem så jämnt som möjligt över flera feldomäner (Azure Stack Hub-noder). Om det uppstår ett maskinvarufel startas virtuella datorer från feldomänen om i andra feldomäner. De förvaras i separata feldomäner från de andra virtuella datorerna, men i samma tillgänglighetsuppsättning om möjligt. När maskinvaran kommer tillbaka online kommer virtuella datorer att balanseras om för att upprätthålla hög tillgänglighet.
Uppdateringsdomäner
Uppdateringsdomäner är ett annat sätt som Azure tillhandahåller hög tillgänglighet i tillgänglighetsuppsättningar. En uppdateringsdomän är en logisk grupp med underliggande maskinvara som kan underhållas samtidigt. Virtuella datorer som finns i samma uppdateringsdomän startas om tillsammans under planerat underhåll. När klienter skapar virtuella datorer inom en tillgänglighetsuppsättning distribuerar Azure-plattformen automatiskt virtuella datorer mellan dessa uppdateringsdomäner.
I Azure Stack Hub migreras virtuella datorer live över de andra onlinevärdarna i klustret innan deras underliggande värd uppdateras. Eftersom det inte finns någon stilleståndstid för klientorganisationen under en värduppdatering finns uppdateringsdomänfunktionen på Azure Stack Hub endast för mallkompatibilitet med Azure. Virtuella datorer i en tillgänglighetsuppsättning visar 0 som sitt uppdateringsdomännummer i portalen.
Säkerhetskopior Rekommendationer om hur du skyddar dina virtuella Azure Stack Hub IaaS-datorer finns i Skydda virtuella datorer som distribuerats på Azure Stack Hub.
Stoppa en virtuell dator. Azure gör skillnad mellan tillståndet ”stoppad” och tillståndet ”frigjord”. Du debiteras när den virtuella datorns status stoppas, men inte när den virtuella datorn frigörs. I Azure Stack Hub-portalen frigör knappen Stoppa den virtuella datorn. Om du stänger av via operativsystemet när du är inloggad stoppas den virtuella datorn, men frigörs inte, så du kommer fortfarande att debiteras.
Ta bort en virtuell dator. Om du tar bort en virtuell dator tas inte de virtuella datordiskarna bort. Det innebär att du kan ta bort den virtuella datorn på ett säkert sätt utan att förlora data. Men kommer du fortfarande att debiteras för lagring. Ta bort den virtuella datordisken genom att ta bort det hanterade diskobjektet. Om du vill förhindra oavsiktlig borttagning använder du ett resurslås och låser hela resursgruppen eller enskilda resurser, till exempel den virtuella datorn.
Säkerhetsöverväganden
Registrera dina virtuella datorer för att Azure Security Center för att få en central vy över säkerhetstillståndet för dina Azure-resurser. Security Center övervakar potentiella säkerhetsproblem och ger en heltäckande bild av säkerhetshälsotillståndet för distributionen. Security Center konfigureras per Azure-prenumeration. Aktivera insamling av säkerhetsdata enligt beskrivningen i Publicera din Azure-prenumeration till Security Center Standard. När datainsamling har aktiverats söker Security Center automatiskt igenom virtuella datorer som skapats under prenumerationen.
Korrigeringshantering. Information om hur du konfigurerar korrigeringshantering på den virtuella datorn finns i den här artikeln. Om detta aktiverats kontrollerar Security Center om några säkerhetsuppdateringar eller viktiga uppdateringar saknas. Använd Grupprincipinställningar på den virtuella datorn för att aktivera automatiska systemuppdateringar.
Program mot skadlig kod. Om detta aktiverats kontrollerar Security Center om ett program mot skadlig kod har installerats. Du kan också använda Security Center för att installera program mot skadlig kod från Azure-portalen.
Åtkomstkontroll. Använd rollbaserad åtkomstkontroll (RBAC) för att styra åtkomsten till Azure-resurser. Med RBAC kan du tilldela medlemmarna i DevOps-gruppen auktoriseringsroller. Till exempel kan den som har rollen Läsare visa Azure-resurser, men inte skapa, hantera eller ta bort dem. Vissa behörigheter är specifika för en Azure-resurstyp. Exempelvis kan rollen Virtuell datordeltagare starta om eller frigöra en virtuell dator, återställa administratörslösenordet, skapa en ny virtuell dator och så vidare. Andra inbyggda RBAC-roller som kan vara användbara för denna arkitektur är bland annat DevTest Labs-användare och Nätverksdeltagare.
Anteckning
RBAC begränsar inte de åtgärder som en användare som är inloggad på en virtuell dator kan utföra. Dessa behörigheter avgörs av kontotypen i gästoperativsystemet.
Granskningsloggar. Använd aktivitetsloggar för att se etableringsåtgärder och andra VM-händelser.
Datakryptering. Azure Stack Hub använder BitLocker 128-bitars AES-kryptering för att skydda vilande användar- och infrastrukturdata i undersystemet för lagring. Mer information finns i Vilande datakryptering i Azure Stack Hub.
Nästa steg
- Mer information om virtuella Azure Stack Hub-datorer finns i Azure Stack Hub VM-funktioner.
- Mer information om Azure Cloud Patterns finns i Molndesignmönster.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för